La sécurité des systèmes d’information est un enjeu majeur pour les entreprises. Les SOC (Security Operation Centers) ont pour mission de détecter et de corriger les failles de sécurité. Découvrez dans cet article ce qu’est un SOC et comment il fonctionne.
Qu’est-ce qu’un SOC en informatique ? Définition !
Le centre des opérations de sécurité, ou Security Operation Center (SOC), est une fonction centralisée au sein d’une organisation qui emploie des personnes, des processus et des technologies pour surveiller et améliorer en permanence la posture de sécurité de la société tout en prévenant, détectant, analysant et répondant aux incidents de cybersécurité.
Le SOC ne doit pas être confondu avec le NOC, ou centre d’exploitation réseau.
Quel est le rôle d’un SOC ?
Un SOC agit comme une plaque tournante ou un poste de commandement central. Il reçoit la télémétrie de l’ensemble de l’infrastructure informatique d’une entreprise ; y compris ses réseaux informatiques, ses dispositifs, ses appareils et ses bases d’informations. Quel que soit l’endroit où se trouvent ces actifs et quels que soient les utilisateurs.
Nous reviendrons de façon plus détaillée sur les fonctions du centre des opérations de sécurité dans la suite de cet article.
Pourquoi avoir un SOC ?
La prolifération des menaces avancées exige la collecte de données contextuelles provenant de diverses sources. Essentiellement, le SOC est le point de corrélation pour chaque événement enregistré au sein de l’entreprise qui est surveillée. Pour chacun de ces événements, le SOC doit décider de la manière dont ils seront gérés et traités.
Comment construire un outil SOC ?
Les SOC ont été généralement construits autour d’une architecture en étoile, les rayons de ce modèle pouvant intégrer une variété de systèmes ; tels que des solutions d’évaluation des vulnérabilités, des systèmes de gouvernance, de risque et de conformité (GRC), des scanners d’applications et de bases de données, des systèmes de prévention des intrusions (IPS), des analyses du comportement des utilisateurs et des entités (UEBA), des systèmes de détection et de correction des points d’extrémité (EDR) et des plateformes de renseignement sur les menaces (TIP).
Personnel et structure organisationnelle des opérations de cyber sécurité
La fonction d’une équipe SOC et, souvent, d’un centre d’opérations de sécurité, est de surveiller, détecter, enquêter et répondre aux cybermenaces 24 heures sur 24.
Les équipes SOC chargées des opérations de sécurité sont chargées de surveiller et de protéger de nombreux actifs d’une entreprise ; tels que la propriété intellectuelle, les données du personnel, les systèmes commerciaux et l’intégrité de la marque. En tant qu’élément de mise en œuvre du cadre global de cybersécurité d’une organisation, les équipes SOC chargées des opérations de sécurité constituent le point central de collaboration dans les efforts coordonnés de surveillance, d’évaluation et de défense contre les cyberattaques.
Le SOC est généralement dirigé par un responsable SOC. Il peut comprendre des intervenants en cas d’incident de sécurité, des analystes SOC (niveaux 1, 2 et 3), des chasseurs de menaces et des responsables de la réponse aux incidents de sécurité. Le SOC rend compte au CISO, qui lui-même rend compte soit au CIO, soit directement au CEO.
C’est quoi un analyste soc ?
Un analyste SOC est un professionnel technique qui travaille dans le domaine de la cybersécurité pour surveiller et analyser l’efficacité des systèmes de sécurité d’une entreprise. Ces analystes du centre d’opérations de sécurité (SOC) travaillent au sein d’une équipe dédiée à la détection, à l’évaluation et à la réponse aux problèmes de cybersécurité.
Quels sont les éléments clés d’un SOC ?
Faire l’inventaire des ressources disponibles
Le SOC est responsable de deux types d’actifs : les divers dispositifs, processus et applications qu’il est chargé de protéger, et les outils défensifs dont il dispose pour assurer cette protection.
