SOC
Un SOC (Security Operating Center), en français un centre opérationnel de sécurité, est l’environnement où sont supervisés les systèmes d’information pour assurer la détection, le confinement et la remédiation des incidents de sécurité.
La surveillance s’étend à toutes les couches logiques de l’infrastructure, depuis le trafic réseau jusqu’aux activités applicatives.
L’essentiel du travail en SOC consiste à analyser les événements remontés par les systèmes supervisés, les corréler avec d’éventuelles menaces et vulnérabilités connues, pour identifier de potentiels incidents de sécurité.
De plus en plus répandus, les SOC restent difficiles à maîtriser, notamment en raison des volumes d’événements à traiter. Beaucoup de centres opérationnels de sécurité seraient d’ailleurs inefficaces.
Souvent, les projets SOC s’avèrent pénalisés par une approche trop technique, qui néglige le fait qu’ils doivent s’inscrire dans une stratégie de sécurité informatique plus vaste, basée sur la définition des scénarios de risque les plus redoutés et, dès lors, sur les actifs les plus critiques.
Le SOC est donc un organe de production de technique, qui s’articule autour d’outils, mais il est aussi une base sur laquelle s’organisent de nombreux processus qui impliquent des intervenants tout aussi nombreux au sein de l’organisation.
Le système de gestion des informations et des événements de sécurité (SIEM) est généralement au cœur des activités du SOC. C’est lui qui doit permettre de consolider et d’analyser les journaux d’activité (logs) produits par les systèmes surveillés. Mais les logs ne permettent pas à eux-seuls de détecter toutes les activités malicieuses : il convient d’y ajouter les flux réseau, les bacs à sable, les bastions d’administration, les systèmes de gestion des identités et des accès, ou encore ceux de gestion des vulnérabilités et de détection des anomalies comportementales – des utilisateurs ou des entités connectées à l’infrastructure.
Un projet SOC est un projet très complexe pour lequel il est généralement recommandé de commencer avec modestie, sur un périmètre restreint, mais en impliquant les métiers dès le début, ne serait-ce que pour l’analyse de risques qui servira de base tant à la définition du périmètre qu’à celle des alertes.
Afin de simplifier les questions de gestion des compétences, ou de mieux maîtriser les coûts liés au SOC, tant en phase de démarrage qu’en phase d’exploitation, certaines organisations peuvent choisir d’externaliser leur centre opérationnel de sécurité. Les offres en la matière se sont d’ailleurs multipliées au cours des dernières années.