Un Security Operations Center est le centre névralgique de la sécurité : il centralise, analyse et répond 24h/24, sept jours sur sept.
Le SOC est la pierre de voûte de l’édifice sécurité. Son rôle est d’unifier la fonction sécurité autour d’une organisation resserrée afin de détecter et de répondre aux menaces de manière coordonnée.
Élément central d’une stratégie sécurité, le SOC vient finaliser une démarche probablement entamée de longue date. Car pour en tirer tous les bénéfices l’entreprise devra avoir déjà atteint une maturité sécurité importante : elle devra notamment pouvoir compter sur des équipes expérimentées, des processus bien rodés et une bonne maîtrise des solutions qu’elle exploite déjà.
Ceci est particulièrement vrai, bien entendu, pour le SOC interne qu’elle animera seule. Mais c’est également le cas, dans une certaine mesure, du SOC exploité par un prestataire externe.
L’approche interne ne concernant que peu d’acteurs, nous nous intéresserons dans ce guide au choix d’un prestataire externe capable d’animer un SOC pour le compte de ses clients.
Multi-tenant or dédié ?
L’essentiel des offres de SOC externalisées est « multi-tenant » : les ressources techniques et humaines sont partagées entre tous les clients et les informations sur les menaces issues des flux d’un client bénéficient à tous les autres. Considérant que le coût de ressources dédiées serait largement plus élevé et que la mutualisation de l’analyse des flux bénéficie à l’ensemble des clients, ce n’est pas une mauvaise chose, à condition d’obtenir des garanties sur la confidentialité et l’isolation des informations clients.
La question de la confidentialité
Le prestataire devra notamment être en mesure de prouver qu’il prend les mesures nécessaires pour garantir l’isolation des informations confidentielles fournies par chaque client. En outre, le SOC étant par définition un point névralgique, il doit bénéficier lui-même d’un niveau de protection logique et physique adapté à la sensibilité des informations qu’il traite.
Les ressources internes
La mise en place d’un SOC externe n’est pas un projet mineur. Cela exigera des ressources et des efforts de la part de l’entreprise, tant avant que pendant la durée du contrat.
Avant, il sera notamment nécessaire de fournir des procédures précises de réaction aux incidents : qu’est-ce qui est normal dans le cadre de l’activité ? À partir de quel seuil tel ou tel événement devient-il une alerte ? Depuis quels pays des connexions de nos collaborateurs sont-elles légitimes ?
Enfin, durant la phase d’exploitation, il faudra être en mesure de répondre aux alertes et sollicitations du prestataire en temps et en heure, avec des procédures bien établies. Ce qui est déjà tout un projet en soi !
Les fonctions offertes par un SOC externe
- Intégration et supervision des flux de trafic de l’entreprise
- Surveillance continue des équipements et des solutions de sécurité (souvent à l’aide d’un SIEM exploité par le prestataire)
- Gestion des vulnérabilités remontées par un outil d’analyse automatisée
- Pré triage des alertes (nombreuses à ce stade !)
- Priorisation des alertes
- Gestion de la réponse selon les consignes de l’entreprise
- Analyse de la cause de l’incident
- Actions correctives (mises à jour, changement de configuration, etc.).
Ce que vous fournirez à votre prestataire de SOC externe
- Rapports d’analyses de vulnérabilités automatisées
- Liste des commandes sensibles passées aux bases de données
- Liste des commandes sensibles passées par les administrateurs systèmes
- Requêtes émises vers et renvoyées par les serveurs web
- Journaux des systèmes de filtrage de contenu web
- Journaux des équipements de sécurité (WAF, IDS, antivirus, etc.)
- Journaux du système d’authentification
- Journaux de la plateforme d’emails
- Autres journaux applicatifs (souvent centralisés au sein d’un SIEM)
- Requêtes DNS internes et vers l’externe
- Autres sources d’événements applicatifs (notamment issus d’applications hébergées en mode SaaS)
À noter : l’ANSSI propose un programme de qualification des « Prestataires de détection d’incidents de sécurité » (PDIS) qui pourra aider à présélectionner les prestataires. La liste des sociétés qualifiées est disponible ici :