Navigation
Les derniers articles
Suivez en direct

Les Security Operations Centers #SOC et leur rôle pour la #cybersecurité

pexels photo 256219

L’évolution des cyber-menace poussent les entreprises à mieux surveiller leurs systèmes d’information. Nous le savons tous, prévenir toutes les cyber-menaces n’est pas possible. Ce n’est qu’une question de temps et de moyens pour perforer n’importe quel environnement informatique.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

La détection et la réponse pour améliorer la sécurité

Il n’y a en conséquence pas d’autre choix que d’améliorer ses capacités de détection. Cela permet de réagir plus vite et de réduire les impacts.

Dans le domaine de la sécurité informatique, cette capacité de surveillance et de réponse aujourd’hui confiée à des centres opérationnels de sécurité, les SOC pour Security Operations Center.

Qu’est-ce qu’un SOC et à quoi sert-il?

Sur la base d’un article de Gartner, voici une série de questions-réponses pour mieux comprendre ce qu’est un SOC et à quoi il sert:

Q: Qu’est-ce qu’un centre opérationnel de sécurité (SOC)?

R: Un centre opérationnel de sécurité (SOC) peut être défini à la fois en tant qu’équipe, fonctionnant souvent en équipe 24/24 heures et une installation dédiée et organisée pour (1) prévenir, détecter, évaluer et répondre aux menaces et aux incidents de cybersécurité et (2) évaluer la conformité réglementaire.

Q: Est-ce qu’un SOC interne est le seul moyen viable pour les entreprises de créer une capacité de surveillance de la sécurité?

R: Construire un SOC – ou créer généralement une certaine forme de capacités d’opérations de sécurité interne – est un effort coûteux et chronophage qui nécessite une attention constante pour être efficace. En effet, un grand nombre d’organisations (y compris certaines grandes organisations) choisissent de ne pas avoir de SOC. Au lieu de cela, elles choisissent d’autres options de surveillance de sécurité, comme l’engagement d’un fournisseur de services de sécurité géré (MSSP).

Les RSSI et les dirigeants de la technologie qui envisagent de construire leur propre SOC devraient être très conscients des coûts et des implications en termes de personnel impliqués dans cette approche. Il y a beaucoup d’alternatives à la construction et à la dotation en personnel SOC, et les entreprises devraient les explorer en plus des différents types de modèles SOC.

Q: Quels sont les différents types de modèles SOC?

R:

  1. SOC virtuel : Pas d’installation dédiée, les membres de l’équipe à temps partiel, réactif, activé en cas d’alerte ou d’incident critique
  2. SOC dédiée : Installation dédiée, équipe dédiée, entièrement à l’interne
  3. SOC distribué / cogéré : Membres de l’équipe dédiés et semi-dédiés, typiquement 5×8 opérations, lorsqu’il est utilisé avec un MSSP, il est cogéré
  4. SOC de commande : Coordonne les autres SOC, fournit des renseignements sur les menaces, la connaissance de la situation et une expertise supplémentaire, rarement impliqué directement dans les opérations au jour le jour
  5. Centre d’opérations SOC / Network operations center (NOC) : Installation dédiée avec une équipe dédiée effectuant non seulement la sécurité mais également d’autres opérations informatiques critiques 24/7 de la même installation pour réduire les coûts
  6. Fusion SOC : Les fonctions SOC traditionnelles et les nouvelles fonctions telles que l’intelligence des menaces, l’équipe d’intervention en cas d’incident informatique (CIRT) et les fonctions de technologie opérationnelle (OT) sont intégrées dans une installation SOC

En plus des six modèles ci-dessus, où les équipes de sécurité interne du client sont impliquées à des degrés divers, il existe un autre modèle «entièrement externalisé». Dans les modèles totalement externalisés, un fournisseur de services construit et exploite le SOC avec une implication minimale (ou au mieux, de supervision) de la part de l’organisation cliente.

 

Q: Pourquoi les organisations optent-elles pour les SOC?

R: Les organisations mettent en place des capacités de sécurité interne (même si dans un sens limité) parce qu’elles désirent plus de contrôle sur leur processus de surveillance et de réponse à la sécurité. Ils veulent aussi avoir des conversations plus éclairées avec les régulateurs.

L’impact stratégique d’un projet de construction SOC en fait une initiative cruciale pour les organisations. Les organisations qui décident d’aller de l’avant avec un SOC interne allouent les fonds initiaux et en cours de manière structurée et s’attendent à ce que le projet évolue avec un sentiment d’urgence une fois approuvé.

 

Q: Quelles sont vos principales recommandations pour les fournisseurs de services de sécurité (c’est-à-dire les fournisseurs) qui envisagent d’offrir des services qui permettent aux clients de construire et d’exploiter des SOC?

R:

  1. Concentrer les programmes d’activation des ventes sur la valeur commerciale livrée aux clients par des degrés de contrôle progressivement plus importants. Aider les clients à choisir entre les options disponibles tout en renforçant le message selon lequel une approche complète du bricolage est pratiquement impossible pour la plupart des organisations.
  2. Permettre aux acheteurs de planifier des budgets pour les projets SOC en alignant les catalogues de prix et de services sur la maturité des acheteurs avec pour objectif ultime de développer la maturité SOC pour l’acheteur de manière structurée.
  3. Acquérir un avantage concurrentiel en se concentrant sur les cas d’utilisation spécifiques aux secteurs pour les SOC et en aidant les clients à faire évoluer les mesures SOC qui sont propres à leur organisation.

 

Q: Quelles sont vos principales recommandations pour les RSSI prévoyant de créer une capacité SOC?

R:

  1. Effectuer une analyse coûts-avantages réaliste de divers modèles d’opérations de sécurité avant de s’engager dans un processus d’approvisionnement complet
  2. Concentrez-vous sur l’alignement des livrables du SOC avec les objectifs de l’entreprise en développant des objectifs et des mesures étroitement définis que le SOC doit respecter
  3. Identifier la haute valeur commerciale et les fonctions critiques de sécurité et les garder en interne.
  4. Envisager d’utiliser les services MSSP pour compenser le coût des opérations SOC de 24 heures sur 24 et 7 jours sur 7 et combler les lacunes en matière de couverture.
  5. Élaborer dès le départ une stratégie de fidélisation du personnel du SOC.

 

L’article original en anglais est ici:

 

SOCs and Their Role in Cybersecurity | Gartner

Ahead of the Gartner Security and Risk management summit in Dubai, Siddharth Deshpande, principal research analyst at Gartner, answered questions on trends for security operations centers and recommendations for security service providers.

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon
Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.