Retour

Le SOC (Security Operation Center) qu'est-ce que c'est ?

Temps de lecture estimé : 13 minutes

Avec le nombre de cyber-attaques qui ne cesse d’augmenter, vous vous demandez sûrement comment optimiser la sécurité de vos systèmes d’information au sein de votre entreprise ? Vous avez peut-être entendu parler du SOC (Sécurity Operation Center) et vous aimeriez en savoir plus.

Cet article vous aidera à comprendre ce qu’est exactement un SOC informatique, son but, ses fonctionnalités et son utilité pour sécuriser votre entreprise.

01. Qu'est-ce qu'un SOC, exactement ?
02. Quel est l'objectif d'un SOC ?
03. Quels sont les différents types de SOC ?
04. Comment fonctionne un SOC ?
05. Quels sont les avantages du SOC pour l'entreprise ?

01. Qu'est-ce qu'un SOC, exactement ?

Le SOC (Security Operation Center) d’une entreprise se compose d’équipes expertes en sécurité informatique ainsi que d’outils spécifiques qui assurent la sécurité des systèmes d’information de l’entreprise en question.

Le SOC est chargé de détecter, de prévenir d’une éventuelle attaque et d’évaluer les menaces internes et externes. Ainsi, avec le SOC, les sociétés ont la possibilité d'optimiser le contrôle de leurs processus de surveillance, de répondre plus rapidement et efficacement aux attaques, mais aussi de satisfaire à leurs obligations réglementaires. C’est une sorte de tour de contrôle et de surveillance de votre SI.

definition-soc-security-operation-center

02. Quel est l'objectif d'un SOC ?

Le SOC a pour but de s’assurer que les systèmes d’information d’une entreprise sont efficacement protégés contre les cyberattaques, l’ultime objectif étant de garantir aux entreprises une continuité de service.

Pour cela, le SOC va surveiller l’ensemble de l’infrastructure informatique : les terminaux, les réseaux, les applications, les bases de données quel que soit leur lieu d'hébergement, les sites internet, les intranets, etc. 

Toutefois, si une cyberattaque se produit, le SOC a pour mission de la gérer et de réduire au maximum son impact négatif sur le fonctionnement de l’entreprise.System Control Center Operator

03. Quels sont les différents types de SOC ?

Il existe plusieurs types de SOC que l’on peut classifier en fonction de leur type d’implémentation technique et leur localisation.

SOC interne ou dédié

Installé dans les locaux de l'entreprise, il fonctionne grâce à des équipes d'exploitation et des ressources IT internes ;


SOC externe

Localisé chez un prestataire de sécurité informatique (MSSP, Managed Security Service Provider), il est opéré grâce aux équipes informatiques de ce prestataire ;

SOC virtuel 

Sans installations physiques propres, il est constitué par une équipe dont les membres agissent dès lors qu'un incident survient ou qu'une alerte est déclenchée ;

 

SOC hybride

Certaines tâches sont prises en charge par l'entreprise comme le support de niveau 3, c'est-à-dire la gestion des incidents bloquants, voire critiques qui pourraient éventuellement impacter la production.

Les autres tâches sont gérées par des équipes externes notamment les analyses forensiques, réalisées après des incidents, et les opérations liées à la cyberguerre (ou Threat Intelligence) ;

 

SOC dans le Network Operation Center (NOC)

Le NOC inclut les tâches du SOC tout en se chargeant aussi de maintenir le réseau, de stocker, virtualiser et sauvegarder les données, etc. 

 

SOC orienté cyberveille et IA (Intelligence Artificielle)

Aux fonctionnalités classiques du SOC, s'ajoute la Threat Intelligence (cyberveille).

Son but est de compiler des informations sur les cyberattaques pour définir des tendances et créer des profils d'attaquants potentiels. Plusieurs outils interviennent dans la cyberveille parmi lesquels l'IA et l'apprentissage automatique (machine learning).

04. Comment fonctionne un SOC ?

Plusieurs éléments essentiels s’organisent autour du SOC afin de garantir à l’entreprise une sécurité optimale. Citons les innombrables technologies ainsi que l’incontournable intervention humaine.

Les technologies

Le SIEM (Security Information and Event Management) est l’élément central du SOC. Ses principales missions sont de collecter, surveiller, corréler et analyser les données générées par l'infrastructure informatique, mais aussi d’identifier les éventuels écarts par rapport à des normes ou des moyennes définies au préalable.

D’autres outils aux fonctionnalités complémentaires sont nécessaires. La technologie de machine learning, la Threat Intelligence, le scanner de vulnérabilité ainsi que les outils de visualisation et d'alerte. L’apport de l’IA pour le moment fait encore débat, les bénéfices d’un alerting automatique générant potentiellement beaucoup de faux-positifs rendant cet apport questionnable. Parfois, des logiciels de protection « Endpoint » et des logiciels d'intrusion sont également employés.

La composante humaine

Même si les technologies évoluent sans cesse, il est impossible de faire l'impasse sur l'intervention humaine.

Les équipes SOC se composent donc d’experts en sécurité informatique, notamment de spécialistes qui installent, intègrent les outils et paramètrent les différents systèmes de supervision de la sécurité.

Les analystes classifient, analysent et gèrent les alertes de sécurité. Ils se chargent de l'investigation et de la réponse à apporter, lorsqu’un incident survient. Et ils prennent également en charge l'interprétation des alertes, la corrélation des événements et la recherche des vulnérabilités.

Enfin, ces équipes se composent de membres du support qui travaillent à l'amélioration continue du SOC.

analyste-soc-support

05. Quels sont les avantages du SOC pour les entreprises ?

L’intégration d’un système de surveillance tel que le SOC offre aux entreprises de nombreux avantages. Citons l’identification rapide des possibles attaques et d'une capacité à les faire échouer avant la survenue de dommages graves.

Un autre avantage est de bénéficier d'une rapidité accrue pour répondre aux attaques, ce qui est particulièrement utile dans le cas d'une infection par un malware.

Les entreprises qui utilisent le SOC ont aussi une meilleure capacité à faire face aux attaques de type ransomwares, phishing, DoS ou encore DDoS (Distributed Denial of Service) dont le but est de rendre indisponible une infrastructure, un serveur ou un service, que ce soit en amenant à un épuisement des ressources du système ou en saturant la bande passante du serveur par exemple.


Vous souhaitez en savoir plus sur la mise en place d'un SOC ? N'hésitez pas à consulter notre page dédiée ou à télécharger gratuitement notre e-Book : "Le SOC, nécessaire, utile ou sans intérêt ?".

Téléchargez notre livre blanc