Security Operations Center : Comment faire pour le réussir.
Le Soc est une décision stratégique, impactant toute la sécurité du système d’informations de l’entreprise. Un Security Operations Center, dans une entreprise, est une division qui assure la sécurité de l’organisation et surtout le volet sécurité de l’information.
Mettre en place un SOC est une décision stratégique qui va impacter toute l’entreprise, au niveau humain, mais surtout au niveau opérationnel et financier; ainsi, le projet de mise en place de SOC doit être étudié au préalable et avoir l’aval de la direction générale, et de toute l’équipe dirigeante de préférence.
Le Soc bien calibré contribuera pour vous apporter, une surveillance de votre système d’informations 24/24 et 7J/7, toutes les activités sont analysées, les données, les réseaux, les points finaux, et y inclus les base de données, pour mieux permettre aux entreprises de faire face aux attaques, intrusions et similaires, indépendamment de la source, ou du type d’attaques.
Le hackeur qui s’attaque à votre système met un certain temps pour pénétrer, selon les sécurités que vous aurez mises en place, il faut profiter de ce laps de temps, pour tenter de le détecter et le rejeter, et ce le plus rapidement possible, car selon les experts le rançongiciel est passé en 2020 de la sixième place pour les professionnels au premier rang, c’est dire l’importance qu’il faut lui accorder, car vous risquez un jour ou un autre, d’en être la victime.
Sommaires
Définir son Security Operations Center
Dans un premier temps, il convient de se poser une série de questions notamment :
- Quels sont les avantages de l’existence d’un SOC pour l’entreprise ?
- Quelles sont les capacités techniques attendues et les métiers nécessaires pour le SOC?
- Quel est le budget alloué pour la création et le fonctionnement du SOC ?
- Quelles ressources humaines attribuer au SOC (nombre et organisation) ?
- Quel mode de création et de fonctionnement est adapté à l’entreprise : équipe en interne, prestataire externe ou équipe mixte ?
- Quels processus mettre en place pour assurer l’efficacité du SOC ?
- Quels indicateurs suivre et quels rapports créer ?
C’est seulement après que vient la phase de création ou construction (BUILD) correspondant à l’implémentation du SOC sur un périmètre limité et maîtrisé; la phase de fonctionnement ou d’exploitation (RUN) doit être accompagnée d’évaluations de performances régulières, permettant d’effectuer des ajustements des paramètres pour un meilleur fonctionnement, et un meilleur résultat, l’idéal est de constituer un tableau de bord à remplir et à suivre quotidiennement.
Les prérequis techniques et organisationnels qui ont été efficaces sont validés à travers un Proof of Concept (POC) et appliqués dans d’autres cas; un élargissement progressif du périmètre est effectué en ajoutant des fonctionnalités afin d’améliorer les capacités de détection des menaces ainsi que les capacités de réponse aux incidents; en effet, une amélioration continue est indispensable, car l’apparition de nouvelles menaces et l’évolution des technologies peuvent rendre obsolètes les processus et outillages SOC en place.
On peut synthétiser en disant qu’un SOC est un (Security Opérations Center), c’est à dire une équipe interne d’experts, (analystes, ingénieurs) dans l’entreprise, au sein du pôle informatique ou DSI, mais en extrapolant on peut aussi préciser que le SOC est une plateforme permettant la supervision et l’administration de la sécurité du système d’information au travers d’un ensemble d’outils de collecte, de corrélation, et de gestion des alertes et des alarmes pouvant en résulter.
Améliorer l’efficacité de votre SOC grâce à MEMOGuard, de Clever Technologies
Lors de la détection d’une cyberattaque, le SOC doit enclencher le processus de réponse définie au préalable; la réactivité est de mise afin d’éviter à tout prix une crise informatique entraînant l’obligation de constituer une cellule de crise, et surtout l’interruption de l’activité de l’entreprise.
