Comment garantir la mise en place opérationnelle de son Centre des opérations de sécurité [Security Operation Center (SOC)] ?
Le Security Operations Center (SOC), opéré 24/7, est un modèle d’organisation qui répond aux problématiques opérationnelles de cybersécurité des entreprises. En effet, il est conçu pour être au centre d’un très grand nombre d’événements qui doivent être surveillés, analysés et corrélés. L’arrivée du Règlement général de protection des données personnelles (RGDP) [en anglais : General Data Protection Regulation (GDPR)], qui entrera en vigueur dans toute l’Union européenne le 25 mai 2018, introduit de nouvelles obligations. Notamment la capacité à prouver la conformité du traitement des données personnelles. S’équiper d’un SOC répond à ces nouveaux enjeux de cybersécurité en assurant une prévention en continu, une protection et une détection intelligente des menaces. Cependant, une fois qu’est prise la décision de faire appel à un SOC, il convient de s’assurer que l’entreprise ait la capacité de le mettre en place.
Quels sont les outils technologiques nécessaires pour démarrer avec un SOC ?
En premier lieu, le SOC repose sur des technologies capables d’apporter à l’entreprise des informations de sécurité et une visibilité d’ensemble sur la robustesse de la protection informatique. Pour accéder à cet objectif, il est critique de remonter les bonnes traces de sécurité (logs) mais aussi de les intégrer aux outils du SOC : équipement de capture de flux ou outils de gestion des identités et des accès. Le système de gestion des événements et incidents de sécurité [en anglais : Security Information Management System SIEM)] apparaît dans cette organisation comme la clé de voûte de ces systèmes. Il permettra de mettre en corrélation les éléments remontés avec une métrique de sécurité prédéfinie.
Quelles sont ensuite les étapes à suivre ?
Le second pilier du SOC repose sur les processus. Ces derniers vont aider à mettre en place une organisation proactive et coordonnée face aux incidents de cybersécurité. Leur formalisation doit vulgariser les problèmes de sécurité complexe, cette caractéristique étant un bon indicateur de l’efficacité d’implantation du SOC. Il convient surtout de développer des processus ajustés aux meilleures pratiques de l’industrie et normes imposées (ISO 27001, ITILv3…). La mise en place d’un service de cybersécurité externalisé est un projet stratégique qui concerne la politique de sécurité et la gouvernance de l’entreprise. Afin que la sécurité fasse partie de l’ADN de l’entreprise, tous les départements doivent y être associés pour bénéficier de retours d’expérience et d’informations issues de la veille technologique en sécurité. En effet, il est important pour les équipes opérant le SOC d’intégrer les particularités de l’entreprise (secteur d’activité, typologie de clients finaux…).
Du côté des compétences humaines, que recommandez-vous ?
C’est le troisième nécessaire pour piloter un SOC. Il est important de disposer des profils adéquats pour assurer l’analyse des événements de cybersécurité et détecter parmi tous les éléments ce qui relève de menaces concrètes et de vulnérabilités identifiées. Additionnés aux processus établis, les analystes opérant le SOC doivent être en mesure de réduire le temps de réponse à un incident de sécurité sur l’ensemble de sa durée de vie : de la détection initiale jusqu’au rapport final. Enfin, l’efficacité d’un SOC repose sur la capacité à travailler sur une base de 24 h/24, 7 jours/7 et 365 jours par an afin de surveiller les dispositifs de façon proactive et donc de réduire le temps de réaction lors de l’apparition d’une menace ou d’une faille de sécurité. Les entreprises ne disposant pas nécessairement des compétences en interne en 24/7/365, doivent se poser la question d’externaliser leur SOC auprès d’un tiers de confiance qui maîtrise ces éléments et qui est en mesure de les accompagner dans leur projet.
Propos recueillis par Ségolène Kahn
Commentez