Ce que le SOC protège
Le SOC ne peut pas protéger les appareils et les données qu’il ne voit pas. Sans visibilité ni contrôle, de l’appareil, il est probable qu’il y ait des angles morts dans la posture de sécurité du réseau. Des failles qui peuvent être trouvées et exploitées par les pirates informatiques. L’objectif du SOC est donc d’obtenir une vue complète du paysage des menaces de l’entreprise ; y compris non seulement les différents types de terminaux, serveurs et logiciels sur place. Mais aussi les services tiers et le trafic circulant entre ces actifs.
Comment le SOC protège-t-il ?
Le SOC doit également avoir une compréhension complète de tous les outils de cybersécurité disponibles et de tous les flux de travail utilisés au sein du SOC. Cela augmente l’agilité et permet au SOC de fonctionner au maximum de son efficacité.
Préparation et entretien préventif
Même les processus de réponse les mieux équipés et les plus agiles ne sont pas à la hauteur pour empêcher les problèmes de se produire en premier lieu. Pour aider à tenir les pirates à distance, se protéger des logiciels malveillants, le SOC met en œuvre des mesures préventives. Elles peuvent être divisées en deux catégories principales.
Préparation
Les membres de l’équipe doivent se tenir informés des dernières innovations en matière de sécurité, des dernières tendances de la cybercriminalité et du développement de nouvelles menaces à long terme. Ces recherches peuvent contribuer à la création d’une feuille de route de sécurité qui orientera les efforts de cyberdéfense de l’entreprise à l’avenir ; et d’un plan de reprise après sinistre qui servira de guide dans le pire des cas. Dans certains cas l’intelligence artificielle est également utilisée.
Maintenance préventive
Cette étape comprend toutes les mesures prises pour rendre les différentes types d’attaques réussies plus difficiles. Notamment la maintenance informatique et la mise à jour régulières des systèmes existants, la mise à jour des politiques de pare-feu, la correction des vulnérabilités et l’établissement d’une liste blanche, d’une liste noire et la sécurisation des applications.
Surveillance proactive continue de votre société
Les outils utilisés par le SOC scannent le réseau 24 heures sur 24 et 7 jours sur 7 pour signaler toute anomalie ou activité suspecte. La surveillance du réseau à toute heure de la journée permet au SOC d’être immédiatement informé des menaces émergentes. Ce qui lui donne la meilleure chance de prévenir ou d’atténuer les dommages.
Les outils de surveillance peuvent inclure un SIEM (Security Information Event Management) ou un EDR, voire un SOAR ou un XDR, dont les plus avancés peuvent utiliser l’analyse comportementale pour « enseigner » aux systèmes la différence entre les opérations quotidiennes normales et le comportement réel des menaces. Minimisant ainsi la quantité de triage et d’analyse qui doit être effectuée par les humains.
Classement et gestion des alertes
Lorsque les outils de surveillance émettent des alertes, il incombe au SOC d’examiner attentivement chacune des alertes, d’écarter les faux positifs parmi ces alertes et de déterminer l’agressivité des menaces réelles et ce qu’elles pourraient viser. Cela lui permet de trier les menaces émergentes de manière appropriée, en traitant les problèmes les plus urgents en premier.
Réponse à la menace
Ce sont les actions auxquelles la plupart des gens pensent lorsqu’ils pensent au SOC. Dès qu’un incident est confirmé, le SOC agit en tant que premier intervenant, en effectuant des actions telles que l’arrêt ou l’isolation des terminaux, la fin des processus nuisibles (ou la prévention de leur exécution), la suppression des fichiers, etc. L’objectif est de réagir dans la mesure nécessaire tout en ayant un impact aussi faible que possible sur la continuité des activités de la société.
Récupération et remédiation
À la suite d’un incident, le SOC s’efforce de restaurer les systèmes d’information et de récupérer les données perdues ou compromises. Cela peut inclure l’effacement et le redémarrage des postes de travail, des terminaux, la reconfiguration des systèmes ou, dans le cas d’attaques par ransomware, le déploiement de sauvegardes viables afin de contourner le ransomware. En cas de succès, cette étape ramène le réseau à l’état dans lequel il se trouvait avant l’incident.
