Les Security Operations Centers #SOC et leur rôle pour la #cybersecurité

L’évolution des cyber-menace poussent les entreprises à mieux surveiller leurs systèmes d’information. Nous le savons tous, prévenir toutes les cyber-menaces n’est pas possible. Ce n’est qu’une question de temps et de moyens pour perforer n’importe quel environnement informatique.

La détection et la réponse pour améliorer la sécurité

Il n’y a en conséquence pas d’autre choix que d’améliorer ses capacités de détection. Cela permet de réagir plus vite et de réduire les impacts.

Dans le domaine de la sécurité informatique, cette capacité de surveillance et de réponse aujourd’hui confiée à des centres opérationnels de sécurité, les SOC pour Security Operations Center.

Qu’est-ce qu’un SOC et à quoi sert-il?

Sur la base d’un article de Gartner, voici une série de questions-réponses pour mieux comprendre ce qu’est un SOC et à quoi il sert:

Q: Qu’est-ce qu’un centre opérationnel de sécurité (SOC)?

R: Un centre opérationnel de sécurité (SOC) peut être défini à la fois en tant qu’équipe, fonctionnant souvent en équipe 24/24 heures et une installation dédiée et organisée pour (1) prévenir, détecter, évaluer et répondre aux menaces et aux incidents de cybersécurité et (2) évaluer la conformité réglementaire.

Q: Est-ce qu’un SOC interne est le seul moyen viable pour les entreprises de créer une capacité de surveillance de la sécurité?

R: Construire un SOC – ou créer généralement une certaine forme de capacités d’opérations de sécurité interne – est un effort coûteux et chronophage qui nécessite une attention constante pour être efficace. En effet, un grand nombre d’organisations (y compris certaines grandes organisations) choisissent de ne pas avoir de SOC. Au lieu de cela, elles choisissent d’autres options de surveillance de sécurité, comme l’engagement d’un fournisseur de services de sécurité géré (MSSP).

Les RSSI et les dirigeants de la technologie qui envisagent de construire leur propre SOC devraient être très conscients des coûts et des implications en termes de personnel impliqués dans cette approche. Il y a beaucoup d’alternatives à la construction et à la dotation en personnel SOC, et les entreprises devraient les explorer en plus des différents types de modèles SOC.

Q: Quels sont les différents types de modèles SOC?

R:

1. SOC virtuel : Pas d’installation dédiée, les membres de l’équipe à temps partiel, réactif, activé en cas d’alerte ou d’incident critique
2. SOC dédiée : Installation dédiée, équipe dédiée, entièrement à l’interne
3. SOC distribué / cogéré : Membres de l’équipe dédiés et semi-dédiés, typiquement 5×8 opérations, lorsqu’il est utilisé avec un MSSP, il est cogéré
4. SOC de commande : Coordonne les autres SOC, fournit des renseignements sur les menaces, la connaissance de la situation et une expertise supplémentaire, rarement impliqué directement dans les opérations au jour le jour
5. Centre d’opérations SOC / Network operations center (NOC) : Installation dédiée avec une équipe dédiée effectuant non seulement la sécurité mais également d’autres opérations informatiques critiques 24/7 de la même installation pour réduire les coûts
6. Fusion SOC : Les fonctions SOC traditionnelles et les nouvelles fonctions telles que l’intelligence des menaces, l’équipe d’intervention en cas d’incident informatique (CIRT) et les fonctions de technologie opérationnelle (OT) sont intégrées dans une installation SOC

En plus des six modèles ci-dessus, où les équipes de sécurité interne du client sont impliquées à des degrés divers, il existe un autre modèle «entièrement externalisé». Dans les modèles totalement externalisés, un fournisseur de services construit et exploite le SOC avec une implication minimale (ou au mieux, de supervision) de la part de l’organisation cliente.

Q: Pourquoi les organisations optent-elles pour les SOC?

R: Les organisations mettent en place des capacités de sécurité interne (même si dans un sens limité) parce qu’elles désirent plus de contrôle sur leur processus de surveillance et de réponse à la sécurité. Ils veulent aussi avoir des conversations plus éclairées avec les régulateurs.

L’impact stratégique d’un projet de construction SOC en fait une initiative cruciale pour les organisations. Les organisations qui décident d’aller de l’avant avec un SOC interne allouent les fonds initiaux et en cours de manière structurée et s’attendent à ce que le projet évolue avec un sentiment d’urgence une fois approuvé.

Q: Quelles sont vos principales recommandations pour les fournisseurs de services de sécurité (c’est-à-dire les fournisseurs) qui envisagent d’offrir des services qui permettent aux clients de construire et d’exploiter des SOC?

R:

1. Concentrer les programmes d’activation des ventes sur la valeur commerciale livrée aux clients par des degrés de contrôle progressivement plus importants. Aider les clients à choisir entre les options disponibles tout en renforçant le message selon lequel une approche complète du bricolage est pratiquement impossible pour la plupart des organisations.
2. Permettre aux acheteurs de planifier des budgets pour les projets SOC en alignant les catalogues de prix et de services sur la maturité des acheteurs avec pour objectif ultime de développer la maturité SOC pour l’acheteur de manière structurée.
3. Acquérir un avantage concurrentiel en se concentrant sur les cas d’utilisation spécifiques aux secteurs pour les SOC et en aidant les clients à faire évoluer les mesures SOC qui sont propres à leur organisation.

Q: Quelles sont vos principales recommandations pour les RSSI prévoyant de créer une capacité SOC?

R:

1. Effectuer une analyse coûts-avantages réaliste de divers modèles d’opérations de sécurité avant de s’engager dans un processus d’approvisionnement complet
2. Concentrez-vous sur l’alignement des livrables du SOC avec les objectifs de l’entreprise en développant des objectifs et des mesures étroitement définis que le SOC doit respecter
3. Identifier la haute valeur commerciale et les fonctions critiques de sécurité et les garder en interne.
4. Envisager d’utiliser les services MSSP pour compenser le coût des opérations SOC de 24 heures sur 24 et 7 jours sur 7 et combler les lacunes en matière de couverture.
5. Élaborer dès le départ une stratégie de fidélisation du personnel du SOC.

L’article original en anglais est ici:

SOCs and Their Role in Cybersecurity | Gartner

Ahead of the Gartner Security and Risk management summit in Dubai, Siddharth Deshpande, principal research analyst at Gartner, answered questions on trends for security operations centers and recommendations for security service providers.