Accueil🇫🇷Chercher

Security operations center

Le Centre des OpĂ©rations de SĂ©curitĂ© (souvent rĂ©duit Ă  son acronyme anglais « SOC ») est une division, dans une entreprise, qui assure la sĂ©curitĂ© de l'organisation et surtout le volet sĂ©curitĂ© de l'information. Si on fait rĂ©fĂ©rence Ă  un SOC dans un bâtiment, il s'agit d'un lieu oĂą est supervisĂ© le site, avec des logiciels de traitement de donnĂ©es spĂ©cifiques[1]. Typiquement, les agents de sĂ©curitĂ© vĂ©rifient les contrĂ´les d'accès, contrĂ´lent des lumières, des alarmes, des barrières de vĂ©hicules etc[2].

Objectifs

Un SOC est lié aux personnes, aux processus et aux technologies utilisées pour s’assurer de la connaissance de la situation grâce à la détection, au confinement et à l'assainissement des menaces informatiques. Un SOC gère les incidents pour l'entreprise en s'assurant qu'ils sont correctement identifiés, analysés, communiqués, actionnés / défendus, enquêtés et signalés. Le SOC surveille également les applications pour identifier une éventuelle cyberattaque ou intrusion (événement) et détermine s'il s'agit d'une menace (incident) réelle et malveillante, si cela pourrait avoir un impact sur l'entreprise.

Exigences réglementaires

L'établissement et l'exploitation d'un SOC est coûteux et difficile. Les organisations doivent avoir besoin de bonnes raisons pour le mettre en place. Cela peut inclure:

  • Protection des donnĂ©es sensibles
  • Se conformer aux règles de l'industrie telles que PCI DSS.
  • Se conformer aux règles gouvernementales, comme la SCEE GPG53

SOC de l’informatique

Un centre d'opérations et de sécurité de l'information (ou ISOC, parfois CSOC pour Cyber Security Operation Center[3]) est une plateforme où les systèmes d'information de l'entreprise (sites Web, applications, bases de données, centres de données, serveurs, réseaux et postes de travail et autres terminaux) sont surveillés, évalués et défendus.

Dans un premier temps le centre va collecter des informations du système informatique de l’entreprise grâce aux composants de sĂ©curitĂ© mis en place, les analyser pour ensuite dĂ©tecter d’éventuelles anomalies. En cas d’éventuelle «erreurs Â» dans le rĂ©seau le SOC va permettre d’alerter, de faire remonter l’information, pour avoir un dĂ©lai d’intervention de plus en plus rapide.

Un SOC va pouvoir permettre à une entreprise d’administrer son réseau informatique à distance et ainsi de réduire les risques.

Sa mise en place et ses enjeux

La décision de mettre en place un SOC dans une entreprise est en règle générale prise par la direction générale. Ce choix stratégique engage l’organisation dans sa globalité et l’engage sur les années à venir.

Analyse de l’environnement

Dans un premier temps l’entreprise doit évaluer l’ensemble des risques auxquels elle est confrontée et définir ses processus critiques. Une fois cette étape réalisée elle pourra en déduire les vulnérabilités et menaces de son système d’information. Pour finir les risques devront être classés en fonction de leur degré de dangerosité.

Des simulations de cyberattaques peuvent aussi être réalisées afin de définir les failles liées à un logiciel malveillant ou utilisateur mal intentionné. Ces tests détectent les risques découlant d’une mauvaise configuration du système, défauts de programme ou encore l’efficacité de la solution mise en place. Pour finir, une fois les failles du système détecté un plan d’action va être proposé visant à diminuer la vulnérabilité du système d’information.

Ressources humaines nécessaire à la mise en place du dispositif : L'équipe SOC

Afin d’assurer la bonne mise en place du SOC, et son efficacité, il est nécessaire de constituer une équipe affectée à ce dispositif.

Cependant, le SOC n’est que très peu présent au sein des entreprises, les compétences dans ce domaine restent rares.

Ainsi il est important pour l’entreprise de mettre en place des plans de formation et de certification pour encourager la formation en interne.

Outre le suivi de l’implantation de cet outil au sein de l’entreprise, l’objectif de cette équipe affectée au SOC va être de pouvoir interagir avec les autres équipes responsables de la sécurité des systèmes d’information, afin d’adapter au mieux le dispositif à l’organisation. De ce fait, la transversalité de l’information entre ces équipes est nécessaire pour assurer l’efficacité du SOC. Cette transversalité n’est possible que si l’équipe SOC dispose de connaissance suffisante pour pouvoir dialoguer avec le service sécurité des SI.

Une fois l’équipe en place celle-ci devra acquérir de nouvelles technologies nécessaires à la supervision du système d’information. La formation régulière du personnel va aussi permettre de limiter les erreurs de qualification ou d’investigation. L’équipe doit obligatoirement être en mesure de surveiller le système et détecter les probables attaques. Chaque alerte fera l’objet d’une investigation pour en savoir l’origine et ces raisons.

Cependant devant les compétences techniques que nécessite la gestion d’un tel outil, certaines entreprises décident de confier cette tâche à un prestataire externe.

