Les utilisateurs d’aujourd’hui sont plus que jamais mobiles et connectés à de plus en plus d’appareils dans le monde entier. De nombreuses applications et données se déplacent vers le cloud, exposant les ressources informatiques à diverses menaces (logiciels malveillants, ransomware, phishing, attaques DDOS, attaques par force brute). Les entreprises doivent donc gérer la sécurité des données dans le cloud (public, privé, hybride) et les réseaux locaux. Pour mieux protéger les données, il faut tenir compte du contexte de l’identité afin de mieux prévenir, prévoir, détecter et répondre aux attaques et aux violations des systèmes d’information.
Définition de SOC
Un centre des opérations de sécurité (SOC) est un groupe au sein d’une organisation qui est responsable de la sécurité des informations.
Le SOC est un programme de surveillance et de gestion de la sécurité des systèmes d’information utilisant des outils tels que la détection et la corrélation d’incidents, la réponse à distance, etc. La gestion des incidents de sécurité (SIEM) est la gestion des incidents qui se produisent dans un système d’information. Les événements du système d’information sont le principal outil du SOC.
Le SOC utilise des solutions et des méthodes techniques pour détecter, analyser et répondre aux incidents de cyber sécurité. Ainsi, le fait de recourir à un soc permet de surveiller et d’analyser les activités des réseaux, des serveurs, des points d’extrémité, des bases de données, des applications, des sites web et d’autres systèmes, qui permettent de détecter les signaux faibles pouvant indiquer un incident ou une menace pour la sécurité. L’équipe SOC travaille en étroite collaboration avec l’équipe d’intervention pour s’assurer que les mesures appropriées sont prises dès qu’un problème de sécurité est détecté.
Les différents aspects du centre d’opérations de sécurité
Pour qu’un centre d’opérations de sécurité soit efficace, il doit s’adapter en permanence à l’évolution des menaces actuelles. C’est l’objet de la veille en matière de cybersécurité, notamment la surveillance des vulnérabilités affectant les systèmes d’information, explique Arnaud Pilon. Par exemple, une « évaluation de la vulnérabilité » peut être réalisée pour évaluer la vulnérabilité et le risque d’un système informatique.
Le SOC peut également s’assurer que les outils de sécurité tels que les pare-feu, les EDR, les passerelles de sécurité et les capteurs sont en place. En outre, les outils sensibles aux menaces, tels que les systèmes de protection des infrastructures en nuage et les systèmes d’exploration et de réponse aux points d’extrémité (EDR), sont également pris en compte.
Détecter les incidents de sécurité est un défi majeur pour les SOC
Arnaud Pilon prévient que « le recours aux seuls programmes de sécurité ne suffit plus » et souligne que les méthodes de prévention ont leurs limites. La détection des incidents de sécurité est un défi majeur pour les SOC. L’objectif est de collecter, corréler et traiter les journaux et les incidents de sécurité. Ce « réseau SOC » est basé sur deux approches : « de haut en bas » pour identifier les situations qui causent des problèmes et les actifs et ressources les plus critiques qui doivent être protégés, et « de bas en haut » pour identifier les attaques les plus courantes affectant la technologie », a déclaré Arnaud Pilon. En combinant ces deux approches, les entreprises peuvent mettre en place la stratégie de détection la plus fonctionnelle.