Un centre des opérations de sécurité (SOC) – parfois appelé centre des opérations de sécurité de l'information, ou ISOC – est une équipe interne ou externalisée de professionnels de la sécurité informatique qui surveille l'ensemble de l'infrastructure informatique d'une entreprise, 24h/24 et 7j/7, afin de détecter les événements de cybersécurité en temps réel et y faire face aussi rapidement et efficacement que possible.
Un SOC sélectionne, exploite et entretient également les technologies de cybersécurité de l'entreprise et analyse en permanence les données sur les menaces afin de trouver des moyens d'améliorer le dispositif de sécurité de l'entreprise.
Le principal avantage de l'exploitation ou de l'externalisation d'un SOC est qu'il unifie et coordonne les outils, les pratiques et la réponse aux incidents de sécurité d'une entreprise. Cela se traduit généralement par des mesures préventives et des politiques de sécurité améliorées, une détection plus rapide des menaces et une réponse plus rapide, plus efficace et plus rentable aux menaces de sécurité. Un SOC peut également améliorer la confiance des clients et simplifier et renforcer la conformité d'une entreprise aux réglementations sectorielles, nationales et mondiales en matière de confidentialité.
Les activités et les responsabilités du SOC se répartissent en trois catégories.
Inventaire des actifs. Un SOC doit maintenir un inventaire exhaustif de tout ce qui doit être protégé, à l'intérieur ou à l'extérieur du centre de données (par exemple, les applications, les bases de données, les serveurs, les services cloud, les points de terminaison, etc.) et tous les outils utilisés pour les protéger (pare-feux, antivirus/outils anti-logiciels malveillants/rançongiciels, logiciels de surveillance, etc.). De nombreux SOC utiliseront une solution de détection d'actifs pour cette tâche.
Maintenance et préparation de routine. Pour optimiser l'efficacité des outils et des mesures de sécurité en place, le SOC effectue une maintenance préventive telle que l'application de correctifs logiciels et de mises à niveau, et la mise à jour continue des pare-feu, des listes blanches et des listes noires, ainsi que des politiques et procédures de sécurité. Le SOC peut également créer des sauvegardes du système – ou permettre de créer une politique ou des procédures de sauvegarde – afin d'assurer la continuité des activités en cas d'atteinte aux données, d'attaque par rançongiciels ou de tout autre incident de cybersécurité.
Planification de la réponse aux incidents Le SOC est responsable de l'élaboration du plan de réponse aux incidents de l'entreprise, qui définit les activités, les rôles, les responsabilités en cas de menace ou d'incident, et les paramètres par lesquels le succès de toute réponse à un incident sera mesuré.
Tests en continu. L'équipe SOC effectue des évaluations de vulnérabilité : des évaluations complètes qui identifient la vulnérabilité de chaque ressource aux menaces potentielles et les coûts connexes. Il effectue également des tests de pénétration qui simulent des attaques spécifiques sur un ou plusieurs systèmes. L'équipe corrige ou affine les applications, les politiques de sécurité, les meilleures pratiques et les plans de réponse aux incidents en fonction des résultats de ces tests.
À l'affût des nouveautés. Le SOC est à l'affût des dernières solutions et technologies de sécurité, ainsi que des dernières informations sur les menaces : actualités et informations sur les cyberattaques et les pirates qui les commettent, recueillies à partir des réseaux sociaux, des sources du secteur et du dark web.
Surveillance de sécurité continue 24h/24. Le SOC surveille l'ensemble de l'infrastructure informatique étendue – applications, serveurs, logiciels système, appareils informatiques, charges de travail cloud, réseau, et ce, 24h/24 tous les jours de l'année pour détecter des signes d'exploits connus et pour toute activité suspecte.
