Le rôle d’un SOC dans l’entreprise

La forte recrudescence d’attaques informatiques de ces dernières années a mis en lumière une équipe de cyber sécurité peu connue avant et appelée SOC. Le SOC est une équipe intervenant dans le domaine de la cybersécurité en entreprise. Les rôles et les responsabilités de cette équipe ne sont pas toujours connus de tous. L’idée de cet article est de présenter cette équipe SOC afin de comprendre pourquoi de nombreuses entreprises s’appuient de plus en plus sur ces ressources pour assurer leur sécurité.

Le SOC, c’est quoi ?

Le SOC est l’équipe en charge d’assurer la sécurité de l’information dans l’entreprise. Son acronyme correspond à Security Operations Center ou Cellule de Sécurité Opérationnelle en français.

Le SOC peut être une équipe interne dans l’entreprise ou externe chez un prestataire spécialisé opérant à distance, on parle alors de SOCaaS (SOC as a Service).

Le SOC est principalement composé d’analystes qui surveillent un nombre important de composants du SI afin de détecter et qualifier les incidents de sécurité, puis de définir et suivre les plans de réaction.

Les principales missions du SOC :

Superviser la sécurité de l’entreprise

L’objectif de cette activité est de suivre en temps réel le SI de l’entreprise afin de réduire au maximum le temps entre une alerte / tentative d’attaque d’un hacker et la réponse qu’on peut apporter en termes de réaction. En cas d’attaque cyber, l’équipe du SOC peut ainsi intervenir immédiatement et limiter les impacts pour l’entreprise, ses employés et ses clients.

Définir et mettre en place les solutions de détection

Cette activité permet de mettre en place une surveillance continue et d’analyser l’activité des données sur les réseaux, les serveurs, les postes de travail, les applications, etc.

Cette activité de détection repose sur le recueil d’évènements, de métriques, de logs, de paquets, etc. sur lesquelles des algorithmes de détection ou de corrélation vont être branchés (solutions SIEM). Depuis quelques années, les capacités de l’intelligences artificielles sont intégrées pour détecter des anomalies comportementales.

Détecter et qualifier des événements de sécurité

Une fois la stratégie de détection activée, le SOC doit analyser l’ensemble des alertes de sécurité levées et déterminer quelles sont celles qui sont avérées. En effet, dans ce domaine d’activité, beaucoup d’alertes sont considérées comme fausses, c’est ce qu’on appelle les faux positifs. Un tri constant est donc nécessaire pour remonter les incidents avérés et déclencher les actions de réaction.

Fournir les plans de réaction

En cas d’incident de sécurité, c’est au SOC de définir le plan de réaction et d’assister les équipes techniques qui réaliseront ces actions préconisées sur les composants concernés. La responsabilité du SOC inclus le suivi du plan de réaction, afin de s’assurer que les failles sont corrigées, les patchs correctifs passés, etc.

Le SOC se doit aussi d’effectuer une veille technologique constante afin d’avoir la capacité de faire face à l’évolution permanente de la menace.

Un point important sur cette veille est le suivi des failles publiques de sécurité (CVE) afin d’alerter en amont les équipes techniques concernées potentiellement par ces CVE. L’objectif est de les faire patcher avant qu’un hacker ne tente de les exploiter.

En conclusion :

L’ activité et le niveau de responsabilité d’une équipe SOC lui impose donc d’avoir une vision d’ensemble du SI et de son niveau de sécurité, d’avoir la capacité de coordonner les acteurs impliqués et d’optimiser constamment son système de supervision de la sécurité. C’est à ce prix qu’elle peut garantir un niveau de surveillance et de protection optimal du SI de l’entreprise.

Le centre de compétence en cyber sécurité de Synapsys peut vous accompagner dans la mise en place d’une organisation de type SOC afin d’élever le niveau de protection de votre entreprise.

Synapsys peut accompagner les équipes SOC déjà en place afin de les aider à optimiser leur organisation, ainsi que les scenarii de détection.