Un centre d’opérations de sécurité (SOC) est une fonction centralisée au sein d’une organisation employant des personnes, des processus et des technologies pour surveiller et améliorer en permanence la posture de sécurité d’une organisation tout en prévenant, détectant, analysant et répondant aux incidents de cyber sécurité.
La fonction d’une équipe des opérations de sécurité et, souvent, d’un centre des opérations de sécurité (SOC), est de surveiller, détecter, enquêter et répondre aux cybers menaces 24 heures sur 24. chargé de surveiller et de protéger de nombreux actifs, tels que la propriété intellectuelle, les données du personnel, les systèmes d’entreprise et la protection de la marque. En tant que composante de mise en œuvre du cadre global de cyber sécurité d’une organisation, les équipes des opérations de sécurité jouent le rôle de point central de collaboration dans le cadre d’efforts coordonnés pour surveiller, évaluer et se défendre contre les cyberattaques .
Les SOC ont été généralement construits autour d’une architecture en étoile, dans lequel un système de gestion des informations et des événements de sécurité (SIEM) regroupe et corrèle les données des flux de sécurité. Les rayons de ce modèle peuvent incorporer une variété de systèmes, tels que des solutions d’évaluation de la vulnérabilité, des systèmes de gouvernance, des risques et de la conformité (GRC), des scanners d’applications et de bases de données, des systèmes de prévention des intrusions (IPS), des analyses du comportement des utilisateurs et des entités (UEBA), la détection des points de terminaison et les plates-formes de remédiation (EDR) et de renseignement sur les menaces (TIP).
Le SOC est dirigé par un responsable SOC et peut inclure des intervenants en cas d’incident, des analystes SOC (niveaux 1, 2 et 3), des chasseurs de menaces et des responsables de la réponse aux incidents. Le SOC relève du RSSI, qui à son tour rapporte soit au CIO, soit directement au CEO.
Le SOC est responsable de deux types d’actifs: les différents appareils, processus et applications dont il est chargé de la sauvegarde et les outils défensifs dont il dispose pour assurer cette protection.
Même les processus de réponse les mieux équipés et les plus agiles ne sont pas à la hauteur pour empêcher les problèmes de se produire en premier lieu. Pour aider à garder les attaquants à distance, le SOC met en œuvre des mesures préventives, qui peuvent être divisées en deux catégories principales.
Les membres de l’équipe de préparation doivent rester informés des dernières innovations en matière de sécurité, des dernières tendances en matière de cybercriminalité et du développement de nouvelles menaces à l’horizon. Cette recherche peut aider à créer une feuille de route de sécurité qui orientera les efforts de cyber sécurité de l’entreprise à l’avenir, et un plan de reprise après sinistre qui servira de guide dans le pire des cas.
Les outils de surveillance proactive continuent d’être utilisés par le SOC analysent le réseau 24h / 24 et 7j / 7 pour signaler toute anomalie ou activité suspecte. La surveillance du réseau 24 heures sur 24 permet au SOC d’être immédiatement informé des menaces émergentes, ce qui leur donne les meilleures chances de prévenir ou d’atténuer les dommages. Les outils de surveillance peuvent inclure un SIEM ou un EDS, dont le plus avancé peut utiliser l’analyse comportementale pour «apprendre» aux systèmes la différence entre les opérations régulières et le comportement réel des menaces, minimisant ainsi la quantité de triage et d ‘analyser à effectuer par les humains.
Des alertes lorsque les outils de surveillance émettent des alertes, il est de la responsabilité du SOC de les examinateurs de près, d’éliminer les faux positifs et de déterminer le degré d’agressivité des menaces réelles et ce qu’ils pourraient cibler. Cela leur permet de trier les menaces émergentes de manière appropriée, en traitant d’abord les problèmes les plus urgents.
Ce sont les actions dont la plupart des gens envisagent de penser au SOC. Dès qu’un incident est confirmé, le SOC agit en tant que premier intervenant, effectuant des actions telles que l’arrêt ou l’isolation des points de terminaison, l’arrêt des processus nuisibles (ou les empêchant de s’exécuter), la suppression de fichiers, etc. L’objectif est de répondre dans la mesure nécessaire tout en ayant un impact aussi faible que possible sur la continuité des activités.
À la suite d’un incident, le SOC s’efforcera de restaurer les systèmes et de récupérer toutes les données perdues ou compromis. Cela peut inclure l’effacement et le redémarrage des points de terminaison, la reconfiguration des systèmes ou, dans le cas d’attaques de ransomware, le déploiement de sauvegardes viables afin de contourner le ransomware. En cas de succès, cette étape ramènera le réseau à l’état dans lequel il se développe avant l’incident.
Le SOC est responsable de la collecte, de la maintenance et de la révision régulière du journal de toutes les activités et communications du réseau pour l’ensemble de l’organisation. Ces données doivent définir une base de référence pour l’activité du réseau «normal», peuvent révéler l’existence de menaces et peuvent être utilisées pour la correction et la criminalistique à la suite d’un incident. De nombreux SOC utilisent un SIEM pour agréger et corréler les flux de données des applications, des pares-feux, des systèmes d’exploitation et des points de terminaison, qui produisent leurs propres journaux internes.
À la suite d’un incident, le SOC est chargé de déterminer exactement ce qui s’est passé, quand, comment et pourquoi. Au cours de cette enquête, le SOC utilise les données du journal et d’autres informations pour retracer le problème jusqu’à sa source, ce qui aide à éviter que des problèmes similaires ne se reproduisent à l’avenir.
Les cybercriminels affinent constamment leurs outils et leurs tactiques – et pour garder une longueur d’avance sur eux, le SOC doit mettre en œuvre des améliorations de manière continue. Au cours de cette étape, les plans obtenus dans la feuille de route de la sécurité prennent vie, mais cette amélioration peut également inclure des pratiques telles que le red-teaming et le purple-teaming.
De nombreux processus du SOC sont guidés par les meilleures pratiques établies, mais certains sont régis par des exigences de conformité. Le SOC est responsable de l’audit régulier de ses systèmes pour garantir le respect de ces règles, qui peuvent être émises par leur organisation, par leur secteur ou par des organes directeurs. Des exemples de ces regroupements regroupent le RGPD , la HIPAA et la PCI DSS . Agir conformément à ces limites permet non seulement de protéger les données sensibles qui ont été confiées à l’entreprise, mais également de protéger l’organisation contre les atteintes à la réputation et les contestations juridiques résultant d’une violation.
Vous souhaitez être accompagné ou conseillé pour le développement de votre projet informatique? N’hésitez pas à contacter nos experts en cyber sécurité qui répondront à toutes vos questions et vous accompagneront pour la réalisation de votre projet dans les meilleures conditions.
Input your search keywords and press Enter.
