Le SOC : un concentré d’expertise en cybersécurité
Ce dispositif de supervision de la sécurité du système d’information s’appuie sur des équipes d’analystes disposant de compétences très variées. Experts réseau ou système, spécialistes des environnements Windows, analystes en vulnérabilité… « Cette diversité fait toute la richesse du SOC » souligne Arnaud Pilon.
Le SOC concentre également des outils informatiques pour détecter, analyser, évaluer et répondre aux menaces, le but étant de traiter les problèmes de sécurité à mesure qu'ils se présentent et de fournir une résolution dans les plus brefs délais. Il comprend des méthodes et processus de protection de la donnée visant à mettre en place une approche reproductible et mesurable.
Les différentes facettes du centre opérationnel de sécurité
Pour porter ses fruits, le Security Operations Center doit continuellement s'adapter aux changements qui se produisent dans l'environnement de menaces actuel. « C’est tout l’objet de la surveillance en cybersécurité, et plus particulièrement la veille portant sur les vulnérabilités qui peuvent affecter le système d’information », précise Arnaud Pilon. En réalisant des « scans de vulnérabilité » on peut par exemple évaluer le niveau d’exposition et de risque du système d’information.
Par ailleurs, le SOC permet la bonne exploitation des équipements de sécurité : firewall, EDR, passerelle de sécurité, sonde de détection... De plus en plus, il prend en compte des équipements au plus près de la menace, par exemple les systèmes visant à protéger les infrastructures en Cloud ou les systèmes de détection des menaces et de réponse au niveau des points de terminaison (EDR, Endpoint Dectection and Response).
Détecter et répondre aux incidents de sécurité, un enjeu majeur pour le SOC
« Se reposer uniquement sur les équipements de sécurité n’est plus suffisant de nos jours » prévient Arnaud Pilon, mettant en garde sur les limites d’une démarche peu proactive. « La détection d’incidents de sécurité est devenue un enjeu majeur pour le SOC ». Elle vise à collecter les journaux ou événements de sécurité, à les corréler et à les traiter. Ce « Cyber-SOC » se nourrit de deux approches. Une approche par le haut visant à identifier les scénarios redoutés, les biens et les actifs les plus critiques à protéger, et une approche par le bas visant à identifier les scénarios d’attaques les plus courantes sur une technologie donnée. « C’est en réunissant ces deux approches que l’entreprise pourra mettre en œuvre la politique de détection la plus opérationnelle possible », conclut Arnaud Pilon.
