Temps de lecture estimé : 20 minutes
Les systèmes d'information des entreprises sont de plus en plus la cible d'attaques malveillantes qui ne se concentrent pas uniquement sur les multinationales. Face à la multiplication des incidents de sécurité et vu leurs possibles impacts sur la productivité des sociétés, le SOC (Security Operation Center) s'impose comme une solution pertinente pour détecter les attaques, répondre aux menaces, prendre en charge la cyberveille et répondre aux obligations légales en matière de protection des données. Découvrez les objectifs et les principaux composants de cette véritable tour de contrôle de la sécurité informatique.
01. L'utilité du SOC pour votre entreprise
Qu'est-ce que le SOC ?
Le Security Operation Center comprend l'ensemble des personnes et des équipements qui sont chargés de s'assurer de la sécurité informatique de votre société et de prendre les mesures adéquates pour répondre aux éventuelles attaques et aux possibles incidents.
Quels sont ses objectifs ?
Si la définition du SOC peut sembler simple, ses objectifs sont ambitieux. Il doit détecter les incidents de sécurité, qu'il s'agisse d'attaques internes ou externes, les analyser et y apporter une réponse rapide et efficace afin de minimiser leurs conséquences sur le fonctionnement de votre entreprise. Pour ce faire, il se compose d'équipes spécialisées dans la sécurité informatique et de différents outils technologiques performants.
En plus de ces activités directement liées à la sécurité informatique, le SOC prend également en charge des tâches de cyberveille et il doit s'assurer que les procédures mises en place sont conformes à la réglementation, notamment concernant la protection des données.
02. De quels éléments se compose un SOC ?
La performance d'un SOC repose en partie sur sa capacité technologique. Autour de son élément central, le SIEM et son tableau de bord, gravitent différents outils et technologies dont le but est d'accroître les performances de l'ensemble : machine learning, scanner de vulnérabilité, logiciels IDS et EDR, etc.
L'outil central du SOC, le SIEM
Le Security Information and Event Management (SIEM) est le cœur du SOC. Toutes les informations produites par l'infrastructure informatique y sont rassemblées, analysées, surveillées et corrélées.
Le SIEM collecte ainsi des informations provenant de la base de données de votre société, de son système d'exploitation, des routeurs, des serveurs, des antivirus, des pare-feu, des scanners de vulnérabilité, des logiciels IDS et EDR, etc.
Toutes ces informations sont étudiées afin d'évaluer si elles sont conformes par rapport aux événements qui ont été définis comme normaux par la société. Tout écart génère une alerte qui est analysée par des experts.
S'il s'agit d'une menace avérée, la procédure adaptée de remédiation est lancée. En plus de la conformité des informations, le SIEM peut également vérifier la cohérence des actions des utilisateurs par rapport à un modèle défini.
Le tableau de bord du SIEM
Afin d'obtenir une vue d'ensemble de la situation en matière de sécurité, il y a généralement dans le SIEM un logiciel de type « tableau de bord » (dashboard) qui rassemble les résultats remontés par tous les autres outils.
Personnalisable selon les besoins de la société, ce logiciel centralise et agrège les données pour produire des états sous forme de graphes ou de tableaux.
Ces différents moyens de visualiser la situation à un moment donné sont accessibles dans le logiciel lui-même et peuvent aussi être envoyés sous forme synthétique sur des appareils mobiles à distance comme des smartphones ou des tablettes.
Les apports de l'apprentissage automatique
Si tous les SOC n'utilisent pas le « machine learning », ou apprentissage automatique, cette technologie peut cependant jouer un rôle important pour améliorer la sécurité.
En effet, il peut y avoir génération des « faux négatifs » quand un événement inhabituel se produit et qu'il ne correspond à aucune règle définie dans le SIEM. L'algorithme de machine learning utilise le data mining, les statistiques et les analyses prédictives.
Il construit un modèle à partir de données existantes, il peut identifier des séquences ou des événements répétitifs et réalise des prédictions. Ainsi, il est capable de calculer pour chaque événement la probabilité qu'il soit malveillant, faisant diminuer le risque de ne pas prendre en compte une nouvelle menace.
La capacité d'analyse du machine learning est également utile pour diminuer les « faux positifs » qui ont tendance à être générés par le SIEM en raison du nombre sans cesse croissant de données.
Un autre avantage du machine learning est qu'il peut être utilisé afin de faire évoluer les méthodes d'authentification. Généralement, les systèmes d'accès se basent sur des règles à partir desquelles l'autorisation d'utilisation est donnée ou refusée.
