Un SOC, c’est quoi et pourquoi ?

Un « security operations center » fait maintenant partie intégrante de la sécurité des entreprises. Que se passe-t-il exactement dans un tel SOC, et faut-il en créer un soi-même ?

Les solutions technologiques ne sont qu’une partie d’une bonne cybersécurité. Les bons outils, tels qu’une solution XDR et un système SIEM pratique, permettent de garder un œil sur vos terminaux et le trafic réseau et de générer des journaux et des alertes. Ils effectuent même souvent un triage, en mettant en évidence les événements importants.

Tous les points de données ne sont pas immédiatement indicatifs d’une cyberattaque réussie, mais ces données recèlent des modèles qui permettent de démasquer les pirates les plus ingénieux. C’est très utile, si au moins on garde un œil sur ces journaux et ces alertes.

Administration centrale

Un security operations center ou SOC est un lieu central où des experts en sécurité surveillent activement un environnement informatique. Dans un SOC, les spécialistes surveillent tout ce qui se passe et savent exactement quand il faut agir. De cette manière, les éventuels dangers sont écartés dès les premières indications d’un problème.

Une tâche difficile. Les alertes basées sur des événements dans l’environnement informatique arrivent relativement fréquemment, mais elles ne sont pas toutes sérieuses. Parfois, il s’agit de faux positifs, mais parfois une alerte indique un problème plus important. Les experts d’un SOC savent faire la différence et savent quand agir rapidement et quand ne pas le faire. « C’est pourquoi il est important que les experts connaissent et comprennent l’environnement qu’ils surveillent », explique Robin Bruynseels, ingénieur en cybersécurité chez EASI.

Analyse permanente des événements

« Dans un SOC, nous examinons si le trafic est légitime ou non », précise Bruynseels. « Cela nous permet de voir si de mauvaises choses se produisent ou s’il existe des vulnérabilités. » Selon lui, un SOC devient de plus en plus essentiel à la sécurité des entreprises : « Les incidents de cybersécurité augmentent en flèche. Pour devancer les pirates ou pour réagir rapidement, vous avez besoin d’un SOC »

Pour devancer les pirates ou réagir rapidement, vous avez besoin d’un SOC.

Robin Bruynseels, ingénieur en cybersécurité EASI

Alternativement, une équipe informatique peut se plonger régulièrement ou non dans les fichiers journaux à la recherche d’irrégularités. Une telle approche n’est pas idéale, et pas seulement en raison du grand nombre de rapports qui peuvent s’accumuler. Bruynseels : « Si vous vérifiez les événements et les journaux de façon spontanée de temps à autre, il se peut que vous ratiez quelque chose qui s’est produit il y a plusieurs semaines. Un SOC est actif 24/7 et surveille en permanence. Les analystes du SOC peuvent réagir une seconde après qu’une information soit reçue. »

Pas de SOC sans les outils adéquats

Un SOC requiert un environnement compatible. Les analystes ne peuvent suivre les données, les alertes et les événements que s’ils arrivent d’une manière fiable et compréhensible. La partie technique est donc importante : il faut les outils adéquats pour connecter l’environnement au SOC.

« Il est primordial d’avoir une bonne base », déclare Bruynseels. Tout installer est toujours un défi modeste, mais il n’y a généralement pas d’obstacles majeurs. « Les outils les plus modernes de surveillance via un SOC fonctionnent dans à peu près tous les environnements ». Il faut parfois se creuser la tête, surtout lorsqu’une entreprise utilise des outils de différents fabricants. Tous les outils doivent fonctionner ensemble de manière ordonnée et être intégrés. Il n’est pas question que les employés d’un SOC doivent parcourir dix tableaux de bord différents pour connaître la situation la plus récente.

Les besoins exacts dépendent de l’échelle. « Une petite SOC n’a pas besoin des mêmes outils qu’une grande équipe », sait Bruynseels. « Nous voulons éviter la surcharge. » Cependant, tout type d’entreprise, quelle que soit sa taille, peut bénéficier d’un SOC. Le personnel est indispensable dans tout scénario. L’idée même d’un SOC est la surveillance continue, ce qui signifie que quelqu’un doit être capable de répondre à un rapport critique à trois heures du matin.

SOCaaS

En réalité, toutes les entreprises n’ont pas les ressources nécessaires pour mettre en place un SOC avec du personnel permanent. « Vous pouvez certainement tout faire en interne, mais il faut alors y installer des personnes », souligne Bruynseels.  « Sinon, il est préférable d’externaliser. » La seconde est une option de plus en plus populaire aujourd’hui.

Ce concept est appelé SOC-as-a-Service. Pour ce type de service, une entreprise relie son environnement à un SOC dont le personnel est composé d’une partie externe telle qu’un spécialiste de la sécurité ou un partenaire. Dans ce SOC, les spécialistes surveillent non seulement votre environnement, mais aussi celui d’autres clients. Cela apporte un avantage d’échelle. Un tel SOC attire plus facilement les bons experts, qui peuvent également prendre des mesures pour tous les clients à partir d’un seul problème dans une seule entreprise.

La question si vous le faites vous-même ou non n’est pas si importante. Il devient toutefois crucial d’avoir un SOC. Après tout, cela signifie que vos outils de sécurité ne se contentent pas de garder un œil sur votre environnement, mais qu’il existe également un ou plusieurs experts prêts à répondre correctement à toute alerte.

bulletin

Abonnez-vous gratuitement à ITdaily !

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.