Pour de nombreux SOC, la technologie de base de surveillance, de détection et de réponse a été la gestion des informations et des événements de sécurité, ou SIEM. Une solution SIEM surveille et regroupe les alertes et la télémétrie des logiciels et du matériel sur le réseau en temps réel, puis analyse les données afin d'identifier les menaces potentielles. Plus récemment, certains SOC ont également adopté la technologie de détection et de réponse étendues (XDR), qui fournit une télémétrie et une surveillance plus détaillées, ainsi que la capacité d'automatiser la détection et la réponse aux incidents.
Gestion des journaux. La gestion des journaux – la collecte et l'analyse des données de journal générées par chaque événement réseau – est un sous-ensemble de la surveillance suffisamment important pour avoir son propre paragraphe. Alors que la plupart des services informatiques collectent des données de journaux, le rôle de l'analyse est d'établir l'activité normale ou de base et de révéler les anomalies qui indiquent une activité suspecte. En fait, de nombreux pirates informatiques comptent sur le fait que les entreprises n'analysent pas toujours les données de journaux, ce qui peut permettre à leurs virus et logiciels malveillants de s'exécuter sans être détectés pendant des semaines, voire des mois, sur les systèmes de la victime. La plupart des solutions SIEM incluent une fonctionnalité de gestion de journaux.
Détection des menaces. L'équipe SOC trie les signaux du bruit – les indications de cybermenaces réelles et d'exploits de pirates informatiques des faux positifs – puis trie les menaces par gravité. Les solutions SIEM modernes incluent l'intelligence artificielle (IA) qui automatise ces processus « apprend » à partir des données afin de mieux repérer les activités suspectes au fil du temps.
Réponse aux incidents. En réponse à une menace ou à un incident réel, le SOC agit pour limiter les dégâts. Les actions peuvent inclure :
• Enquêter sur les causes profondes afin de déterminer les vulnérabilités techniques qui ont permis aux pirates d'accéder au système, ainsi que d'autres facteurs (tels qu'une mauvaise hygiène des mots de passe ou une mauvaise application des politiques) qui ont contribué à l'incident
• Arrêter les points de terminaison compromis ou les déconnecter du réseau
• Isoler les zones compromises du réseau ou rediriger le trafic réseau
• Suspendre ou arrêter les applications ou les processus compromis
• Supprimer les fichiers endommagés ou infectés
• Exécuter un antivirus ou d'un logiciel anti-malware
• Désactiver des mots de passe pour les utilisateurs internes et externes.
De nombreuses solutions XDR permettent aux SOC d'automatiser et d'accélérer ces réponses aux incidents et d'autres.
Récupération et remédiation. Dès qu'un incident est maîtrisé, le SOC éradique la menace, puis remet les actifs concernés dans leur état d'avant l'incident (par exemple, effacement, restauration et reconnexion des disques, des appareils de l'utilisateur et autres points de terminaison ; restauration du trafic réseau ; redémarrage des applications et des processus). En cas de violation de données ou d'attaque par rançongiciel, la récupération peut également impliquer de basculer vers des systèmes de sauvegarde et de réinitialiser les mots de passe et les identifiants d'authentification.
Post-mortem et amélioration. Pour éviter qu'il ne se reproduise, le SOC utilise tous les nouveaux renseignements obtenus à partir de l'incident afin de mieux traiter les vulnérabilités, mettre à jour les processus et les politiques, choisir de nouveaux outils de cybersécurité ou réviser le plan de réponse à l'incident. À un niveau supérieur, l'équipe SOC peut également essayer de déterminer si l'incident révèle une tendance nouvelle ou changeante en matière de cybersécurité à laquelle l'équipe doit se préparer.
Gestion de la conformité. Le SOC doit s'assurer que toutes les applications, systèmes et outils et processus de sécurité sont conformes aux réglementations sur la confidentialité des données, à savoir le RGPD (Règlement général sur la protection des données), le CCPA (California Consumer Privacy Act), le PCI DSS (Payment Card Industry Data Security Standard, et l'HIPAA (Health Insurance Portability and Accountability Act). Après un incident, le SOC s'assure que les utilisateurs, les régulateurs, les forces de l'ordre et les autres parties sont informés conformément à la réglementation, et que les données d'incident requises sont conservées à des fins de preuve et d'audit.