L’équipe du centre d’opérations de sécurité doit ainsi disposer de la technologie nécessaire pour prévenir à temps le personnel concerné; heureusement, la gestion des alertes est une partie du workflow qui peut être automatisée; si vous n’y avez pas pensé lors de la création de votre SOC, vous pouvez toujours l’introduire à tout moment pendant la phase d’exploitation; cela permet entre autres d’augmenter les capacités du SOC pour répondre aux incidents, de toutes natures.
Un des avantages-clés de disposer d’un SOC (Centre d’Opérations de Sécurité), est l’amélioration certaine dans la détection des incidents de sécurité qui s’en suivra et leur résolution à coup sûr, en évitant des catastrophes techniques et financières, car la gestion des données devient de plus en plus complexe, (Cloud, contrôles d’accès, obligation liées au RGPD) ; la principale fonction d’un bon SOC est de diminuer les incidents de sécurité, et si toutefois ils se produisent, alors, il faut les analyser en profondeur pour pouvoir en tirer les conséquences et anticiper.
Édité par Clever Technologies, MEMOGuard est une application de supervision d’alertes et des gestion des astreintes qui permet d’automatiser le déclenchement des alertes et des alarmes ; depuis le logiciel de bureau (installé chez vous), ou la plateforme web (services proposées en SaaS), il vous suffit de programmer l’alerte en entrant les détails de l’alerte (liste de diffusion, contenu, fréquence, moyen de communication, mail, fax, sms, message vocal, fichier texte…) et surtout l’évènement déclencheur.
Quand une attaque informatique survient ou un évènement inconnu, celui-ci est instantanément détecté par MEMOGuard, ou les autres outils mis en place pour cela, mais dans tous les cas MEMOGuard réagit ensuite, et ce, de manière automatique en alertant le personnel d’astreinte, ou bien les décisionnaires (selon les scripts préparés); cela permet une prise main rapide de n’importe quel incident et cyberattaque, jusqu’à la résolution complète de l’incident (système d’acquittement et/ou double-acquittement inclus).
Clever Technologies, l’expert N° 1 de la supervision en France, vient d’annoncer à ses clients une nouvelle version de son logiciel MEMOGuard (installable sur site en 64 bits, ou en mode SaaS), mise à disposition pour le 01 septembre 2021, qui va intégrer de multiples évolutions, protocoles, entrées, sorties, et cette nouvelle version modulaire, (totalement réécrite) va aussi intégrer toutes les suggestions faites par nos clients, qui ont 22 ans d’expérience sur le sujet.
2020, année de tous les records, l’ANSSI et ACYMA tirent la sonnette d’alarmes pour les cyberattaques.
Au point que le CIGREF a lancé un appel aux entreprises, l’automne dernier « protégez-vous vous mêmes ; aidez-vous vous-mêmes; c’est quand même cela la priorité »; car trop d’entreprises de nos jours, ne mettent pas en place les alarmes et alertes nécessaires, pour faire face à de tels fléaux, les dirigeants ne sont pas conscients qu’il en va souvent de la survie de l’entreprise, qui dans la plupart des cas, n’arrivera pas à surmonter l’incident et les coûts financiers en résultant.
La cybercriminalité (phénomène de société) est un véritable fléau et il convient de le traiter comme tel, et si en 2020, les incidents ont été multipliés par 4; c’est bien que cela peut arriver à tout le monde, et cela pourrait vous arriver aussi, il est donc important de prendre des mesures, pour pouvoir les contrer ou les minimiser ; les ransomwares sont un danger pour tous les DSI, et il convient de tout mettre en place pour les contrer et les éliminer ; d’autant plus que les hackeurs cherchent les cibles les plus lucratives (potentiellement parlant).
Externaliser le Soc – impensable hier, mais beaucoup plus indispensable aujourd’hui !
