Accueil > Sécurité > SOC : qu’est ce que c’est ? Définition du Security Operation Center
SOC security operation center surveillance cybersécurité

SOC : qu’est ce que c’est ? Définition du Security Operation Center

Avec le Big Data, le SOC devient essentiel dans une entreprise, mais à quoi correspond cette abréviation ? Voici la définition du SOC ou Security Operation Center.

La pratique du Big Data et du traitement de données demandent un niveau de sécurité important. En cela, un SOC est essentiel. Ce Security Operation Center ou centre opérationnel de sécurité en français assure la supervision des systèmes d’information au sein des entreprises afin de se protéger des cyberattaques.

SOC définition du centre opérationnel de sécurité

L’utilisation du SOC informatique (à ne pas confondre avec celui de la charrue et le soc politique) est effectuée par une division de l’entreprise qui va veiller à la sécurité informatique dans l’ensemble des infrastructures installées. Son domaine d’expertise s’étend de la couche réseau jusqu’aux logiciels présents sur les postes de travail. Il peut surveiller les activités en provenance d’un autre SOC : le System on Chip. (Les systèmes sur puce sont notamment présent dans tous les smartphones NDLR).

L’activité principale du Security Operation Center consiste à collecter les informations en provenance des éléments de sécurité, de les analyser et d’y détecter les potentielles anomalies. Il faut ensuite découvrir les possibles failles de sécurité. La division a également pour charge de définir les actions de sécurité lorsqu’un incident ou une brèche ont lieu afin d’alerter ou de régler le problème rapidement. Pour cela, deux ou trois équipes d’analystes IT se relaient par jour suivant le niveau de criticité du secteur dans lequel il est implanté. C’est notamment le cas dans les aéroports dont le fonctionnement est continu. 

Avantages et inconvénients d’un SOC

centre de controle SOC

Son rôle de suivi des événements et de détection d’intrusion impose d’y implémenter des règles de prédiction. Il se place au-dessus des pare-feux et des VPN. Ce système de supervision a pour réputation d’être rapide en cas de propagation de logiciel malveillant. Il identifie plus rapidement les menaces et il permet dans la plupart des cas de se remettre d’une attaque de déni de service (DDoS) dans un délai raccourci.

Au sein de l’architecture SOC, les SIM ou Security Information Management sont les outils qui permettent de réaliser les relevés d’événements et d’analyser les données relatives à ceux-ci. Ces systèmes de gestion des informations et de sécurité sont complétés par un système de gestion d’identité afin de surveiller les potentielles activités malveillantes sur le parc informatique alloué aux employés. Il doit également contenir les outils de surveillance des flux réseau, des connexions, du comportement des employés, etc.

Si le centre opérationnel de sécurité se veut la barrière la plus efficace contre les intrusions dans les entreprises, l’installation d’un tel système coûte cher et prend généralement un peu moins de la moitié de l’année. Les entreprises doivent réaliser un audit des infrastructures en place, du niveau de sécurité requis et des mesures déjà appliquées. Après l’installation, elles doivent faire en sorte que le système puisse être régulièrement mis à jour afin de contenir les dernières bases de données relatives aux scénarios d’attaques.

De la difficulté de mettre en place un SOC Big Data en entreprise

Ensuite, on peut installer un SOC en interne, donc le développer ou intégrer une solution existante. D’autres solutions sont dites externalisées, c’est-à-dire gérées par une entreprise prestataire de services. Atos, Symantec, Wipro, Tata, McAfee, Verizon, Dell, Orange ou encore Verisign sont quelques-unes des entreprises qui offrent de solutions de SOC externalisées. Dans ce cas là, les offres des professionnels peuvent varier. Claranet propose par exemple une offre SOC as a Service. Il s’agit d’accompagner une entreprise 24 heures sur 24 et 7 jours sur 7.

C’est la réglementation qui impose généralement l’utilisation d’un SOC. La plupart des entreprises qui doivent protéger des données sensibles et/ou respecter la norme de sécurité de l’industrie des cartes de paiement (PCI DSS). Sur le Web, les géants du E-Commerce sont particulièrement concernés. Les agences gouvernementales et les compagnies de transports également.

En revanche, le SOC n’est plus considéré comme la solution la plus fiable pour se protéger des attaques, car il demande une configuration précise et difficile à mettre en place. Cela demande une organisation de tous les instants qui nécessite de mettre en étroite collaboration les spécialistes de la sécurité en interne et les prestataires externes. De plus, le volume de données à protéger explose, tandis que les hackers utilisent eux-mêmes des masses de données pour faire “tomber” les infrastructures d’une entreprise. L’utilisation du Cloud demande également de prévoir des cellules de sécurité particulières que l’on nomme CloudSOC. Une évolution de cette architecture voit le jour à l’ère du machine learning et du prédictif. Enfin, l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information rappelle que le Security Operation Center ne se substitut pas aux mesures de précautions à inculquer aux collaborateurs. Le responsable de centre de sécurité porte donc une pression forte sur ses épaules.

C’est d’autant plus vrai que l’application le 25 mai 2018 du règlement général sur la protection des données ou GDPR va obliger les dirigeants de SOC à adapter la manière d’analyser et d’archiver les informations relatifs aux événements de sécurité. Ils devront notamment s’accorder avec le responsable du traitement des données afin d’adapter les niveaux de sécurité suivant les criticités des données. A voir si les Security Operation Center seront plus largement adapté au moment de l’adaptation du GDPR.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

#topcontrol { bottom: 75px;

Send this to a friend