Les organisations sont vulnérables aux attaques malgré l’effort d’investissement effectué dans les outils ou le niveau de sensibilisation et la formation des collaborateurs – l’erreur humaine reste inévitable. La solution ? Le centre opérationnel de sécurité. Un SOC limite ces vulnérabilités tout en évoluant sans cesse pour s’adapter aux nouveaux types de données à analyser et aux nouvelles attaques à détecter.
Pourquoi déployer un SOC ?
Qu’est-ce qu’un SOC (Security Operations Center) ? C’est une équipe et un ensemble de processus dont la mission est de surveiller le réseau, de détecter, d’analyser et de remédier aux incidents de sécurité en continu et sur un périmètre donné, à l’aide de solutions technologiques. C’est une tour de contrôle.
L’objectif des différents outils du SOC est d’être la ligne de défense réactive face à ce qu’il peut se passer sur un réseau informatique d’une entreprise.
Une entreprise est vulnérable aux cyberattaques directes (comme les attaques DDoS, les logiciels malveillants ou le phishing), mais aussi aux bugs – des vulnérabilités qui ne sont pas toujours corrigées et qui peuvent être exploitées par des attaquants.
Le rôle du SOC est donc d’assurer le monitoring du système informatique, de mettre en place un processus pour protéger 24/7 les éléments stratégiques d’une organisation, puis de remédier à tout incident de sécurité, grâce à des outils et des compétences humaines.
SOC : définition des 4 éléments clés d’une organisation SOC
#1 Données brutes
Les logs sont l’historique d’événements produits au sein d’un système d’information. Ils sont composés de méta data d’usage (ou données applicatives), de données contextuelles du client (par exemple des cartographies, des vulnérabilités, de la criticité des actifs) et de la donnée de veille cyber (IoC, TPP).
Les alertes proviennent d’outils de détection et d’analyse dédiées à un périmètre précis (par exemple issu d’EDR, d’un SIEM ou du Cloud), capables de générer des alertes.
#2 Security Data Lake
Ou en français puits de logs. Ils récoltent, normalisent et enrichissent l’ensemble des données collectées par du contexte sous forme de bases de données colossales, ce qui permet de faire des liens et de corréler divers scénarios.
#3 Outil de détection
Il s’adapte et/ou se configure au plan de surveillance construit sur la base des risques métiers et opérationnels du client. L’outil de détection permet de construire des règles et des algorithmes de détection sur la base des données présentes dans le data lake grâce au machine learning.
Il est important d’adapter l’outil de détection au contexte de chaque client, car le niveau de risques et le type d’architecture informatique sont différents d’une organisation à une autre.
#4 Compétences humaines
Un security operations center n’est pas qu’une interface de détection et de réponse à incidents. C’est aussi l’équipe qui va opérer le SOC et collaborer avec le client.
Trois niveaux de compétences sont requis et réunis au sein d’une équipe SOC :
- Compétences de sécurité : l’équipe doit savoir définir quelles sont les règles et algorithmes de détection nécessaires pour repérer un incident de sécurité.
- Compétences technologiques : l’équipe aide à configurer, maintenir et mettre à jour les solutions et outils de sécurité présents chez le client (configurer l’EDR, mettre à jour des white lists au sein d’un firewall, etc.).
- Compétences opérationnelles : l’équipe accompagne le client dans la trajectoire de sécurisation de son SI. Elle contribue au choix des solutions, à améliorer les ROI, partager son savoir-faire et vulgariser les tâches en cours avec les équipes moins techniques, comme la direction.
Deux autres éléments sont importants au sein d’un SOC :
- Les pentesteurs sont des membres importants de l’équipe SOC. Ils sont chargés de la sécurité offensive en testant la résilience du SOC à des nouveaux modèles d’attaques.
- La veille sur les cybermenaces, ou CTI, consiste à suivre et analyser constamment les nouveaux modèles d’attaques sur le marché pour alimenter l’outil de détection.
Les KPI d’un SOC : comment évaluer les résultats ?
L’efficacité des processus SOC doit être évaluée à l’aide de KPI déterminés avec le client lors de la planification et configuration du SOC. Voici une liste non exhaustive d’indicateurs clés de performance pour évaluer l’efficience d’un SOC :
- Le pourcentage de l’organisation sous couverture du SOC,
- Le temps minimum de déploiement d’un nouveau périmètre,
- Le pourcentage de faux positifs qui vont être envoyés aux équipes du client,
- Le MTTD (Mean Time To Detect) qui est le temps moyen de détection d’un incident de sécurité,
- Le MTTR (Mean Time To Remediate) qui représente le temps moyen mis par le SOC pour proposer un plan de remédiation à l’incident.
Les 3 modes d’organisation possibles d’un SOC
- SOC 100 % externalisé : un prestataire SOC gère la détection de bout en bout et concentre la relation client / prestataire sur le partage des responsabilités sur la remédiation, notamment à travers des outils de type SOAR.
- SOC en mode hybride : le client a un accès complet à l’outil exploité par le prestataire, qui joue uniquement un rôle de renfort aux équipes client : présence 24/7 ; traitement du N1 (gestion des faux positifs).
- SOC 100 % internalisé : le client a accès et peut modifier les règles de détection dans l’outil utilisé par le SOC, et déploie lui-même, sans aide, le plan de remédiation.
Le SOC est le bras armé de la sécurité opérationnelle d’une organisation. Il s’appuie sur des compétences humaines à plusieurs niveaux et est constitué de données de plusieurs natures, exploitées pour gagner en visibilité et en capacité de détection. Envie d’en savoir plus ?