Aujourd’hui, les menaces informatiques sont de plus en plus sophistiquées avec des conséquences funestes pour les entreprises ; les couts de gestion pour remettre en route les bases, les pertes potentielles de clients, la désorganisation qui suit ces attaques, le temps que les gestionnaires doivent y passer, pour tenter de remonter font que beaucoup d’entreprises, n’arrivent pas à surmonter, tant les dégâts sont importants et couteux.
Pour contrer ces menaces, l’utilisation de processus éprouvés, de solutions de sécurité efficaces et de compétences de haut niveau est nécessaire; l’entreprise doit faire un choix stratégique entre mettre en place un SOC interne ou bien l’externaliser; les deux solutions sont viables et à étudier, mais en tant que professionnels dans le domaine de la sécurité, nous vous suggérons l’externalisation, et ce, pour plusieurs raisons, que nous détaillons ci-après :
L’externalisation ne coûte pas cherÂ
Il faut comprendre que le Soc externe s’appuie sur une mutualisation des ressources humaines et des solutions techniques, il est donc moins onéreux par rapport au Soc interne ; le déploiement d’un SOC localement nécessite l’embauche de nouveaux employés qui sont 100% expérimentés et au courant de l’industrie de la sécurité.
Vous devrez aussi investir sur des équipements informatiques et des logiciels dont le prix n’est pas donné ; en optant pour la solution « externalisation » en revanche, vous avez une équipe expérimentée et bien équipée, et ce, pour peu cher.
Nul besoin de recruterÂ
Malheureusement, trouver des personnes talentueuses pour former une division Soc en interne et les problèmes connexes qui vont avec peuvent être difficiles; de plus, c’est une tâche qui prend également énormément de temps, car il n’est jamais évident de trouver une perle rare, au courant de ces pratiques.
Non seulement l’externalisation réduit le temps nécessaire pour devenir opérationnel, mais elle réduit également les coûts de mise en Å“uvre et de gestion continue, un autre avantage et non des moindres, est l’absence d’investissement, si vous externalisez vous passerez les coûts directement en frais généraux et ce mois par mois.
L’externalisation réduit les conflits d’intérêts entre départements
Dans une entreprise, souvent, les besoins d’un département peuvent empiéter ceux des autres; un bon exemple est lorsque l’équipe de sécurité insiste pour acheter des équipements de qualité à prix élevé lorsque l’entreprise est à court d’argent, ou que les budgets prévisionnels ne le permettent pas.
Cela ne peut que créer des conflits importants, et des rancœurs dans les équipes peuvent se créer, en optant pour l’externalisation, vous évitez ce genre de problème.
La garantie d’un bon niveau de service
Contrairement à vous qui en plus de la sécurité doit aussi s’occuper d’autres activités plus importantes, les fournisseurs de sécurité, eux, sont essentiellement concentrés sur la maîtrise de leur secteur. Pour cette raison, ils sont aussi plus efficaces et plus productifs. Les fournisseurs de sécurité sont aussi mieux équipés pour faire face à la professionnalisation et la complexité des attaques observées depuis un certain temps.
Bénéficier des tendances et de la détection observées sur les systèmes et réseaux d’autres clients
Souvent, les Soc en interne ne peuvent rien faire pour stopper les nouveaux types de menaces qu’eux ou leurs systèmes de sécurité ne connaissent pas; avec le SOC externalisé en revanche, vous profitez de services optimisés basés sur les tendances et la détection observées sur d’autres clients.
Généralement, les fournisseurs de sécurité ont une meilleure expérience; aussi, ils sont toujours au fait de l’actualité cyber, contrairement à une équipe en interne.
En conclusion, nous dirons que si le SOC n’existait pas il faudrait l’inventer, tant les avantages sont grands pour sa mise en application; et demain l’IOT (Internet des Objets) et lL’IA (l’intelligence artificielle) feront que nous continuerons d’innover, mais les hackeurs sont aussi des hommes et leurs techniques ne cessent de progresser.
Auteur Antonio Rodriguez, Directeur Clever Technologies.
