SOC ou Security Operations Center (en anglais) est une structure organisationnelle dédié à la mise en œuvre de toutes les opérations de sécurité d’une organisation contre les cyberattaques. Ces actions comprennent la supervision et protection du système d’information d’une organisation (postes de travail, réseaux, site web, applications, bases de données).
Les particules élémentaires d’un SOC sont: l’équipe, les données, les outils et les procédures. Une erreur fréquente consiste à réduire un SOC à l’une seule de ces composantes, par exemple au lieu physique où se déroule la supervision, ou à la seule plateforme logicielle.
Par ailleurs, un SOC n’est pas seulement destiné aux organisations dotées de grands systèmes d’information ou à celles qui opèrent dans des secteurs à forte exposition comme la finance ou les opérateurs d’importance vitale. Son usage est tout simplement destiné aux organisations de tous secteurs d’activités qui souhaitent protéger leurs données contre les menaces informatiques.
À quoi sert-il dans une stratégie Cyber ?
Un SOC offre à une organisation la capacité de détecter, de répondre et de prévenir les cyberattaques. Il peut également être utilisé pour :
- Effectuer une chasse proactive autour des menaces.
- Décrire une attaque informatique à partir d’éléments contextualisés sur les malware, acteurs malveillants et leurs modes opératoires.
- Evaluer les alertes et réagir avant impact face à celles les plus dangereuses pour l’organisation.
Quels sont les différents types de SOC ?
Dans l’imaginaire collectif, un SOC traditionnel est composé d’une équipe fournie, fonctionnant en 24/7, internalisé à l’entreprise ou l’organisation, et supervisant uniquement les actifs informatiques propres de l’entreprise. Or les structures qui peuvent se permettre ce type de SOC sont uniquement les grands groupes ou les organismes publics conséquents.
En réalité, il existe une diversité de modèles de SOC, allant d’une toute petite équipe tournant aux horaires de bureaux, à un service managé par un fournisseur tiers, en passant par… pas de SOC du tout! Le choix repose bien souvent sur les ressources humaines et budgétaires de l’entreprise, alors qu’il devrait être principalement fondé sur une analyse de risques.
Les entreprises de petite ou moyenne taille, ou même de taille intermédiaire, qui démarrent une démarche de cybersécurité sérieuse commencent généralement à juste titre par des prestations de service managé, parfois en lien avec leurs services d’infogérance lorsqu’ils existent.
Du côté des MSSP (Managed Security Services Providers), un même SOC assure bien souvent la couverture de plusieurs entités clientes, et les plus grands MSSP disposent d’un maillage territorial leur permettant de “suivre le soleil” pour assurer une couverture 24/7.
Comment fonctionne un SOC ?
La fonction principale d’un SOC est la collecte, l’analyse, l’interprétation des données liées à la sécurité de l’information afin de :
- Détecter les tentatives d’intrusion,
- Apporter les réponses appropriées et, lorsque cela échoue,
- Faciliter l’investigation, nettoyer et réparer le système d’information pour réduire les impacts au maximum.
Pour ce faire, le SOC dispose de plusieurs outils à partir desquels les analystes peuvent surveiller, enquêter et gérer divers systèmes à partir d’un seul emplacement. Parmi ces outils, figurent par exemple, le SIEM (Security Information and Event Management). Celui-ci sert tout d’abord, à collecter et à rassembler sur une même infrastructure de traitement, des données issues des réseaux, des terminaux, des systèmes industriels, des applications et d’autres sources d’informations de l’organisation.
Ensuite, avec l’appui d’informations issues de la CTI (Cyber Threat Intelligence), l’équipe SOC peut analyser ces données afin d’identifier les menaces ou vulnérabilités potentielles qui compromettraient la sécurité de l’organisation.
Dans le cas d’une activité malveillante avérée, elle peut prendre des mesures pour atténuer ces menaces avant qu’elles ne portent préjudice à l’entreprise. Des outils de type SOAR peuvent être alors mobilisés dans ce cas de figure pour simplifier et accélérer la remédiation.
L’outillage d’un SOC peut rapidement devenir complexe si l’organisation se contente d’empiler des solutions expertes. La prolifération des outils est une source d’inefficacité, et peut parfois devenir dangereuse en conférant un faux sentiment de protection. C’est pourquoi il est devenu indispensable, dans les SOC modernes, de se doter d’une plateforme logicielle capable de fédérer l’ensemble des moyens disponibles.
Comment outiller efficacement un SOC ?
Sur SEKOIA.IO, nous avons développé une plateforme SOC qui offre aux équipes une capacité opérationnelle clé en main pour détecter et répondre automatiquement aux incidents de sécurité, quelle que soit la surface d’attaque.
Cette plateforme SOC ne se contente pas seulement de remplir les fonctions d’un SIEM classique (Security Information & Event Management): Elle intègre nativement sur une console unifiée, toutes les composantes nécessaires à la sécurité de votre organisation. Vous y trouverez :
- Une CTI intégrée, très contextualisé, contenant plus de 500 règles de détections actionnables et dont la présence sert à amplifier votre capacité de détection des mencaces
- Un SOAR (Security Orchestration, Automation and Response) permettant d’accélérer par le biais de playbooks personnalisables la réponse aux incidents.
- Ainsi que toutes les fonctions utiles d’un back-end de sécurité: un Data Lake performant et réactif, des APIs ouvertes pour des intégrations fluides, un déploiement SaaS pour un MCO/MCS transparent…
Enfin, un SOC doit être paré à suivre l’organisation qu’il protège dans toutes ses évolutions futures: extensions de périmètre, croissance internationale, ajout de fonctionnalités ou de nouvelles technologies, évolutions réglementaires… C’est pourquoi il est vital que la plateforme SecOps retenue présente la flexibilité et l’agilité nécessaire pour ne pas enfermer l’organisation dans un environnement fermé.
Vous pouvez consulter d’autres définitions concernant : CTI, XDR, EDR, SIEM, IoC (Indicateurs de compromission).
Si vous consultez pour la première fois notre site web, sachez que nous sommes un éditeur de logiciels de cybersécurité. Nous fournissons aux équipes cyber et MSSP une plateforme de sécurité opérationnelle clé en main. À travers notre plateforme XDR, notre outil CTI et notre plateforme de Threat Intelligence, nous permettons à nos usagers de neutraliser les menaces informatiques, quelle que soit la surface d’attaque.