SOC security operation center surveillance cybersécurité

SOC : définition du Security Operation Center

Avec le , le SOC devient essentiel dans une entreprise, mais à quoi correspond cette abréviation ? Voici la définition du SOC ou Security Operation Center.

La pratique du Big Data et du traitement de données demandent un niveau de sécurité important. En cela, un SOC est essentiel. Ce Security Operation Center ou centre opérationnel de sécurité en français assure la supervision des systèmes d'information au sein des entreprises afin de se protéger des .

SOC définition du centre opérationnel de sécurité

Une division de l'entreprise utilise le SOC informatique. Elle veille à la sécurité informatique dans l'ensemble des infrastructures installées. Son domaine d'expertise s'étend de la couche réseau jusqu'aux logiciels présents sur les postes de travail. Il peut surveiller les activités en provenance d'un autre SOC : le System on Chip. (Les systèmes sur puce sont notamment présent dans tous les smartphones NDLR).

L'activité principale du Security Operation Center consiste à collecter les informations en provenance des éléments de sécurité. Puis, de les analyser et d'y détecter les potentielles anomalies. Il faut ensuite découvrir les possibles failles de sécurité. La division a également pour charge de définir les actions de sécurité lorsqu'un incident ou une brèche ont lieu afin d'alerter ou de régler le problème rapidement. Pour cela, deux ou trois équipes d'analystes IT se relaient par jour suivant le niveau de criticité du secteur. C'est notamment le cas dans les aéroports dont le fonctionnement est continu.

Avantages et inconvénients d'un SOC

centre de controle SOC

Son rôle de suivi des événements et de détection d'intrusion impose d'y implémenter des règles de prédiction. Il se place au-dessus des pare-feux et des VPN. Ce système de supervision a pour réputation d'être rapide en cas de propagation de logiciel malveillant. Il identifie plus rapidement les menaces et il permet dans la plupart des cas de se remettre d'une attaque de déni de service (DDoS) dans un délai raccourci.

Au sein de l'architecture SOC, les SIM ou Security Information Management sont les outils qui permettent de réaliser les relevés d'événements et d'analyser les données relatives à ceux-ci. Ces systèmes de gestion des informations et de sécurité sont complétés par un système de gestion d'identité. Ils permettent de surveiller les potentielles activités malveillantes sur le parc informatique alloué aux employés. Il doit également contenir les outils de surveillance des flux réseau, des connexions, du comportement des employés, etc.

L'automatisation de la sécurité en bonne voie

Pour aider les analystes, des outils supplémentaires voient le jour. Le but des éditeurs tiers consiste à intégrer leurs solutions avec les SOC déjà installés. C'est de cette manière que la société Splunk s'illustre en développant comme d'autres des solutions SOAR (Security Orchestration Automation and Response). L'entreprise a récemment dépensé 350 millions de dollars afin de racheter Phantom Cyber, une entreprise spécialiste dans ce domaine. Le SOAR permet une automatisation des tâches, d'orchestrer la réparation des problèmes et de permettre une meilleure collaboration entre les analystes.

Si le centre opérationnel de sécurité se veut la barrière la plus efficace contre les intrusions dans les entreprises, l'installation d'un tel système coûte cher et prend généralement un peu moins de la moitié de l'année. Les entreprises doivent réaliser un audit des infrastructures en place, du niveau de sécurité requis et des mesures déjà appliquées. Après l'installation, elles doivent faire en sorte que le système puisse être régulièrement mis à jour afin de contenir les dernières bases de données relatives aux scénarios d'attaques.

De la difficulté de mettre en place un SOC Big Data en entreprise

Ensuite, on peut installer un SOC en interne, donc le développer ou intégrer une solution existante. D'autres solutions sont dites externalisées, c'est-à-dire gérées par une entreprise prestataire de services. Atos, Symantec, Wipro, Tata, McAfee, Verizon, Dell, Orange ou encore Verisign sont quelques-unes des entreprises qui offrent de solutions de SOC externalisées. Dans ce cas là, les offres des professionnels peuvent varier. Claranet propose par exemple une offre SOC as a Service. Il s'agit d'accompagner une entreprise 24 heures sur 24 et 7 jours sur 7.

C'est la réglementation qui impose généralement l'utilisation d'un SOC. La plupart des entreprises qui doivent protéger des données sensibles et/ou respecter la norme de sécurité de l'industrie des cartes de paiement (PCI DSS). Sur le Web, les géants du E-Commerce sont particulièrement concernés. Les agences gouvernementales et les compagnies de transports également.

Security Operation Center : les best practices évoluent

En revanche, le SOC n'obtient plus l'approbation des responsables de sécurité. En effet, il demande une configuration précise et difficile à mettre en place. Cela demande une organisation de tous les instants qui nécessite de mettre en étroite collaboration les spécialistes de la sécurité en interne et les prestataires externes. De plus, le volume de données à protéger explose, tandis que les hackers utilisent eux-mêmes des masses de données pour faire “tomber” les infrastructures d'une entreprise. L'utilisation du Cloud demande également de prévoir des cellules de sécurité particulières que l'on nomme CloudSOC.

Une évolution de cette architecture voit le jour à l'ère du et du prédictif. Enfin, l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information rappelle que le Security Operation Center ne se substitut pas aux mesures de précautions à inculquer aux collaborateurs. Le responsable de centre de sécurité porte donc une pression forte sur ses épaules.

C'est d'autant plus vrai que l'application le 25 mai 2018 du règlement général sur la protection des données ou GDPR oblige les dirigeants de SOC à adapter la manière d'analyser et d'archiver les informations relatifs aux événements de sécurité. Ils doivent notamment s'accorder avec le responsable du traitement des données afin d'adapter les niveaux de sécurité suivant les criticités des données.

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *