SFR Business - marque de SFR

NOUS CONTACTERASSISTANCEESPACE CLIENT

 MENU

    Me faire rappeler Nous écrire 0 805 70 24 54

    Service &
    appel gratuits

    Le SOC - Security Operations Center : l’atout sécurité des entreprises

    Les protections courantes, antivirus et pare-feu, ne suffisent plus aujourd’hui à assurer la sûreté d’une entreprise. Des menaces diffuses peuvent l’infecter sans qu’elle ne le sache. La mise en oeuvre d’un SOC -Security Operations Center ou Centre Opérationnel de Sécurité - va permettre de les détecter et remonter des alertes de sécurité avant indécelables.


    Tour de contrôle de la cyber-défense

    Le SOC est constitué d’une équipe d’experts chargée de veiller sur le réseau et le système d’information d’une entreprise et de repérer les éventuels incidents de sécurité en cours. Cette cyber-tour de contrôle fonctionne grâce à des outils de détection reliés aux équipements de la société tels un parefeu, serveur web ou un annuaire d’entreprise. Ils ont pour but de faire ressortir les informations de connexion (logs), flux et autres événements dont certains pourraient s’avérer suspects parce que se répétant trop souvent ou ayant dépassé un certain seuil. Cette analyse est assurée par des règles de corrélation. Une alerte est alors déclenchée qui va être qualifiée par les cyber-analystes du SOC pour le « lever de doute » et ainsi confirmer l’incident de sécurité.

    Le SOC veille H24

    Le principal outil constituant le SOC se nomme le SIEM (Security Information Event Management), à savoir une base de données capable de relier plusieurs événements à une même cause. Le SOC permet également d’effectuer une veille H24 par rapport à des informations extérieures. Il peut s’agir par exemple d’effectuer la comparaison de la version d’un parc de logiciels installé en interne avec celui de l’éditeur. Lorsque celui-ci informe que telle version rencontre une vulnérabilité importante, le SOC va déclencher un incident. Celle-ci sera par la suite traitée par une équipe de réponse à l’incident (respons team) qui pourra actualiser la version ou bloquer la faille. La respons team peut être localisée dans les locaux de l’entreprise ou opérer à distance. Quoi qu’il en soit, l’entreprise aura toujours le dernier mot sur les recommandations émanant du SOC ou de l’équipe de réponse à l’incident. Si celle-ci conseille de débrancher un serveur contaminé et que cela implique un arrêt de la production, la société pourra passer outre et demander la recherche d’un autre palliatif.  

    Threat Intelligence

    La mise en place d’un SOC est assujettie au périmètre à surveiller, au nombre d’équipements en place, au volume de données à traiter, etc. Sans oublier le degré de détection que l’entreprise souhaite développer. Elle peut opter pour une veille réduite aux seuls équipements, ou choisir de prendre également en compte des sources externes de menace. Soit des bases éditeurs ou émanant de la Threat Intelligence, à savoir des remontées d’informations d’organismes spécialisés (éditeurs antivirus, agences comme l’ANSII ou de recherches privé etc.) pointant par exemple sur une menace avérée telle qu’une adresse IP nocive. Cet élargissement des sources d’entrée permet de corréler un plus grand nombre d’éléments douteux et anticiper d’éventuelles attaques. Plus le temps et la profondeur de la recherche seront importants et le nombre de sources utilisées multiples, plus le SOC sera efficace.  

    Sécurité à tous les étages

    Le SOC est à même de surveiller l’intégralité des outils et services de communication de l’entreprise. Il s’agit au préalable de définir quelles sources d’information doivent être surveillées. En dehors des périmètres classiques (serveurs, applications, réseau, éléments de sécurité) ce peut être le cas d’applis mobiles, parfois utilisées par les collaborateurs à titre privé ou professionnel. Il est alors possible d’installer des agents sur smartphones qui vont analyser les applications et remonter les alertes. Par ailleurs, le SOC est aussi indiqué pour contrôler le réseau Wi-Fi dans le but de mettre en place une surveillance des connexions, et plus particulièrement celles émanant des sessions invités volontairement ouvertes afin que les visiteurs puissent se connecter facilement. Il pourra par exemple détecter, d’après un faisceau delog, un usage détourné de ce « Wifi invité » et générer une alerte. 