Support du SOC

Le SIEM (Security Information Event Management) est l’outil principal du SOC puisqu’il permet de gérer les évènements d’un SI. Il convient de ne pas confondre le SIEM avec le SIM (Security Information Management) et le SEM (Security Event Management). En effet ces 3 notions se complètent et ne sont pas des éléments identiques. Nous allons donc définir ces différentes notions.

Le SIM (Security Information Management) surveille, collecte et analyse les donnĂ©es provenant des diffĂ©rents ordinateurs d’une sociĂ©tĂ© et plus prĂ©cisĂ©ment des pare-feu, serveurs proxy, anti-virus qui les composent… Ces donnĂ©es sont analysĂ©es puis traduites sous forme de graphiques ou autres. Elles permettent Ă  la personne chargĂ©e de la surveillance du SIM de surveiller en temps rĂ©el toute possible intrusion dans les systèmes. Le point fort du SIM rĂ©side notamment dans sa capacitĂ© Ă  stocker un très grand nombre de donnĂ©es sur une longue pĂ©riode grâce Ă  une capacitĂ© de compression de l’ordre de 10 : 1.

Concernant le SEM (Security Event Management), ce dernier est notamment présent dans les entreprises qui utilisent les bases de données en SQL. Le but et la fonction principale d’un SEM est de permettre un plus fort traitement des données en temps réel et ainsi trouver la cause plus rapidement qu’un SIM. L’un des principaux inconvénients est que celui-ci dispose d’une faible capacité de compression ne lui permettant pas de pouvoir stocker sur le long terme.

Le SIEM est le système le plus compliqué à mettre en place dans une société. En effet il correspond à la fusion d’un SIM et d’un SEM, il dispose donc d’une capacité de traitement et de stockage de données très importante. Il permet notamment de faire le lien entre différents évènements qui ont pu avoir lieu dans le système d’information, alerter en temps réel en cas d’intrusion la personne chargée du SIEM mais aussi de générer des rapports sur tous types de problèmes de sécurité.

Visions internationales et spécifiques

SOC aux États-Unis

L’administration chargée de la sécurité des transports aux États-Unis a mis en place des centres d'opérations de sécurité pour la plupart des aéroports qui ont uni la totalité de la sécurité. La principale fonction des centres d'opérations de sécurité de la TSA (Transportation Security Administration) est de servir de plaque tournante pour le personnel de sécurité, les forces de l'ordre, le personnel des aéroports et diverses autres agences impliquées dans les opérations quotidiennes des aéroports. Les SOC sont opérationnels 24 heures par jour, leurs fonctionnements sont assurés par les agents de surveillance du SOC. Ces agents sont formés à tous les aspects de la sûreté aéroportuaire et de l'aviation et sont souvent tenus de faire des changements anormaux. Les agents de surveillance du SOC veillent également à ce que le personnel de la TSA respecte le protocole approprié pour les opérations de sécurité dans les aéroports. Le SOC est habituellement le premier à être informé des incidents dans les aéroports, tels que la découverte d'articles prohibés / contrebande, d'armes, d'explosifs, de matières dangereuses ainsi que les incidents concernant les retards de vol, les passagers indisciplinés, les blessures, les équipements endommagés et divers autres types de potentiel Sécurité. À son tour, le SOC transmet toutes les informations relatives à ces incidents aux directeurs de la sécurité fédérale de la TSA, à l'application de la loi et au siège de la TSA.

SOC en France

Les centres d'opérations de sécurité ne sont pas beaucoup développés en France mais la nouvelle Loi de programmation militaire fera évoluer cette tendance en promouvant une réelle prise de conscience quant aux menaces en relation à la cybersécurité. Cette loi apporte des changements et une obligation des Opérateurs d’Importance Vitale (OIV) d’assurer la protection de leurs systèmes d'information (SI) contre les cyberattaques. Cela passera par l’obligation de mettre en place des SOC pour assurer la supervision, la détection d’évènements de sécurité dans leur parc informatique et communiquer toutes menaces aux autorités.

CloudSOC

Un centre d'opérations de sécurité infonuagique (Cloud Security Operations Center) peut être configuré pour surveiller l'utilisation des services du Cloud dans une entreprise. Il peut aussi avoir pour fonction d’analyser et auditer l'infrastructure informatique et les journaux d'applications via les technologies SIEM et les plateformes de données machine Splunk, IBM QRadar, HP ArcSight et Elasticsearch pour fournir des alertes et des détails sur les activités suspectes.

Autres types de SOC

En plus de celles vu précédemment il existe de nombreux autres termes relatifs au titre original "ISOC".

  • NSOC : Centre RĂ©seau des OpĂ©rations de SĂ©curitĂ©
  • ASOC : Centre AvancĂ© des OpĂ©rations de SĂ©curitĂ©
  • GSOC : Centre Mondial des OpĂ©rations de SĂ©curitĂ©
  • VSOC : Centre Virtuel des OpĂ©rations de SĂ©curitĂ©

Notes et références

  1. (en) Sixto O. de Leon, Security : Defense Against Crime, Manille, National Book Store, , p. 17.
  2. (en) Barbara A. Nadel, Building Security : Handbook for Architectural Planning and Design, McGraw-Hill, , 2.20 (ISBN 978-0-07-141171-4).
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.