Security Operations Center : comment ça fonctionne ?

Ordinateur avec fond de Matrix

Un Security Operations Center ou SOC est chargé de surveiller et d’analyser l’activité des réseaux, des serveurs, des points d’extrémité, des bases de données, des applications, des sites Web et d’autres systèmes. Il recherche toute activité anormale qui pourrait être le signe d’un incident ou d’une compromission de la sécurité. En d’autres termes, l’objectif d’un SOC est de fournir des services dans le domaine de la cybersécurité.

Comment fonctionne un SOC ?

Afin d’atteindre ces objectifs, un SOC est divisé en niveaux selon le degré de spécialisation des analystes qui le composent :

Niveau 1 : Suivi et analyse

Ce premier niveau est généralement constitué d’un ou plusieurs analystes, appelés analystes d’alerte, qui ont suivi une formation en cybersécurité pour devenir Analyste SOC 1, c’est-à-dire surveiller les alertes et les menaces reçues par le SOC.

Ces analystes évaluent les alertes de sécurité pour déterminer si ces alertes et menaces sont susceptibles de devenir un incident de sécurité ou s’il s’agit de « faux positifs ». Ils sont en charge du suivi des événements de sécurité, de leur première analyse ainsi que de l’enregistrement et de la classification des incidents. S’ils atteignent le seuil prédéfini conformément à la politique SOC, ils passent au niveau 2.

Niveau 2 : Analyse approfondie et réponse

Pour pouvoir atteindre ce niveau, les experts doivent avoir suivi une formation en cybersécurité pour devenir Analyste SOC 2. Ce sont des techniciens de sécurité, déterminent si les données ou le système ont été affectés et, le cas échéant, recommandent une réponse. Ils sont responsables de la gestion des incidents de sécurité, de la configuration et de la maintenance des outils, ainsi que de l’analyse et de la gestion des vulnérabilités.

Grâce à une méthodologie et des procédures définies, une analyse de l’incident est effectuée, en rassemblant des informations provenant de différentes sources, en déterminant s’il affecte les systèmes critiques et en examinant quels ensembles de données ont été touchés. Il recommande les remèdes à appliquer et fournit un soutien pour l’analyse des incidents.

Niveau 3 : experts et chasseurs

Enfin, le niveau 3 est composé de professionnels hautement qualifiés qui ont bénéficié d’une formation en cybersécurité pour devenir Analyste SOC 3. Ils sont chargés de résoudre les incidents, mais aussi de rechercher les incidents potentiels afin de les prévenir.

Il s’agit de consultants techniques hautement spécialisés dans les différents domaines de la sécurité, chargés de réaliser des audits techniques, de proposer des plans d’action pour l’amélioration et de réaliser certains services particulièrement complexes comme l’analyse forensique.

Ils doivent avoir une connaissance approfondie du réseau, des renseignements sur les menaces, de la criminalistique des logiciels malveillants ainsi que du fonctionnement des applications et de l’infrastructure informatique sous-jacente.

Contrairement à un service informatique traditionnel, le personnel d’un SOC comprend principalement une équipe d’analystes et de techniciens en cybersécurité hautement expérimentés et spécialisés. La spécialisation de ces analystes, tout en partageant une base technique commune, varie considérablement. Cela profite au SOC et donc à l’organisation, car il est utile que ces analystes aient des antécédents dans différentes disciplines : mathématiques, ingénieurs en informatique, ingénieurs en télécommunications, etc.

Quelles sont les activités d’un SOC ?

Grâce à leur surveillance et à leur analyse actives, un SOC utilise des méthodologies et des processus stratégiques pour construire et maintenir les défenses de cybersécurité d’une entreprise. Ces procédures se décomposent en différentes tâches.

1.      Identification des actifs

Dès le départ, un SOC a une connaissance et une expérience approfondies des outils et de la technologie à sa disposition.

2.      Surveillance continue et proactive

Le SOC prend des mesures délibérées pour détecter les activités malveillantes avant qu’elles ne puissent causer des dommages au lieu de se concentrer sur des mesures réactives une fois qu’une menace a lieu.

3.      Classement des alertes

L’une des tâches principales d’un SOC est de classer les alertes au fur et à mesure qu’elles sont identifiées.

4.      Ajustement de la défense

La gestion des vulnérabilités et la sensibilisation accrue aux menaces sont des éléments essentiels de la prévention des violations de la sécurité. Cela inclut une surveillance constante du périmètre et des opérations internes, car des brèches peuvent occasionnellement se produire au sein de l’entreprise.

5.      Vérification de la conformité

Le respect des réglementations de conformité essentielles est essentiel à la continuité d’un SOC. Il travaille quotidiennement pour suivre les mesures de sécurité obligatoires en prenant toujours une mesure pour éviter tout dommage à l’entreprise.

Par ailleurs, il existe des SOC qui disposent d’équipes spécialisées dans les services tels que la surveillance de la sécurité, la gestion des incidents de sécurité, l’analyse judiciaire numérique et l’analyse de la sécurité, les renseignements sur les menaces, la gestion des vulnérabilités ou encore la gestion des journaux.

Pour les années à venir, la tendance est l’évolution des menaces, non seulement en termes de quantité, mais aussi sur le plan de leur sophistication. Pour cette raison, l’aspect encore inconnu des SOC ne repose plus sur leur mise en œuvre ou non, ou sur la manière de les mettre en œuvre, mais plutôt sur leur optimisation et leur efficacité.

Quel est le principe d’un cluster informatique ?
Comment choisir son prestataire informatique ?