En général, les rôles principaux dans une équipe SOC incluent :
• Le responsable SOC, qui dirige l'équipe, supervise toutes les opérations de sécurité et rend compte au RSSI (Responsable de la Sécurité des Systèmes d'Information) de l'entreprise.
• Les ingénieurs en sécurité, qui élaborent et gèrent l'architecture de sécurité de l'entreprise. Une grande partie de ce travail consiste à évaluer, tester, recommander, mettre en œuvre et maintenir des outils et des technologies de sécurité. Les ingénieurs en sécurité travaillent également avec les équipes de développement ou DevOps/DevSecOps afin de s'assurer que l'architecture de sécurité de l'entreprise est incluse dans les cycles de développement des applications.
• Les analystes de sécurité – également appelés enquêteurs de sécurité ou intervenants en cas d'incident – sont les premiers intervenants en cas de menaces ou d'incidents de cybersécurité. Les analystes détectent, enquêtent et trient (hiérarchisent) les menaces ; ils identifient ensuite les hôtes, les points de terminaison et les utilisateurs concernés, puis ils prennent les mesures appropriées afin d'atténuer et de contenir l'impact, la menace ou l'incident. (Dans certaines entreprises, les enquêteurs et les intervenants en cas d'incident ont des rôles distincts classés comme analystes de niveau 1 et de niveau 2, respectivement.)
• Les chasseurs de menaces (également appelés analystes experts en sécurité) se spécialisent dans la détection et la maîtrise des menaces avancées, c'est-à-dire les nouvelles menaces ou variantes de menaces qui parviennent à contourner les défenses automatisées.
L'équipe SOC peut inclure d'autres spécialistes, en fonction de la taille de l'entreprise ou de son secteur d'activité. Les grandes entreprises peuvent inclure un directeur de la réponse aux incidents, qui sera responsable de la communication et de la coordination de la réponse aux incidents. Et certains SOC incluent des enquêteurs médico-légaux, spécialisés dans la récupération de données – des indices – à partir d'appareils endommagés ou compromis lors d'un incident de cybersécurité.
DevOps
DevSecOps
IBM Security QRadar XDR est la première solution XDR complète du secteur de la sécurité informatique conçue avec des normes ouvertes et une automatisation qui unifie les capacités de détection et de réponse aux points de terminaison (EDR), de détection et de réponse du réseau (NDR) et de SIEM en un seul workflow. Avec QRadar XDR, les SOC peuvent gagner un temps précieux et éliminer les menaces plus rapidement, en connectant les informations, en rationalisant les workflows et en tirant parti de l'IA afin d'automatiser la réponse.
La suite de solutions IBM Security QRadar XDR comprend :
• QRadar XDR Connect, qui intègre des outils de sécurité, rationalise les workflows, s'adapte aux compétences et aux besoins des équipes de sécurité et automatise le SOC.
• QRadar SIEM, avec des analyses de sécurité intelligentes qui analysent automatiquement les données de journaux et de flux de milliers d'appareils, de points de terminaison et d'applications sur le réseau, et fournissent des informations exploitables sur les menaces les plus critiques.
• QRadar Network Insights, qui fournit une analyse du trafic réseau en temps réel, pour la visibilité approfondie dont les équipes SOC ont besoin afin de détecter les menaces cachées avant qu'il ne soit trop tard.
• QRadar SOAR (security orchestration, automation and response), qui codifie les processus de réponse aux incidents dans des playbooks dynamiques qui aident les équipes de sécurité à réagir en toute confiance, à automatiser intelligemment et à collaborer de manière cohérente.
S'inscrire à l'atelier IBM Security Framing and Discovery
Gartner nomme IBM leader du Magic Quadrant 2021 pour SIEM
Commencer avec IBM Security