Le blog Exodata

Centre opérationnel de sécurité : Pourquoi un SOC est-il essentiel ?

Rédigé par Serge Payet | Jun 3, 2020 8:00:00 PM

Temps de lecture estimé : 17 minutes

Avec le Big Data, c'est-à-dire l'explosion de la masse de données numériques, la gestion de la sécurité des informations devient une priorité pour toutes les entreprises. Recommandée par des organismes gouvernementaux spécialisés dans la sécurité informatique, la mise en place d'un SOC ou Security Operation Center est un enjeu important pour les sociétés.

S'il peut être difficile de créer un Centre Opérationnel de Sécurité en interne, il est possible d'externaliser la protection de vos informations.

Une des meilleures façons de procéder consiste à confier cette tâche à des prestataires opérant en mode « Follow the Sun », ce qui vous assure une continuité du service en ayant l'assurance que le personnel impliqué travaille dans de conditions optimales.

01. Quelles sont les fonctions du SOC ?
02. Pourquoi le COS est-il important pour votre société ?
03. Quels sont les différents types de COS ?
04. Les bénéfices des processus de surveillance internationaux
05. Les évolutions du COS

 

01. Quelles sont les fonctions du SOC ?

Le Security Operation Center, SOC, est la dénomination anglaise du Centre Opérationnel de Sécurité, COS. Il correspond à un département, interne ou externe à l'entreprise, qui administre, supervise et gère la sécurité du système d'information.

Quels sont ses objectifs ?

Après avoir défini le SOC, voyons quels sont ses objectifs. Le SOC a pour but de protéger l'ensemble des installations informatiques contre les cyberattaques et de prendre en charge de manière globale les incidents de cybersécurité. Il gère donc :

  • la détection des incidents
  • la récupération des données après un incident
  • l'analyse des incidents
  • l'alerting et l'intervention en cas d'incident
  • la mise en place du plan de reprise

Le COS assure ainsi la surveillance de la sécurité relative à toutes les couches logiques de l'infrastructure informatique :

  • réseaux
  • serveurs
  • bases de données
  • sites internet
  • terminaux
  • applications
  • etc.

 

Quels sont ses moyens techniques ?

Pour remplir ses missions, le COS s'appuie notamment sur un SIEM (Security Information and Event Management) qui prend en charge la collecte, la surveillance, la corrélation et l'analyse des événements provenant des logs collectés sur différentes machines. Il peut ainsi, de manière continue, détecter les tentatives, réussies ou non, d'exploitation des vulnérabilités des systèmes informatiques. Les alertes soulevées sont analysées par les équipes dédiées afin que seuls les véritables incidents soient traités. Pour que le SIEM soit performant, il est donc important qu'il soit paramétré de manière à ne reporter que les alertes réelles (en éliminant les "faux positifs") et à éviter la duplication d'informations.

Cependant, le SIEM ne peut être le seul outil du COS et il doit être couplé avec des systèmes permettant de surveiller l'intégrité du contenu et de détecter les vulnérabilités. En utilisant ces différentes solutions, il est possible de définir des indicateurs de risque pertinents.

 

02. Pourquoi un COS est-il important pour votre société ?

Avec un Centre Opérationnel de Sécurité, votre entreprise diminue les risques de survenue d'incidents informatiques et améliore leur détection grâce à une supervision permanente et une analyse continue de ses systèmes comme de ses données. L'activité d'un COS lui permet également d'être en conformité avec plusieurs réglementations telles que :

  • la norme internationale PCI DSS (Payment Card Industry Data Security Standard) qui a pour objectif de protéger les utilisateurs du paiement par carte bancaire en ligne contre le vol et l'utilisation frauduleuse de leurs données
  • le Règlement Général sur la Protection des Données (RGPD) qui comprend la nécessité de garantir un niveau de sécurité adapté au risque numérique potentiel
  • les autres règles gouvernementales relatives à la sécurité et la protection des données

L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) ainsi que le CIS (Center for Internet Security) préconisent d'ailleurs la création de COS pour la prévention, la détection et la réponse aux incidents de sécurité.

