Alain Bouillé,
président du Cesin
« On ne peut plus aujourd’hui rester aveugles et se passer de SOC. »
« On le constate tous les jours, les défenses des entreprises restent perfectibles. Savoir qu’un malware qui peut potentiellement entrer dans l’entreprise sans qu’on puisse le savoir est une situation aujourd’hui insupportable. Je distingue globalement 3 types d’organisations.
Le SOC internalisé est celui qui présente le moins d’inconvénients. Toutes les données sont maintenues dans l’entreprise et on a une mainmise totale des processus.
L’approche mixte est un modèle que je connais bien puisque je l’ai retenu dans mon entreprise. Les outils et les machines sont internalisés, mais le SOC est managé par des prestataires, ce qui résout pour moi le problème du turn-over et de formation du personnel. Cela permet néanmoins de garder la maîtrise, de faire évoluer les données injectées dans le SOC sans avoir à rédiger de nouvelles clauses aux contrats.
La troisième option est de tout externaliser. J’ai l’habitude de dire qu’il vaut mieux disposer d’un SOC externalisé que pas de SOC du tout, mais cette externalisation pose le problème de sortie des logs et expose l’entreprise à un risque vis-à-vis de la confidentialité des données. Si l’on opte pour un SOC externalisé, il est extrêmement important de maintenir une compétence en interne pour piloter le contrat et challenger régulièrement le prestataire. De même au niveau contractuel, il faut pouvoir garder une marge de manœuvre pour les volets remédiation et forensic en cas d’incident de sécurité grave. »