    Détection des menaces  « persistantes »

    Le SOC ne remplace pas l’antivirus et le pare-feu déjà en place. Sa mission consiste à détecter les éventuels malveillants qui seraient parvenus à contourner les barrières sécuritaires de l’entreprise. Le SOC analyse les flux que les protections laissent passer car considérés comme sains, et fait remonter des menaces cachées parvenues à se faufiler, comme par exemple une tentative d’exfiltration de données. Ces APT (Advanced Persistent Threat), ou menaces persistantes avancées, sont au cœur du ciblage des SOC, dans la mesure où ces infiltrations lentes sont extrêmement difficiles à repérer par ailleurs, avec un unique pare-feu, IPS ou bac à sable -sandbox- qui agissent individuellement. Il participe ainsi au cercle vertueux d’amélioration continue de la sécurité. Après l’audit puis la mise en place de protections adaptées, le SOC forme la 3ème brique de cyberdéfense, à savoir la surveillance en continu. Surtout, qu’après avoir pointé un problème, il sera recommandé d’adapter des défenses supplémentaires pour que l’événement ne se reproduise plus. Cette démarche vertueuse serait plus difficile à assurer sans l’utilisation d’un SOC.


    A LIRE AUSSI
    E-book : LES CLES D’UN SOC EFFICIENT

    SOC interne ou externe

    Le niveau et la complexité des cyber-menaces sont tels aujourd’hui que la mise en place d’une surveillance et analyse par le biais d’un SOC n’est pas sans engendrer un coût très important pour l’entreprise. L’expertise se paye à prix d’or d’autant qu’il existe aujourd’hui un déficit de cyber-spécialistes sur le marché. Le coût d’entrée s’avère donc élevé et seuls quelques grands comptes peuvent se permettre la mise en place d’un SOC internalisé. Pour les autres entreprises, ETI principalement, l’intérêt d’un SOC externalisé prend tout son sens. Il est fourni par des prestataires qui vont s’adapter au budget alloué et mutualiser les outils et équipes d’experts. Des opérateurs de services de sécurité comme SFR Business sont à même d’octroyer un service très complet avec un coût raisonnable adapté au niveau de surveillance exigé. Dans le cas des PME, le budget allouable au risque est généralement très bas, voire inexistant. Elles deviennent malheureusement des cibles privilégiées des pirates, car plus facilement attaquables qu’un grand compte sur-équipé. Certains prestataires de service travaillent néanmoins à démocratiser l’usage du SOC pour permettre même aux petites structures d’en profiter. Moyennant l’automatisation de tâches et/ou l’ajout de fonction proche d’un SIEM dans les équipements en place afin de privilégier l’échange d’informations et bloquer automatiquement les menaces grâce au pare-feu. 

    La digitalisation impose l’usage des SOC

    La multiplication des expositions à Internet, l’augmentation de la valeur des données et les nouvelles réglementations comme le RGPD imposent l’usage d’un SOC. Grâce à l’IA et au Machine Learning, le SOC 3.0 pourra parvenir à traiter la masse d’information qui explosera et contrer en amont les pirates qui débordent d’inventivité pour infiltrer un réseau. Qui plus est, la surface d’attaque (IoT, nomadisme, applis mobiles, télétravail, cloud…) des entreprises augmentant, il devient nécessaire qu’un élément intelligent vienne consolider la sécurité globale. Le SOC joue ce rôle de corrélation tout en ajoutant cet élément de compréhension et de détection des flux échangés.   


    SOC, SIEM, Pare-feu, Threat Intelligence, APT, Sandbox, Cyber tour de contrôle