Le machine learning pourrait permettre de conditionner l'authentification des utilisateurs en fonction de leur empreinte numérique. Le principe serait de comparer l'activité d'un collaborateur avec son empreinte informatique et d'en déduire un indice de fidélité.
Selon sa valeur, l'utilisateur serait alors reconnu ou pas. L'avantage de ce processus est qu'il éviterait à certains profils, comme ceux ayant des comptes d'administrateur, des authentifications répétitives.
Les audits automatisés grâce au scanner de vulnérabilité
Le scanner de vulnérabilité réalise des audits qui sont programmés avec une fréquence choisie par les experts en sécurité et peuvent aussi être lancés manuellement si nécessaire. Les éventuelles vulnérabilités détectées sont immédiatement signalées.
Afin de faciliter leur analyse, elles sont classées selon les standards CVSS (Common Vulnerability Standard Scoring). Elles obtiennent alors un code numérique composé de 3 scores (entre 0 et 10) et un vecteur détaillant les critères pris en compte pour calculer les notes.
Ces scores correspondent chacun à un groupe : base (impact théorique), temporel (pondération du score « base » en fonction de l'évolution dans le temps de la vulnérabilité) et environnemental (pondération du score « temporel » en prenant en compte le système d'information concerné). Grâce à la note CVSS attribuée, les actions correctives adéquates sont prises.
Grâce au scanner de vulnérabilité, les failles de sécurité dues au non-respect des bonnes pratiques de sécurité sont également remontées. Il s'agit par exemple des clés de chiffrement faibles ou des mots de passe conservés avec des valeurs par défaut.
La détection d'intrusion sur l'hôte et/ou sur le réseau
Les logiciels de détection d'intrusion, optionnels dans un SOC, ont pour objectif de détecter les attaques à un stade précoce. Initialement, ces logiciels IDS (Intrusion Detection Systems) étaient installés sur un hôte, l'ordinateur central, pour surveiller le trafic.
Ensuite, les IDS ont dû s'adapter à la multiplication de la mise en réseau avec Internet de structures localisées et non plus centralisées.
Ainsi, pour parer aux attaques réalisées par des clients distants, les IDS ont été installés au niveau des réseaux afin d'analyser des paquets de données IP. Les IDS dernière génération sont souvent des systèmes hybrides combinant les deux approches. Leur méthode de détection combine 3 phases : monitoring, analyse et transmission des résultats.
Le monitoring des données consiste à collecter et filtrer des données d'audit, des informations système, des informations relatives aux connexions TCP/IP et des données contenues dans les paquets TCP/IP. L'analyse, qui doit avoir lieu en temps réel pour être pertinente, peut être réalisée de deux façons différentes :
- la détection d'abus (muse detection) : reconnaissance des signatures d'attaques connues ;
- la détection d'anomalies : des alertes sont générées si le comportement du système s'écarte de valeurs standards définies au préalable.
La transmission des résultats consiste à informer le SOC des anomalies détectées. Il est possible de définir des modes d'alerte différents en fonction de la gravité suspectée de l'attaque.
La protection au niveau des terminaux grâce aux logiciels EDR
Les logiciels malveillants ont de plus en plus de portes d'entrée dans une entreprise, notamment à cause de la multiplication des équipements qui sont connectés au réseau, de façon occasionnelle ou permanente, dans ou hors des locaux de la société.
Les logiciels EDR (Endpoint Detection and Response) sont installés directement au niveau des serveurs, des ordinateurs ou des appareils mobiles afin de surveiller ces possibles points d'entrée pour les attaques.
Alors qu'un logiciel antivirus recherche de manière automatique des signatures identifiées de logiciels malveillants, le logiciel EDR analyse tous les fichiers et comportements de la machine sur laquelle il se trouve.
Une fois les étapes de déploiement d'un SOC achevées dans l'entreprise, le SOC agit comme le QG de la sécurité informatique, en basant une grande partie de son efficacité sur une multiplicité d'outils technologiques associés à son élément central le SIEM.
Vous pouvez consulter nos autres articles sur la thématique du SOC :
- SOC Internes : Considérations et coûts cachés
- Quel type de SOC choisir pour votre activité ? Interne ou externe ?
- L'évaluation de la configuration pour une meilleure défense numérique
Vous prévoyez de déployer un SOC pour votre entreprise ? Pensez à télécharger notre livre blanc : "Le SOC, nécessaire, utile ou sans intérêt ?"
