Comment l’utilisation d’un SOC peut-il aider à protéger le système d’information et les données d’une entreprise ?

22 septembre 2023 / Célina Barc

Par : Célina Barc

Les nouveaux modes de travail et la transformation numérique ouvrent la voie à de nombreuses vulnérabilités et des logiciels malveillants au sein des entreprises. 34 millions de malwares, jusqu’ici inconnus au bataillon, ont été mis à jour en 2022*. Leur développe
ment est tellement rapide que les sociétés peinent à les détecter et à les traiter à temps. La mise en place d’un SOC (Security Operation Center) permet ainsi de passer au crible chaque anomalie afin de protéger en temps réel les systèmes d’information et les données des entreprises. Retour sur le fonctionnement, la raison d’être et les avantages de cette véritable tour de contrôle.

*Source : Atlas VPN, 2022

Déploiement d’un SOC : un incontournable d’une stratégie de cybersécurité en entreprise ?

Définition et principes généraux du SOC ou Centre des Opérations de sécurité

Le SOC est la tour de contrôle de la sécurité. Elle offre une vision globale de la sécurité de tout le périmètre de l’entreprise. David Boniface, Responsable Analyste SOC.

Dans la famille des acronymes de l’informatique et de la cybersécurité, nous demandons le SOC, également appelé Security Operation Center ou en français, Centre des Opérations de Sécurité. Le SOC renvoie à l’escadron d’analystes chargés d’assurer la sécurité informatique et l’intégrité des systèmes d’information. L’équipe SOC est très souvent externe à l'organisation dont elle dépend bien que quelques grands comptes et ETI disposent de leur propre centre de sécurité en interne.

“Le SOC de Blue fait partie intégrante de votre DSI; pour chaque client nous faisons du custom sur les process de détection et remédiation.” David Boniface, Responsable Analyste SOC.

Quoi qu'il en soit, ce sont toujours des profils cyber très spécialisés (ingénieurs ou managers chargés des opérations de sécurités, chasseurs de menaces, etc. ) qui composent une équipe SOC. La formation pour devenir analyste SOC va du BTS au BAC+5 dans le secteur informatique. À l’heure des pénuries de compétences dans le monde de la cybersécurité, la formation et les compétences SOC sont très recherchées.

Ces experts ont pour mission de travailler en étroite collaboration avec les équipes sécurité des entreprises (DSI, RSSI, administrateurs) afin de traiter le plus efficacement possible tout incident potentiel. Agissant comme une véritable sentinelle de la cybersécurité, le SOC se charge de surveiller, détecter et analyser en continu les flux de données et d'événements inhérents aux systèmes d’information (SI) des entreprises. Si un incident se déclare, le SOC enclenche un processus de remédiation.

L’équipe SOC sélectionne et coordonne un large panel de technologies et de méthodologies. Parmi elles, citons les outils de collecte, de corrélations d’événements ou encore d’interventions à distance. Ces dernières s'appuient entre autres sur des technologies de pointe, à l’instar de l’automatisation et du machine learning.

Quels périmètres d’action pour le centre opérationnel de sécurité ?

Le SOC est un dispositif de cybersécurité qui ratisse un très large périmètre. En effet, il a pour vocation de surveiller l’ensemble des activités et des données d’une infrastructure : terminaux, serveurs, BDD, réseaux, cloud et applications. Toutefois, les entreprises peuvent aussi faire le choix d’étendre ce périmètre aux applications mobiles et aux smartphones. Parfois utilisés à des fins personnelles par les collaborateurs, ces devices ouvrent la voie à de potentielles failles de sécurité. Le SOC pourra aussi examiner les connexions WiFi et particulièrement les sessions invitées.

La mise en place d’un SOC implique aussi aux entreprises de se poser les questions suivantes. Quel niveau de détection et de surveillance le SOC doit-il appliquer ? Convient-il de limiter la veille aux seuls équipements et appareils de l’organisation ? Ou bien faut-il prendre en considération les renseignements sur les menaces (Threat Intelligence) en provenance d’éditeurs d’antivirus ou d'organismes nationaux comme l’ANSSI ?

