Qu’est-ce qu’un SOC (Security Operation Center) ?

ParOlivier Giraud

Qu’est-ce qu’un SOC (Security Operation Center) ?

Le SOC, vecteur de détection des attaques

A l’heure où les cybermenaces sont omniprésentes, la question n’est plus de savoir si votre organisation subira une attaque mais comment votre organisation y fera face.

Chaque organisation doit protéger son SI (Système d’Information) mais cela ne suffit pas. Aucun dispositif de défense n’est infaillible. Un nouveau virus pas exemple non répertorié par les éditeurs d’antivirus ne sera pas a priori détecté.

De plus, se développe l’usage, par les organisations et leurs collaborateurs, d’équipements mobiles professionnels mais aussi personnels, du cloud, d’accès réseaux externes (wifi public par exemple), procurant de nombreux angles d’attaques. La protection permet d’éviter nombre d’attaque mais cela ne suffit pas, les organisations doivent pouvoir les détecter pour pouvoir les traiter en temps réel.

Pour cela, de nombreuses organisations se sont dotées d’un SOC (Security Operation Center).

Qu’est-ce qu’un SOC ?

Le SOC est une équipe assurant la supervision et l’administration opérationnelle de la sécurité du SI d’une organisation et de ses données.

Son objectif est de :

  • Surveiller et analyser en continu (24/7) l’activité sur les SI (serveurs, points finaux (terminaux), applications, base de données), et réseaux de l’organisation
  • Détecter, analyser les incidents de sécurité et veiller à ce qu’ils soient traités.

Le SOC est une organisation opérationnelle composé d’analystes et d’experts en cybersécurité.

L’équipe peut être composée :

  • En partie d’internes pour une meilleure maîtrise du contexte et des enjeux de l’organisation et la maîtrise des connaissances des menaces à couvrir
  • En partie d’externes, pour un apport d’expertises techniques et pour faciliter la couverture de l’amplitude horaire d’activité du SOC des 24/7.

Les outils du SOC

Le SOC peut s’appuyer sur des outils technologiques tels que :

  • Le SIEM (Security Information Event Management) ou SI de gestion des événements de sécurité. Cet outil permet de centraliser la collecte d’informations provenant du réseau, des dispositifs de sécurité et des applications de l’organisation puis de les analyser selon des scénarios préétablis afin d’identifier et de catégoriser des incidents.
    • Désormais, le SIEM est souvent complété par des outils de Machine Learning et d’analyse statistique avancée voir de l’IA (Intelligence Artificielle) et du Deep Learning pour améliorer la détection de signaux faibles correspondant à des menaces.
  • Le SOAR (Security Orchestration Automation Response). Un SOAR permet de collecter des données sur tous les événements IT, de les analyser automatiquement selon des scénarios définis manuellement ou par une IA, d’identifier les menaces connues afin de les classifier et d’isoler les vrais attaques des faux positifs afin de faire gagner du temps aux analystes en cybersécurité.
  • La CTI (Cyber Threat Intelligence) a pour but d’identifier, d’analyser et de hiérarchiser les cybermenaces visant votre entreprise afin de lui permettre d’anticiper les attaques et de mieux s’en protéger. Il s’agit d’une démarche qui consiste à collecter, analyser et diffuser des informations liées aux cybermenaces, aux cyberattaquants, à leurs motivations et à leurs modes opératoires et d’en tirer les renseignements pertinents par rapport à l’environnement économique et géopolitique de l’entreprise. Elle aide aussi à déterminer si l’entreprise a été victime d’une attaque.
  • L’UEBA (User Behavior Analytics) qui permet d’analyser les comportements d’utilisateurs.
  • Les IPS/IDS (Système de Détection d’Intrusion) qui sont des sondes de détection d’intrusion qui permettent d’identifier des trafics d’informations suspects.
  • Le DLP (Data Loss Prevention) qui permet de lutter contre la fuite de données.
  • Le CASB : (Cloud Access Security Broker) est un outil qui permet de détecter les menaces, d’anticiper les incidents et d’apporter une visibilité sur l’ensemble des applications hébergées dans le Cloud d’une organisation.
  • L’EDR (Endpoint Detection and Response) est un outil complétant l’antivirus qui permet de bloquer des menaces connues ou inconnue par de l’analyse de suites d’actions dont le résultat est suspect.

Attention, le SOC ne remplace pas un CERT (Computer Emergency Response Team). La répartition usuelle des rôles se traduit par le SOC détecte l’incident, le CERT le traite. Ils sont donc complémentaires.

À propos de l’auteur

Olivier Giraud administrator

Related News

21 octobre 2020
0

Secteur de l’énergie et RGPD

By Olivier Giraud
20 octobre 2020
0

Quelles solutions pour un travail à distance efficace mais sécurisé ?

By Olivier Giraud
15 octobre 2020
0

Qu’est ce que le SASE – Secure Access Service Edge ?

By Olivier Giraud

Laisser un commentaire

Contactez-nous

Bureaux
69290, Lyon
75003, Paris

Notre adresse de messagerie
contact@audalie.com

Rechercher

À propos d’Audalie

Nous sommes un cabinet de conseils et d’expertises en organisation et management IT, contrôle interne IT et SSI, cybersécurité, RGPD

Copyright 2019 Audalie© | Thème : Shk Corporate par Webriti