💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories

Les Security Operations Centers #SOC et leur rôle pour la #cybersecurité

L’évolution des cyber-menace poussent les entreprises à mieux surveiller leurs systèmes d’information. Nous le savons tous, prévenir toutes les cyber-menaces n’est pas possible. Ce n’est qu’une question de temps et de moyens pour perforer n’importe quel environnement informatique.

La détection et la réponse pour améliorer la sécurité

Il n’y a en conséquence pas d’autre choix que d’améliorer ses capacités de détection. Cela permet de réagir plus vite et de réduire les impacts.

Offrez un café pour soutenir cette veille indépendante
☕ Je soutiens DCOD

Dans le domaine de la sécurité informatique, cette capacité de surveillance et de réponse aujourd’hui confiée à des centres opérationnels de sécurité, les SOC pour Security Operations Center.

Qu’est-ce qu’un SOC et à quoi sert-il?

Sur la base d’un article de Gartner, voici une série de questions-réponses pour mieux comprendre ce qu’est un SOC et à quoi il sert:

Q: Qu’est-ce qu’un centre opérationnel de sécurité (SOC)?

R: Un centre opérationnel de sécurité (SOC) peut être défini à la fois en tant qu’équipe, fonctionnant souvent en équipe 24/24 heures et une installation dédiée et organisée pour (1) prévenir, détecter, évaluer et répondre aux menaces et aux incidents de cybersécurité et (2) évaluer la conformité réglementaire.

Q: Est-ce qu’un SOC interne est le seul moyen viable pour les entreprises de créer une capacité de surveillance de la sécurité?

R: Construire un SOC – ou créer généralement une certaine forme de capacités d’opérations de sécurité interne – est un effort coûteux et chronophage qui nécessite une attention constante pour être efficace. En effet, un grand nombre d’organisations (y compris certaines grandes organisations) choisissent de ne pas avoir de SOC. Au lieu de cela, elles choisissent d’autres options de surveillance de sécurité, comme l’engagement d’un fournisseur de services de sécurité géré (MSSP).

Les RSSI et les dirigeants de la technologie qui envisagent de construire leur propre SOC devraient être très conscients des coûts et des implications en termes de personnel impliqués dans cette approche. Il y a beaucoup d’alternatives à la construction et à la dotation en personnel SOC, et les entreprises devraient les explorer en plus des différents types de modèles SOC.

Q: Quels sont les différents types de modèles SOC?

R:

  1. SOC virtuel : Pas d’installation dédiée, les membres de l’équipe à temps partiel, réactif, activé en cas d’alerte ou d’incident critique
  2. SOC dédiée : Installation dédiée, équipe dédiée, entièrement à l’interne
  3. SOC distribué / cogéré : Membres de l’équipe dédiés et semi-dédiés, typiquement 5×8 opérations, lorsqu’il est utilisé avec un MSSP, il est cogéré
  4. SOC de commande : Coordonne les autres SOC, fournit des renseignements sur les menaces, la connaissance de la situation et une expertise supplémentaire, rarement impliqué directement dans les opérations au jour le jour
  5. Centre d’opérations SOC / Network operations center (NOC) : Installation dédiée avec une équipe dédiée effectuant non seulement la sécurité mais également d’autres opérations informatiques critiques 24/7 de la même installation pour réduire les coûts
  6. Fusion SOC : Les fonctions SOC traditionnelles et les nouvelles fonctions telles que l’intelligence des menaces, l’équipe d’intervention en cas d’incident informatique (CIRT) et les fonctions de technologie opérationnelle (OT) sont intégrées dans une installation SOC

En plus des six modèles ci-dessus, où les équipes de sécurité interne du client sont impliquées à des degrés divers, il existe un autre modèle «entièrement externalisé». Dans les modèles totalement externalisés, un fournisseur de services construit et exploite le SOC avec une implication minimale (ou au mieux, de supervision) de la part de l’organisation cliente.

 

Q: Pourquoi les organisations optent-elles pour les SOC?

R: Les organisations mettent en place des capacités de sécurité interne (même si dans un sens limité) parce qu’elles désirent plus de contrôle sur leur processus de surveillance et de réponse à la sécurité. Ils veulent aussi avoir des conversations plus éclairées avec les régulateurs.

L’impact stratégique d’un projet de construction SOC en fait une initiative cruciale pour les organisations. Les organisations qui décident d’aller de l’avant avec un SOC interne allouent les fonds initiaux et en cours de manière structurée et s’attendent à ce que le projet évolue avec un sentiment d’urgence une fois approuvé.

 

Q: Quelles sont vos principales recommandations pour les fournisseurs de services de sécurité (c’est-à-dire les fournisseurs) qui envisagent d’offrir des services qui permettent aux clients de construire et d’exploiter des SOC?

R:

  1. Concentrer les programmes d’activation des ventes sur la valeur commerciale livrée aux clients par des degrés de contrôle progressivement plus importants. Aider les clients à choisir entre les options disponibles tout en renforçant le message selon lequel une approche complète du bricolage est pratiquement impossible pour la plupart des organisations.
  2. Permettre aux acheteurs de planifier des budgets pour les projets SOC en alignant les catalogues de prix et de services sur la maturité des acheteurs avec pour objectif ultime de développer la maturité SOC pour l’acheteur de manière structurée.
  3. Acquérir un avantage concurrentiel en se concentrant sur les cas d’utilisation spécifiques aux secteurs pour les SOC et en aidant les clients à faire évoluer les mesures SOC qui sont propres à leur organisation.

 

Q: Quelles sont vos principales recommandations pour les RSSI prévoyant de créer une capacité SOC?

R:

  1. Effectuer une analyse coûts-avantages réaliste de divers modèles d’opérations de sécurité avant de s’engager dans un processus d’approvisionnement complet
  2. Concentrez-vous sur l’alignement des livrables du SOC avec les objectifs de l’entreprise en développant des objectifs et des mesures étroitement définis que le SOC doit respecter
  3. Identifier la haute valeur commerciale et les fonctions critiques de sécurité et les garder en interne.
  4. Envisager d’utiliser les services MSSP pour compenser le coût des opérations SOC de 24 heures sur 24 et 7 jours sur 7 et combler les lacunes en matière de couverture.
  5. Élaborer dès le départ une stratégie de fidélisation du personnel du SOC.

 

L’article original en anglais est ici:

 

SOCs and Their Role in Cybersecurity | Gartner

Ahead of the Gartner Security and Risk management summit in Dubai, Siddharth Deshpande, principal research analyst at Gartner, answered questions on trends for security operations centers and recommendations for security service providers.

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

Vous appréciez nos analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

La cybersécurité pour les Nuls

La cybersécurité pour les Nuls

Pour obtenir toutes les informations sur la cybersécurité, apprendre à protéger ses données sensibles sereinement et à éviter le hacking.

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

📘 Voir sur Amazon
Cyberattaques

Cyberattaques : Les dessous d'une menace mondiale

Un documentaire captivant et éclairant sur les affrontements entre attaquants et défenseurs du numérique, face à la plus grande menace de la prochaine décennie.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

🚀 DCOD, c’est 100 % d’analyses, 0 % de pub.
Si ce contenu vous aide à y voir clair, vous pouvez l’aider à continuer.

Soutenir cette veille pour un café, merci !

Soutenir DCOD, c’est aider à payer l’hébergement, les outils pros et les licences nécessaires pour produire une veille cybersécurité fiable et accessible à tous.

×