De l’importance du plan de surveillance

mySOC & Security-as-a-Service
De l’importance du plan de surveillance

Un SOC qui remonte des alertes, c’est bien. Mais un SOC qui remonte les bonnes alertes au bon moment, c’est mieux ! Cette lapalissade peut faire sourire. Mais elle traduit un challenge qui n’est pas encore relevé par tous les SOC du marché : comment produire des alertes pertinentes et adaptées au contexte à surveiller ?

Il ne suffit pas de déployer une solution d’analyse ou de centralisation des évènements de sécurité. Certaines alertes sont critiques pour un client A et insignifiantes pour un client B. En effet, une vulnérabilité majeure peut avoir des conséquences dramatiques lorsqu’il s’agit d’un serveur exposé hébergeant un applicatif vital pour le métier. Le même problème sur un serveur de test pour une application non-critique pourrait passer inaperçu.

Comprendre ce qui est important pour la maitrise de risques et alerter quand il est nécessaire de le faire ? C’est tout l’objet du plan de surveillance. Le plan de surveillance regroupe l’ensemble des dispositifs de contrôle, de supervision et d’analyse qui va permettre de mesurer la protection de vos actifs face aux risques à couvrir. Il s’appuie sur trois axes majeurs.

 
#1 : Aligné sur les risques

Le plan de surveillance est directement décliné des risques pesant sur la sécurité du périmètre à surveiller. Une fois de plus, tout part des risques. Le plan doit traduire chacun des risques en un ensemble de points de contrôle. Ils vont en quelque sorte modéliser ces risques et leur donner une réalité opérationnelle.

Si un élément du plan de surveillance n’est pas relié à un risque, il n’est peut-être pas à sa place. Un SOC « sapin de Noël » qui clignote en permanence a toutes les chances de ne pas être efficace et de noyer une alerte critique dans un flot d’alertes quotidiennes.  Il n’est pas toujours utile d’activer toutes les règles par défaut proposés par la solution de surveillance.

#2 : Adapté au contexte

Le plan de surveillance doit donc traduire le contexte du périmètre à surveiller. L’alignement Risques apporte un premier niveau de réponse pour le contexte Métier. Mais il faut également intégrer le contexte Sécurité, et notamment la maturité de l’organisation.

Une structure peu mature n’aura pas la capacité pour traiter un grand nombre d’alertes. Il faut donc que le plan de surveillance s’appuie sur un périmètre raisonnable et génère un nombre d’alertes également raisonnable. C’est pour cela que le plan de surveillance doit prévoir l’évolution et le développement du SOC. Il doit être progressif et laisser à l’organisation le temps de monter en maturité.

#3 : Communicable

Le plan de surveillance est loin d’être un document purement technique. Il doit évidemment contenir les données techniques nécessaires à sa mise en place. Mais il doit également, et surtout, être un outil de communication.

Le plan de surveillance va permettre de définir et d’expliquer le périmètre du SOC. Cela permet d’une part de valoriser les travaux du RSSI et de son équipe. Mais cela permet aussi de connaitre clairement les limites du SOC. En cas d’incident, ou lors du déploiement du service par exemple, il peut être utile que les différentes parties prenantes disposent d’un document de référence.

Le plan de surveillance doit donc être communicable. Il doit expliquer en termes claires, sans jargon, le périmètre protégé et les dispositifs de surveillance et de contrôle associé. Il devient un outil interne mais également externe, pivot des échanges entre le fournisseur de services (dans le cas d’un SOC externalisé) et de l’organisation cliente.

Chez Advens, nous considérons que la définition du plan de surveillance est une étape critique lors d’un projet de SOC. C’est d’ailleurs un livrable structurant de la démarche d’onboarding mySOC. L’identification des risques, la recherche des sources exploitables et le déploiement opérationnel du plan représentent la colonne vertébrale de la phase de BUILD qui vont conditionner la réussite et la qualité du RUN.

Pour en savoir plus, n’hésitez pas à revoir notre webinar sur le sujet :

https://webikeo.fr/webinar/soc-et-cybersecurite-comment-traduire-les-risques-metiers-en-plan-de-surveillance/

Benjamin Leroux, Innovation & Marketing, Advens