SOC (Security Operation Center)
Définition d’un SOC
Le SOC (Security Operation Center), désigne l’équipe en charge d’assurer la sécurité de l’information d’une entreprise. Elle est chargée de surveiller et d’analyser en permanence les systèmes de sécurité d’une entreprise au travers d’outils de collecte, de corrélation d'événements et d'intervention à distance. Le SIEM (Security Information Event Management) est l’ outil principal du SOC permettant de collecter , d’analyser et de traiter en temps réel les logs (journaux évènements) générés par l’ensemble des applications et des systèmes on-premise ou cloud.
L’équipe SOC peut être externe ou interne à votre société. Elle est composée d’analystes à différents niveaux, ingénieurs en sécurité ou managers/directeurs supervisant les opérations de sécurité. Elle travaille étroitement avec les équipes d’intervention afin que les incidents potentiels soient correctement identifiés, analysés, étudiés et signalés.
Les objectifs d’un SOC
L’objectif d’un SOC est de détecter, analyser et notifier les incidents de cybersécurité à l’aide de solutions et d’un ensemble de processus afin que les équipes puissent réagir rapidement en cas de menace ou d’incident. Les analystes sécurité sont à la recherche de comportements ou signaux anormaux sur les réseaux, le cloud, terminaux, bases de données, applications, sites web… qui pourraient contenir une faille dans le système d’information de votre entreprise.
Avec l’augmentation considérable de cyberattaques et ransomwares, les services que propose le SOC deviennent primordiaux pour la sécurité des entreprises.
Comment fonctionne un SOC ?
L’infrastructure « typique » de SOC comprend des pare-feu, des IPS/IDS, des solutions de détection des brèches, des sondes et un système de gestion de l'information et des événements de sécurité (SIEM), l’outil principal du SOC.
Des solutions sont mises en place afin de recueillir les données par le biais des flux de données, de télémétrie, de la capture de paquets réseaux afin que l'activité des données puisse être corrélée et analysée par les équipes SOC.
Le centre des opérations de sécurité met également en place une surveillance pour les vulnérabilités des réseaux et des terminaisons afin de protéger les données sensibles, afin de se conformer aux réglementations industrielles ou gouvernementales.
Quels sont les avantages à utiliser un SOC ?
Implanter un SOC permet d'améliorer quatre points cruciaux pour le système d'information de votre entreprise : son contrôle, la détection des attaques et la réponse aux incidents ainsi que sa mise en conformité.
Tout d’abord, le centre des opérations de sécurité va permettre à votre entreprise d’avoir une meilleure visibilité de votre environnement, de disposer de compétences, de process et d’amélioration continue.
Il va ensuite agir rapidement pour répondre aux incidents des entreprises grâce à une détection améliorée et des réponses adaptées. En effet, quand l'attaque est avérée, la réponse ciblée est mise en œuvre plus facilement et plus rapidement car des procédures ont été établies en amont pour agir en fonction du type d'incident. La rapidité est un élément clé pour limiter les dégâts, notamment dans le cas d'une infection par un malware.
Enfin, il va permettre d’être en conformité par rapport aux législations, notamment pour la plus connue d’entre elle : RGPD (Règlement Général de Protection des Données) qui concerne le traitement et la sécurité des données personnelles.
Les outils disponibles dans un SOC
La solution de sécurité principale du SOC est le SIEM (Security Information and Event Management) dont l’utilisation est l’analyse de logs et la détection des menaces.
Sa capacité à collecter des quantités massives de données hétérogènes, d’analyse et de corrélation des évènements lui permet de détecter les différentes menaces présentes dans l’infrastructure supervisée.
L’intégration des renseignements sur les menaces (Threat Intelligence), des vulnérabilités existantes et sa capacité UEBA (User and Entity Behavioral Analytics) vont détecter l’exploitation ou les tentatives d’exploitation de vulnérabilités, et ce de manière continue.
Mais le SIEM doit être couplé avec d’autres solutions de détections de vulnérabilités et de surveillance comme le SOAR pour ses actions de remédiation.
En effet, les technologies SOAR luttent en temps réel avec le SIEM contre les différentes menaces : phishing, malware, ransonware, exfiltration de données,…. Ils visent à automatiser une partie de l’effort humain répétitif nécessaire pour maintenir une forte posture de sécurité. Son utilité : Orchestration de la sécurité, automatisation et réponse aux incidents.
Pour remplir ses missions de notification, le SOC met en place différents outils permettant :
- la gestion de tickets d’incidents
- la notification des incidents de sécurité par mail et/ou SMS
- du « reporting » : site web consultable de manière sécurisée à partir de Laptop, Smartphone, Tablette.
Le modèle de déploiement d’un SOC
La première étape est de définir les besoins précis du service informatique de votre société. Il n’existe pas deux SOC identiques.
Une fois l’analyse des besoins définie, le projet de mise en place du SOC peut commencer à la phase de Construction (BUILD). Cette phase est assez technique puisque c’est celle de la configuration du SIEM, de la mise en place des process de détection, de notification et de reporting.
Une fois le SIEM configuré, la phase Exploitation (RUN) peut démarrer. C’est la conduite du SOC. Il s’agit de veiller à la remontée des alertes et réaliser les investigations via les ingénieurs analystes, des opérateurs et des experts pour piloter et surveiller le SOC.
Enfin, l’amélioration continue est une caractéristique majeure du SOC. Les évolutions permanentes des règles de détection doivent prendre en compte les nouvelles menaces et retours d’expérience suite aux incidents de sécurité.