Ce qu’il faut retenir, c’est que plus les entreprises étendent leur périmètre d’action, plus le SOC sera en mesure de corréler des événements entre eux et donc, de contrer et d’anticiper de très nombreuses attaques.

Le Security Operation Center est reconnu comme une solution complète pour la protection et la surveillance des systèmes d'information et de leurs données. Cependant, le choix entre externaliser ou internaliser un SOC suscite des interrogations.

Play Video

Objectif du SOC en entreprise : La proactivité dans la détection de menaces

Toujours un coup d’avance pourrait être le leitmotiv du SOC. Là où un antivirus classique détecte puis répond à une menace déjà connue et bien installée dans un environnement, le SOC va être capable d’y ajouter une stratégie résolument proactive en analysant et surveillant finement les activités et les signaux suspects.

Son objectif, avant toute considération des notions de détection et de remédiation, consiste à anticiper la survenue d’incidents avant qu’ils n’aient le temps de se répandre dans un système. Cette approche s’avère être un atout considérable là où le délai moyen entre la survenue d’une cyberattaque et sa détection tourne autour de 175 jours.

Les analystes de l’équipe SOC vont ainsi chercher toute activité et tout comportement anormaux qui seraient susceptibles de contenir une faille pouvant compromettre le SI. Grâce à un panel de méthodes et de solutions, ils pourront notifier les RSSI et les DSI afin de remédier le plus rapidement possible à toute menace, limitant ainsi de nombreux dégâts : coûts faramineux, expositions de données, arrêts de production, etc.

Les outils et le fonctionnement du SOC en entreprise

Le SIEM (Security Information Event Management) au service de la collecte et de la centralisation d’informations

Le SIEM, c’est l’outil que l’on associe traditionnellement au SOC. Il s’agit d’une solution de gestion d'événements qui va centraliser toutes les activités de tout un SI dans un seul et même endroit. Il collecte, classifie, agrège et corrèle des milliers de logs entre eux, provenant de toutes les briques de sécurité du SI (XDR, bastion, firewall, protection anti DDoS, etc.) et de toutes les infrastructures (endpoints, cloud, serveurs, réseaux, BDD, etc.) Il va ensuite comparer ces séries d'événements à des normes et processus établis en amont afin de révéler ce qui sort de la norme. Ces écarts sont ensuite traités et analysés pour y déceler de potentielles menaces.

Pour un analyste SOC, c’est un indispensable allié qui, non seulement lui fait gagner un temps considérable, mais lui permet aussi d’effectuer une surveillance en temps réel. Non content de surveiller l’activité des utilisateurs et des applications, le trafic entrant et sortant du réseau et autres données liées à la sécurité, le SIEM est aussi un garant de la conformité de la donnée. En effet, il vérifie si les politiques de sécurité et les normes suivies par l'entreprise (RGPD, ISO,PCI...) sont bien respectées.

Nos experts Blue s’appuient sur le SIEM Qradar d’IBM, pour sa très haute précision quant à la corrélation des logs.

XDR : la détection de menaces grâce à l’analyse comportementale et au machine learning

Nous avons vu lors d’un précédent article que l’XDR se définissait comme l’évolution naturelle de l’EDR (Endpoint Detection and Response). L’EDR est une technologie logicielle qui se concentre sur les endpoints. Elle détecte puis remédie à une menace en collectant et analysant une quantité très importante d’informations sur les flottes de terminaux.

Plus précisément, l’EDR constitue l’une des quatre briques de l’XDR, entité encore plus puissante et qui travaille sur un prisme bien plus étendu. L’XDR couvre la partie détection et réponse aux menaces sur les terminaux (EPP et EDR), mais analyse et protège aussi le réseau (NDR), le cloud, les emails ou encore les applications d’un système d’information. Ajoutons également que l’XDR surveille, collecte et corrèle des événements de sources encore plus étendues que le SIEM et l’EDR.