 

03. Quels sont les différents types de COS ?

Plusieurs modèles existent en matière de Centre Opérationnel de Sécurité :

  • virtuel : ce SOC n'a pas d'installations physiques propres. Son équipe se compose de plusieurs membres qui travaillent pour assurer la cybersécurité lorsqu'une alerte esecst déclenchée ou qu'un incident survient
  • interne : ses membres et ses installations font partie de l'entreprise (voire les coûts des SOC internes)
  • géré en externe : les fonctions du COS sont confiées à un prestataire externe de sécurité informatique tel qu'un MSSP (Managed Security Service Provider). Pensez à bien évaluer les avantages et inconvénients entre SOC interne et SOC externe
  • aux fonctionnalités étendues : en plus de ses attributions habituelles, ce COS s'occupe également de l'intelligence des menaces (Theart Intelligence) consistant à compiler et organiser les informations relatives aux cyberattaques pour dresser des profils des hackers et des tendances des menaces en se servant notamment de l'Intelligence Artificielle et des fonctionnalités d'apprentissage automatique
  • inclus dans un NOC : le Network Operations Center prend en charge les fonctionnalités du COS ainsi que les opérations de stockage, virtualisation, sauvegarde des données, maintenance du réseau, etc.

Pour créer un COS en interne, il est nécessaire d'investir dans une technologie coûteuse et d'engager du personnel qualifié, sans parler de la nécessité des mises à jour, des formations régulières, et de la logistique pour opérer en 24/7. De nombreuses sociétés optent alors pour le COS externe. Au vu des responsabilités qui reposent alors sur le prestataire que vous aurez choisi, il est crucial que dans votre contrat/et plus précisément dans la partie concernant le niveau de service (le SLA, Service Level Agreement) des éléments factuels soient précisés ainsi que des indicateurs calculés véritablement en fonction des attentes spécifiques de votre société.

 

04. Les bénéfices des processus de surveillance internationaux

La stratégie appelée « Follow the sun » (Suivre le soleil) consiste à mener des actions en continu en se basant sur des équipes installées dans des fuseaux horaires différents et qui se passent le relais au fur et à mesure de l'avancement de la journée et de la nuit. En optant pour un COS externalisé en mode « Follow the Sun », votre entreprise profite de plusieurs avantages :

  • une réactivité optimale grâce à un COS opérationnel 24h/24 et 7j/7
  • l'assurance d'un traitement efficace et rapide des tâches
  • une limitation de la survenue des incidents permise en surveillant de manière ininterrompue
  • des équipes travaillant toutes en journée dans des conditions optimales, par opposition à celles opérant de nuit night-shift ou en astreinte
  • une absence de surcoût pour compenser le travail en horaires décalés ou de nuit vu que tous les intervenants opèrent pendant les heures ouvrées

 

05. Les évolutions du COS

La mise en place d'un COS externe nécessite une collaboration étroite entre les équipes internes et externes. Il est donc important de choisir un prestataire de confiance, dont vous pouvez vérifier les références et idéalement situé dans un périmètre relativement proche de votre structure.

Pensez que, dans le cas où votre entreprise travaille avec le Cloud, il est indispensable de mettre en place une structure au sein du Centre Opérationnel de Sécurité dédiée totalement au Cloud. Il faut aussi se souvenir que les actions du COS ne remplacent pas les différentes mesures de précautions relatives à la gestion des données qui sont à implémenter au niveau de chaque collaborateur, notamment avec des sensibilisations régulières.

Avec une permanente augmentation du nombre de données à traiter, le COS est en train d'évoluer pour inclure des fonctionnalités auparavant plutôt réservées aux formules premium telles que les technologies prédictives et de machine learning.

Cette approche combine l'adaptatif, le prédictif et le cognitif pour proposer aux entreprises une démarche de «security intelligence». L'objectif est de garantir aux sociétés la protection et la défense de leurs systèmes d'information, tout comme la cyberdéfense le fait au niveau des institutions nationales.

D'autres articles sur la thématique :