Un SOC (Security Operations Center ou centre des opérations de sécurité) est un processus mis en place pour protéger le système d’information d’un client. Un SOC, c’est une mission et un périmètre d’exécution précis et une protection 24/7 des éléments stratégiques d’une organisation : ses users / clients ; ses collaborateurs ; ses données ; ses actifs.
Les SOC font face à un enjeu de taille : alors qu’un processus est censé être stable et normé, un SOC est conçu pour s’adapter aux menaces qui cherchent à prendre des formes méconnues pour rester les plus efficaces possibles. Un SOC est ainsi un processus en constante évolution.
SOC : définition et vue d’ensemble
Pourquoi déployer un SOC ?
Les nouvelles vulnérabilités d’une entreprise, liées à des logiciels malveillants, à un accès non sécurisé à des données ou à une défaillance humaine, augmentent plus rapidement que la capacité des organisations à les détecter puis à les traiter. Par exemple, à l’aide de patching, en sensibilisant les collaborateurs à la cybersécurité ou encore en segmentant le réseau de l’entreprise.
L’objectif premier d’un SOC ou centre opérationnel de sécurité est donc de protéger 24/7 les éléments stratégiques d’une organisation, les points d’accès potentiellement vulnérables et l’usage des données sensibles d’une entreprise.
35 %
35 % des cyberattaques menées entre 2019 et 2022 proviennent de méthodes d’attaques jusque-là encore inconnues (Stoik, 2022).
Le SOC doit pouvoir être suffisamment agile pour couvrir tout nouveau périmètre d’une organisation où des données stratégiques seraient à risque. Être suffisamment agile induit de détecter toute nouvelle donnée permettant d’identifier des comportements anormaux et malveillants sur ces périmètres, afin de prévenir tout problème de sécurité.
La surveillance sans interruption délivrée par un SOC sur l’activité de la totalité du système de gestion d’information (endpoints, réseaux, serveurs, base de données) permet aux entreprises de se défendre contre les incidents de cybersécurité et les intrusions, indépendamment de la source, de l’heure de la journée ou du type d’attaque.
Avoir un centre opérationnel de sécurité aide ainsi les organisations à combler l’écart entre le temps nécessaire à un hacker pour compromettre le système et le temps moyen de détection de l’attaque en cours.
Un SOC permet aussi de rester au fait des menaces qui pèsent sur l’environnement SI d’une entreprise.
L’organisation SOC : les 4 éléments inclus dans un SOC
Elles sont compilées dans différents supports qui sont à surveiller et sécuriser : les logs, les metadata d’usage, les données contextuelles du client et les données de la veille cyber sont des exemples de données stratégiques brutes à sécuriser ou qui vont contribuer à détecter des incidents de sécurité.
Les SDL, ou puits de logs en français, sont des répertoires de logs qui centralisent des données pour aider à leur gestion. Plus l’interface d’un SOC a de données, plus il apprend à trouver des anomalies et à signaler un risque cyber sur le SI à protéger.
Ils permettent aux équipes du SOC de trouver les failles de sécurité, et ils se maintiennent à jour grâce à un procédé de machine learning.
Un SOC, c’est aussi les compétences d’une équipe qui contrôle l’interface informatique. Les membres de cette équipe possèdent différentes compétences liées à la sécurité des systèmes d’information : sécurité, technologie, opérationnel, tests d’intrusion (pentesteurs) et veille (Cyber Threat Intelligence ou CTI).
Il est également essentiel de penser à monitorer et évaluer les résultats du SOC à l’aide de KPI précis et déterminés en amont.
Comment fonctionne un SOC nouvelle génération ?
Le SOC : un processus big data
L’avenir d’un SOC est orienté sur l’analyse et le traitement de données encore méconnues pour limiter des cyberattaques en constante évolution. Il se met donc perpétuellement à jour, au rythme des techniques des hackers.
