Skip to content

Bienvenue dans Security Operations Center

Tous les jours, nous faisons face aux menaces cyber qui deviennent de plus en plus sophistiquées. Les organisations, les nations, les hôpitaux, voire même les collectivités territoriales, cherchent sans cesse à se protéger de ces menaces. Mais malgré leurs efforts et leur vigilance, ils sont de plus en plus confrontés à ces menaces cybernétiques. Dans une telle situation, il serait judicieux de se préparer à l'avance afin de ne pas être pris au dépourvu en cas d'incident de sécurité ou d'une attaque informatique. Ainsi, la mise en place d'un système de supervision, de détection, de prévention et de remédiation au sein d'un organisation devient indispensable pour assurer la pérennité de l'ensemble de nos infrastructures.

C'est dans cette optique que nous parlerons du Centre d'Opérations Cyber (SOC) ainsi que de ses principaux objectifs, qui est la première ligne défensive d'une organisation.

I- Qu'est-ce qu'un SOC ?

Un SOC (Security Operations Center) est un centre opérationnel de sécurité. Il s'agit d'une entité ou d'une équipe spécialisée ayant la responsabilité d'assurer la supervision, la détection, l'analyse et la réponse aux incident de sécurité informatique au sein d'une organisation. En quelque sorte, la sécurité et la survie d'une organisation repose sur l'équipe SOC.

II- Les principales mission d'un SOC

Les missions d'un SOC peuvent varier en fonction des besoins spécifiques de l'organisation qu'elle protège. Il faut cependant retenir que l'objectif ultime d'un SOC en général, c'est de protéger l'ensemble des actifs informatiques de l'organisation, de réduire les risques liés aux incidents de sécurité et de maintenir un environnement informatioque sûr et sécurisé.

Quelque soit la taille ou la structure d'un SOC, son quotidien peut inclure les éléments suivants :

  • la détection : le SOC se doit d'effectuer une surveillance permanente de l'ensemble du système d'information de l'organisation, pour rapidement détecter toute forme d'activités suspectes telles que des intrusions ou des comportements anornaux ou malveillants au sein de l'environnement informatique de son organisation.

  • l'analyse des alertes de sécurité : une fois qu'une alerte de sécurité est détectée, l'équipe SOC doit procèder à son analyse détaillée, ce qui lui permettra de la classifier en fonction de sa gravité.

  • la réaction : si l'alerte s'avère réelle et conduit à un incident de sécurité, l'équipe SOC devra rapidement répondre à l'incident en se réferant aux différentes fiches reflexes et en mettant en place des contres-mesures pour atténuer ou éradiquer l'incident en cours.

  • la veille sur les menaces cyber : l'équipe SOC devra également effectuer une veille continue des nouvelles menaces cyber, sur les différentes vulnérabilités ainsi que sur les techniques d'attaques émergentes comme les TTPs(Tactiques, Techniques et Procédures).

  • l'amélioration continue : le SOC se doit faire une amélioration continue de la sécurité de l'ensemble des systèmes informatiques de son organisation.

  • la collaboration et le partage d'informations : il est important pour les équipes SOC d'effectuer des partages d'informations avec les autres équipes de sécurité, que ce soit en interne ou externe pour échanger des renseignements sur les menaces auxquelles ils pourraient potentiellement faire face. Pour cela, ils pourraient utiliser des outils de renseignement comme MISP, OpenCTI ou d'autres moyens ou encore des partages d'informations inter CERT.

III- Les différents types de SOC

Il existe différents types de SOC qui peuvent varier selon les exigences, la taille, les moyens et la complexité de l'organisation. Dans la vie de tous les jours, nous pouvons rencontrer ces types de SOC :

  • SOC interne : comme son nom l'indique, ce type de SOC est installé au sein même de l'organisation. Toute l'équipe SOC est constituée des employés propre à l'organisation.
  • SOC externe ou externalisé : est un SOC géré par une société de service ou de prestation de sécurité spécialisée. Un contrat de sous-traitance lie les deux parties. Ainsi, la société de services aura pour mission d'assurer la sécurité de l'ensemble des actfis de l'organisation (selon le périmètre prédéfini). Le coût d'une telle prestation reste faible par rapport coût d'un SOC interne.
  • SOC hybride : est la combinaison d'un SOC interne et externe. Dans ce modèle, certaines fonctions de surveillance et de réponse aux incidents sont gérées par l'équipe du SOC interne, tandis que d'autres sont externalisées à un prestataire de services de sécurité tiers.
  • SOC virtuel : ce type de SOC n'a pas besoin d'installation physique propre. L'équipe de sécurité de ce modèle de SOC travaille généralement à distance.

IV- Les équipes SOC

Un SOC peut regrouper différents membres avec des rôles et responsabilités diverses :

V- Les outils utilsés dans un SOC

Les équipes SOC utilisent une multitude d'outils dans l'exercice de leur fonction, ce qui leur permet d'assurer au mieux la sécurité de l'ensemble du parc informatique de leurs organisations. En fonction des moyens, de la maturité et des exigeances de l'organisation, les équipes SOC peuvent se doter des outils très chèr et même en développer certains (en interne).

Néanmoins, quelque que soit les moyens financiers ou la taille d'une organisation, tous les SOC doivent en premier lieu se doter d'un SIEM(Security information and event management). Cet outil reste indispensable à tout centre opérationnel de sécurité (SOC).

a- Qu'est-ce qu'un SIEM

Coming soon.........

b- Qu'est-ce qu'un EDR

Coming soon.........

c-

Coming soon.........