Qu’est ce qu’un bon SOC ?

La récente étude M-Trends 2018 menée par Mandiant estime à 175 jours le délai moyen de détection d’une attaque sur une entreprise européenne. La moyenne mondiale est de 101 jours. Afin de pallier au plus vite ce manque de protection flagrant, les entreprises doivent aujourd’hui revoir leur approche de la cybersécurité. L’approche qui consiste à empiler les solutions de sécurité n’est plus suffisante. Les entreprises doivent aujourd’hui analyser leur système d’information en continue dans l’intérêt de détecter, de traiter, de neutraliser et investiguer rapidement les attaques informatiques.

Le SOC (Security Operation Center) va permettre à l’entreprise de surveiller en permanence la sécurité informatique de ses actifs IT, mais aussi, et surtout, de réagir sans délai en cas d’attaque avérée ou suspectée. Tous les événements informatiques (connexion, ouverture de session, requête sur une base de données…) sont remontés vers le SOC et analysés afin de détecter le signal faible annonciateur d’une attaque informatique. L’Agence nationale de sécurité des systèmes d’information (Anssi) impose aux entreprises les plus sensibles du pays, les opérateurs d’importance vitale (OIV), d’adopter une telle approche.

C’est un fait, la mise en place d’un SOC est incontournable aujourd’hui pour détecter les failles de sécurité. Cependant vous vous demandez si vous devez internaliser ou externaliser votre SOC.

Il est important d’avoir une double approche sur le sujet car la mise en place d’un SOC est un projet central en matière de sécurité des systèmes d’information.

Généralement, les entreprises se partagent les tâches avec leurs prestataires. Chez le prestataire, des analystes réalisent les tâches qui consistent à collecter, éplucher « les logs » (événements informatiques) et remonter les alertes. En interne, les équipes assurent le traitement et neutralisent l’attaque. Par leur connaissance métier, nos experts savent contextualiser les alertes et évaluer si elles mettent en péril les activités de l’entreprise. Nous avons aussi la connaissance des plans d’actions à mettre en œuvre pour protéger le système d’information.

Enfin, impossible d’évoquer le SOC sans parler du SIEM (Security Information Event Managment).

C’est la partie logiciel qui, de par ses fonctionnalités et sa position centrale dans l’architecture du SOC, est considéré comme le cœur de ce dispositif. Les SIEM entrent alors en jeu en permettant la collecte, l’agrégation, la corrélation, le reporting ou encore l’archivage des données récoltées.

En effet, face au nombre d’évènements générés par la multitude des composants d’un Système d’Information, il devient difficile de les traiter progressivement. C’est là tout l’intérêt du SIEM.

Concevoir, intégrer, déployer et opérer un SOC nécessite des investissements : moyens techniques, ressources humaines et conduite du changement. En considérant le fait que les budgets ne cessent de diminuer, les RSSI se retrouvent donc confrontés à un double challenge : mettre en place un SOC le plus efficace possible afin de convaincre la direction générale de l’entreprise de son bien-fondé et ainsi obtenir le soutien nécessaire.

Dans ce cas, que prendre en compte pour la mise en place d’un SOC efficace ?

1- Importance des référentiels

La bonne prise en compte des référentiels de l’entreprise (risques, menaces et impacts), des architectures (fonctionnelle et technique) permet dans un premier temps d’avoir un aperçu des services à mettre en place et déterminer la portée du SOC.

  • Faut-il se doter d’un SOC au niveau du siège social ?
  • Au niveau régional ?
  • Au niveau local ?
  • Quels seront les paramètres fonctionnels à couvrir (zones d’hébergement, mobilité, applications métiers …) ?

L’ensemble de ces éléments permettront de préciser l’architecture technique du SOC et les moyens qui seront alloués à sa mise en place.

2- Implication de l’ensemble des parties prenantes

La mise en place d’un SOC est un projet stratégique qui impacte toute l’entreprise. Un projet SOC doit donc être avant porté par la Direction générale pour que la sécurité fasse partie de l’ADN de l’entreprise. Mais c’est également un projet où toutes les parties prenantes ‘équipes opérationnelle et clients) doivent pouvoir être associées et informées au travers de méthodologie de retour d’expérience, de tableaux de bord métiers et d’informations issues de la veille cyber.

3- Répondre aux obligation légales (LPM 2014-2019)

Le SOC doit également pouvoir être utilisé pour répondre aux obligations imposées aux OIV dans le cadre de la Loi de Programmation Militaire (LPM), notamment en termes de notifications d’incidents. Cela implique la mise en œuvre d’un système de détection d’attaques informatiques et la notification des incidents de sécurité significatifs aux autorités compétentes.

4- Une stratégie de surveillance adaptée

La stratégie de surveillance permet de formaliser le fonctionnement du SOC afin d’en assurer la bonne gestion. Elle se base généralement sur un document définissant le périmètre, l’architecture, les processus de maintien et les différentes règles du SOC, sur une base de connaissances et le suivi de projet. Si son premier objectif est de garantir la bonne surveillance du parc, elle constitue également un excellent moyen de s’assurer de l’efficacité du SOC et de piloter sa montée en puissance.

5- Risques/Scenarii de menace

Qu’il s’agisse de l’analyse des risques ou de la sélection des scénarios de menaces, il est humainement impossible de tout couvrir. Il faut donc effectuer des choix.

  • Quels sont les risques acceptables pour mon entreprise ?
  • Quelles sont les menaces contre lesquelles je veux absolument me protéger ?

6- Politique de supervision

Ces choix stratégiques pourront ainsi être déclinés en une politique de supervision solide : éléments nécessaires pour détecter les scénarios de menace prédéfinies, référentiels pour formaliser la démarche, architecture à mettre en place, reporting… N’oubliez pas de prévoir un reporting journalier spécifique pour votre directeur général ou directeur technique.

7- Implantation / Mise à jour

L’implantation couvre notamment la traduction des éléments SSI en technique et la mise en place des modèles d’organisation et de processus. Cette phase peut également permettre la sensibilisation de la hiérarchie : il suffit de prévoir une interface de démo dédiée, pour vendre le SOC en interne de la même manière qu’à un client.

8- Maintien en condition de sécurité

La phase de maintien en condition de sécurité » permet d’assurer que les performances de votre SOC restent optimales. Elle permet également d’analyser les impacts d’une attaque. Pour rassurer votre hiérarchie sur la fiabilité du SOC, pourquoi ne pas simuler une crise dont le DG serait directement la victime et lui démontrer concrètement l’efficacité de votre système ?