LE SOC - SECURITY OPERATIONS CENTER : L’ATOUT SÉCURITÉ DES ENTREPRISES

Tour de contrôle de la cyberdéfense

Le SOC est constitué d’une équipe d’experts chargée de veiller sur le réseau et le système d’information d’une entreprise et de repérer les éventuels incidents de sécurité en cours. Cette cyber-tour de contrôle fonctionne grâce à des outils de détection reliés aux équipements de la société tels un pare-feu, serveur web ou un annuaire d’entreprise. Ils ont pour but de faire ressortir les informations de connexion (logs), flux et autres événements dont certains pourraient s’avérer suspects parce que se répétant trop souvent ou ayant dépassé un certain seuil. Cette analyse est assurée par des règles de corrélation. Une alerte est alors déclenchée qui va être qualifiée par les analystes en cybermenaces du SOC pour le « lever de doute » et ainsi confirmer l’incident de sécurité. 

Ces incidents de sécurité sont en augmentation exponentielle, comme le souligne l’Agence nationale de la sécurité des systèmes d’information (ANSSI) : au 1^er septembre 2020, les spécialistes de l’Agence sont déjà intervenus deux fois plus qu’en 2019 pour porter assistance à des entreprises ayant subi une attaque informatique. Soit un total de 104 interventions, contre 54 l’année précédente.

SIEM : la détection en continu des incidents de sécurité

Le principal outil constituant le SOC se nomme le SIEM - Security Information Event Management, à savoir une base de données capable de relier plusieurs événements à une même cause. Le SOC permet également d’effectuer une veille en continu par rapport à des informations extérieures. Il peut s’agir par exemple d’effectuer la comparaison de la version d’un parc de logiciels installé en interne avec celui de l’éditeur. Lorsque celui-ci informe que telle version rencontre une vulnérabilité importante, le SOC va déclencher un incident. Celle-ci sera par la suite traitée par une équipe de réponse à l’incident (respons team) qui pourra actualiser la version ou bloquer la faille. La respons team peut être localisée dans les locaux de l’entreprise ou opérer à distance. 

Quoi qu’il en soit, l’entreprise aura toujours le dernier mot sur les recommandations émanant du SOC ou de l’équipe de réponse à l’incident. Si celle-ci conseille de débrancher un serveur contaminé et que cela implique un arrêt de la production, la société pourra passer outre et demander la recherche d’un autre palliatif. Le SOC peut ainsi contribuer à stopper ou limiter une attaque par rançongiciel, comme ce fut le cas récemment pour des entreprises comme le groupe Materne² ou l’assureur MMA³.

Threat Intelligence : le partage d’informations liées au cybermenaces

La mise en place d’un SOC est assujettie au périmètre à surveiller, au nombre d’équipements en place, au volume de données à traiter, etc. Sans oublier le degré de détection que l’entreprise souhaite développer. Elle peut opter pour une veille réduite aux seuls équipements, ou choisir de prendre également en compte des sources externes de menace. Soit des bases éditeurs ou émanant de la Threat Intelligence, à savoir des remontées d’informations d’organismes spécialisés (éditeurs antivirus, agences comme l’ANSSI ou de recherches privé etc.) pointant par exemple sur une menace avérée telle qu’une adresse IP nocive. 

Cet élargissement des sources d’entrée permet de corréler un plus grand nombre d’éléments douteux et anticiper d’éventuelles attaques. Plus le temps et la profondeur de la recherche seront importants et le nombre de sources utilisées multiples, plus le SOC sera efficace.

Le SOC : un outil de sécurité global

Le SOC est à même de surveiller l’intégralité des outils et services de communication de l’entreprise. Il s’agit au préalable de définir quelles sources d’informations doivent être surveillées. En dehors des périmètres classiques (serveurs, applications, réseau, éléments de sécurité), ce peut être le cas d’applis mobiles, parfois utilisées par les collaborateurs à titre privé ou professionnel. Il est alors possible d’installer des agents sur smartphones qui vont analyser les applications et remonter les alertes. 