Le fonctionnement d’un SOC doit intégrer dans son périmètre de surveillance différents environnements :
- l’environnement Cloud
- l’environnement applicatif
- l’environnement industriel connecté
Un SOC doit aussi faire le lien entre l’entreprise et la réalité de la menace grâce au machine learning. Cela est possible en compilant toutes les données de contexte de l’entreprise (ses vulnérabilités), la réalité de la menace déterminée par la CTI et l’évolution de la menace par la mutualisation de détection d’incidents auprès de plusieurs clients.
L’ère du Cloud a développé la possibilité de mutualiser les infrastructures de défense pour apprendre de plusieurs contextes en simultané. Cette mutualisation permise par des solutions XDR (eXtended Detection and Response) dans le Cloud contribue à l’amélioration en continu de la précision des détections d’incidents de sécurité.
Ce principe d’intelligence collective est enfin mis en application au service de la cyberdéfense, alors qu’elle est déjà exploitée par les cyberattaquants depuis longtemps.
Équipes SOC et équipes client : les modes d’interaction
Un processus clair doit être établi sur le mode d’interaction entre les parties prenantes, que cela concerne l’équipe du SOC et le client. Pour cela, il faut déterminer :
- Qui détecte les menaces ?
- Quel processus pour investiguer et répondre aux incidents de sécurité ?
- Comment être sûr d’avoir la bonne visibilité ?
- Quel plan de remédiation ?
Pour définir les rôles et les périmètres de chacun, chaque entreprise choisit son mode de mise en place du SOC, parmi trois options :
- Externalisé à 100%
- Hybride
- Internalisé
Outils SOC : 6 services d’un centre des opérations de sécurité
Un centre opérationnel de sécurité contient différents outils SOC pour détecter et analyser les failles de sécurité d’un système informatique en temps réel.
#1 SIEM (Security Information and Event Management)
Le Système de Gestion des Informations et des Événements est un outil qui intègre deux éléments : un puits de logs centralisant des données (SIM – Security Information Management) et un outil de détection configurable (SEM – Security Event Management) pour fournir des alertes en temps réel.
#2 EDR (Endpoint Detection & Response)
C’est un antivirus nouvelle génération qui analyse les données serveurs et endpoints, puis détecte des séquences de comportements malveillants.
#3 NDR (Network Detection & Response)
C’est un outil complémentaire au SIEM et l’EDR qui couvre les réseaux et établit des liens entre les hôtes, cependant il ne surveille pas les endpoints. Utiliser un NDR permet d’avoir un contexte de détection plus large, qui peut révéler toute l’étendue d’une attaque et permettre des actions de réponse plus rapides et mieux ciblées.
#4 XDR (eXtended Detection & Response)
Le XDR corrèle les données de l’EDR avec les autres informations du réseau (Cloud, Active Directory…) pour détecter les menaces plus rapidement. Une plateforme XDR ne surveille pas seulement les endpoints, mais aussi les e-mails, les serveurs et le Cloud.
#5 Open XDR
C’est une déclinaison de la plateforme XDR, qui offre une agnosticité technologique plus importante, notamment celle d’ingérer les données de n’importe quel éditeur d’EDR ou de CTI.
#6 MDR (Managed Detection & Response)
Le MDR est un service qui collecte un maximum d’informations contextualisées pour gérer des incidents de sécurité. Les solutions sont opérées par un SOC, interne ou externalisé, et permettent d’adresser de bout en bout les menaces cyber.
Un SOC est la tour de contrôle en matière de sécurité du système d’information d’une entreprise. Un tel centre d’opérations permet de surveiller le réseau en continu et en temps réel. Il détecte, analyse et remédie aux incidents de sécurité à l’aide des dernières solutions technologiques.
Envie d’en savoir plus ?
Advens propose du SOC-as-a-Service en continu. Avec ce service, vous pouvez externaliser totalement ou partiellement la gestion de votre SOC avec une équipe qui supervise, alerte et remédie à un incident de sécurité dès qu’il est détecté.