Grâce à l’un de ces plus puissants composants, l’UBA ou User Behavior Analytics, l’XDR s’appuie sur l'analyse comportementale des utilisateurs et de leur activité pour remplir au plus près sa fonction de détection et de réponse à un large spectre de menaces. Grâce au machine learning, elle va apprendre en continu des milliers de patterns pour être en mesure de :

mettre le doigt sur des attaques encore méconnues
permettre aux analystes SOC de distinguer les faux positifs des comportements réellement dangereux

Pour les analystes du SOC, l’XDR offre une nouvelle dimension à la fonction de détection. En outre, cela leur permet également de mieux comprendre les menaces et leurs origines et leur apporte une visibilité sans précédent.

Enfin, l’XDR s’appuie sur l’automatisation pour industrialiser la réponse aux attaques. Ces différents atouts offrent au SOC la possibilité de bloquer au plus près et très rapidement les menaces, et même de détecter une attaque sur un système avant même qu’elle ne fasse trop de dégâts.

Nos équipes SOC s’appuient sur le Cortex de Palo Alto, Sentinel One et Carbone Black (EPP, EDR, NDR, UBA).

Le SOAR ou comment établir des scénarios de remédiations pertinents tout en améliorant la productivité des équipes SOC

Le propre du SOAR (Security Orchestration, Automation and Response) consiste à assurer la sécurité des systèmes d’information en misant sur la qualité et la finesse dans la réponse à incidents. Pour cela, cette technologie s’articule autour de plusieurs axes essentiels. D’abord, la collecte et la gestion des incidents et des données, grâce au SIEM. De fait, chaque analyste dispose d’une cartographie de menaces aussi pertinente que complète. En outre, ces différentes menaces sont classées par ordre de priorité, ce qui facilite l’organisation des experts.

L’automatisation des tâches est sans surprise une autre brique incontournable du SOAR. De nombreux processus et playbooks sont déjà prédéfinis et centralisés dans un seul et même endroit. Ils orientent de fait les analystes vers les réponses et les scénarios de remédiations les plus adaptés.

Enfin, la formulation de recommandations et l’investigation automatique figurent aussi dans le curriculum du SOAR. Certaines de ces technologies sont en effet dotées d’algorithmes de machine learning qui leur permettent d’assimiler un très grand nombre de données. Ensuite, elles sont en mesure de formuler aux analystes des recommandations, des décisions et des façons d’agir, qu’ils sont bien sûr libres de suivre ou non (et même de modifier).

Nos analystes cyber se sont dotés de la solution IBM Resilient Security Orchestration, Automation and Response (SOAR).

Les bénéfices du SOC pour la protection du SI et l’intégrité des données en entreprise

Une surveillance en temps réel et en continu de l’ensemble du SI grâce à des équipes qui se relaient 24/7.
Un temps de réponse à incidents qui tend à diminuer drastiquement…
… Et un délai médian entre la survenue d’une cyberattaque et sa détection qui se réduit comme peau de chagrin
La centralisation des outils et des technologies afin de donner une meilleure visibilité et une meilleure compréhension des flux d'événements dans le SI
L’usage de process et de technologies qui encouragent des méthodes de travail agiles et une communication plus efficace entre les collaborateurs.
Réduction des coûts liés aux cyberattaques et aux compromissions (temps d'arrêts de production, vols de données, éventuelles amendes à la CNIL, etc.)
Une meilleure transparence et une traçabilité établie dans les opérations de sécurité
Une répartition plus équilibrée dans la charge de travail des équipes de sécurité interne
Le recours à l’automatisation pour réduire les tâches manuelles chronophages, répétitives et sources d’erreurs humaines
Des méthodologies et des outils qui assurent le respect et le suivi des politiques de sécurité et des normes liées à certaines données sensibles (RGPD, ISO,PCI...)

Notre pack Blue Cyber “Défense en profondeur” vous accompagne pour déterminer le périmètre d’action et le degré de détection de votre SOC en fonction de vos besoins.