Par ailleurs, le SOC est aussi indiqué pour contrôler le réseau Wi-Fi dans le but de mettre en place une surveillance des connexions, et plus particulièrement celles émanant des sessions invités volontairement ouvertes afin que les visiteurs puissent se connecter facilement. Il pourra par exemple détecter, d’après un faisceau de logs, un usage détourné de ce « Wifi invité » et générer une alerte.

Détection des menaces « persistantes »

Le SOC ne remplace pas l’antivirus et le pare-feu déjà en place. Sa mission consiste à détecter les éventuels malveillants qui seraient parvenus à contourner les barrières sécuritaires de l’entreprise. Le SOC analyse les flux que les protections laissent passer car considérés comme sains, et fait remonter des menaces cachées parvenues à se faufiler, comme par exemple une tentative d’exfiltration de données. 

Ces APT - Advanced Persistent Threat ou menaces persistantes avancées, sont au cœur du ciblage des SOC, dans la mesure où ces infiltrations lentes sont extrêmement difficiles à repérer par ailleurs, avec un unique pare-feu, IPS ou bac à sable -sandbox- qui agissent individuellement. Il participe ainsi au cercle vertueux d’amélioration continue de la sécurité. 

Après l’audit puis la mise en place de protections adaptées, le SOC forme la 3^ème brique de cyberdéfense, à savoir la surveillance en continu. Surtout, qu’après avoir pointé un problème, il sera recommandé d’adapter des défenses supplémentaires pour que l’événement ne se reproduise plus. Cette démarche vertueuse serait plus difficile à assurer sans l’utilisation d’un SOC.

Externaliser le SOC : un choix pertinent pour les entreprises

Le niveau et la complexité des cybermenaces sont tels aujourd’hui que la mise en place d’une surveillance et analyse par le biais d’un SOC n’est pas sans engendrer un coût très important pour l’entreprise. L’expertise se paye à prix d’or d’autant qu’il existe aujourd’hui un déficit de cyber-spécialistes sur le marché. Le coût d’entrée s’avère donc élevé et seuls quelques grands comptes peuvent se permettre la mise en place d’un SOC internalisé. Pour les autres entreprises, ETI principalement, l’intérêt d’un SOC externalisé prend tout son sens. Il est fourni par des prestataires qui vont s’adapter au budget alloué et mutualiser les outils et équipes d’experts. 

Des opérateurs de services de sécurité comme SFR Business sont à même d’octroyer un service très complet avec un coût raisonnable adapté au niveau de surveillance exigé. Dans le cas des PME, le budget allouable au risque est généralement très bas, voire inexistant. Elles deviennent malheureusement des cibles privilégiées des pirates, car plus facilement attaquables qu’un grand compte suréquipé. Certains prestataires de service travaillent néanmoins à démocratiser l’usage du SOC pour permettre même aux petites structures d’en profiter. Moyennant l’automatisation de tâches et/ou l’ajout de fonction proche d’un SIEM dans les équipements en place afin de privilégier l’échange d’informations et bloquer automatiquement les menaces grâce au pare-feu.

La digitalisation impose l’usage des SOC

La multiplication des expositions à Internet, l’augmentation de la valeur des données et les nouvelles réglementations comme le RGPD imposent l’usage d’un SOC. Grâce à l’IA et au Machine Learning, le SOC 3.0 pourra parvenir à traiter la masse d’information qui explosera et contrer en amont les pirates qui débordent d’inventivité pour infiltrer un réseau. Qui plus est, la surface d’attaque des entreprises (IoT, nomadisme, applis mobiles, télétravail, Cloud…) augmentant, il devient nécessaire qu’un élément intelligent vienne consolider la sécurité globale. Le SOC joue ce rôle de corrélation tout en ajoutant cet élément de compréhension et de détection des flux échangés.