Gestion des journaux
Le SOC est responsable de la collecte, de la maintenance informatique et de l’examen régulier du journal de toutes les activités et communications du réseau pour l’ensemble de l’organisation. Ces données aident à définir une base de référence pour l’activité « normale » du réseau. Elles peuvent révéler l’existence de menaces et peuvent être utilisées pour la remédiation et l’analyse médico-légale à la suite d’un incident.
De nombreux SOC utilisent un SIEM pour regrouper et corréler les flux de données provenant des applications, des firewalls, des systèmes d’exploitation et des terminaux ; qui produisent tous leurs propres journaux internes.
Recherche des causes profondes
À la suite d’un incident, le SOC est chargé de déterminer exactement ce qui s’est passé ; quand, comment et pourquoi. Au cours de cette enquête, le SOC utilise les données des journaux et d’autres informations pour remonter à la source du problème. Ce qui l’aidera à éviter que des problèmes similaires ne se reproduisent à l’avenir.
Raffinement et amélioration de la sécurité
Les pirates informatiques, les cybercriminels, perfectionnent constamment leurs outils et leurs stratégies. Aussi, pour garder une longueur d’avance sur eux, le SOC doit mettre en œuvre des améliorations de façon continue. Au cours de cette étape, les plans décrits dans la feuille de route de sécurité prennent vie. Mais ce raffinement peut également inclure des pratiques telles que le red-teaming et le purple-teaming.
Gestion de la conformité via le centre opérationnel de sécurité
De nombreux processus du SOC traditionnel sont guidés par les meilleures pratiques établies. Mais certains sont régis par des exigences de gestion de conformité. Le SOC est responsable de l’audit régulier de ses systèmes afin de garantir la conformité à ces réglementations, qui peuvent être émises par son organisation, par son secteur d’activité ou par des organes directeurs.
Le RGPD, l’HIPAA et le PCI DSS (Payment Card Industry Data Security Standard) sont des exemples de ces réglementations. Agir conformément à ces réglementations permet non seulement de protéger les données sensibles confiées à l’entreprise. Aussi, cela permet de protéger l’organisation contre les atteintes à sa réputation et les défis juridiques résultant d’une violation.
SOC ou SIEM ?
Cette question est parfaitement légitime pour les entreprises. Le SIEM (Security Information Event Management) est l’outil principal du SOC puisqu’il permet de gérer les évènements d’un SI.
Le SOC est nécessaire pour contenir et éradiquer la menace. Mais le SIEM analysera le trafic réseau, bloquera éventuellement l’accès et enverra une alerte à un analyste sécurité pour qu’il poursuive ses recherches sur l’événement. Les menaces complexes et avancées sont difficiles à éradiquer d’un environnement.
Une menace persistante avancée (APT) créera des portes dérobées et d’autres moyens d’exfiltrer des données ; même après l’éradication initiale. Ainsi, par exemple, certaines variantes de ransomware se répliquent sur le stockage du réseau. S’il est laissé sur le stockage du réseau, il peut potentiellement réinfecter le réseau et créer un autre cyber-événement qui pourrait avoir un impact sur l’intégrité des données. Ces menaces sont difficiles à identifier et à supprimer complètement de l’environnement. Mais un SIEM peut aider à les surveiller et à les détecter afin que les analystes puissent supprimer l’APT.
Découvrez CSOC : notre portail SOC As a Service ou SOC Managé
Ainsi, vous l’aurez compris, le SOC est devenu un véritable atout pour les entreprises. Désormais, sa mise en place est même recommandée par les organismes publics qui font autorité en la matière ; comme l’ANSSI.
C’est pour cela que EXTER a développé CSOC. Un portail SOC As a Service permettant de répondre aux différentes exigences légales et offrant une protection globale et complète aux entreprises et leurs utilisateurs.
La première étape pour établir un SOC : nous contacter ! Nos experts sont à votre disposition pour répondre à toutes vos questions et démarrer la mise en conformité de vos règles de sécurité.
Recevez votre devis personnalisé dans la journée
Dites-nous ce qu'il vous faut, on s'occupe de tout !