En effet, il est conçu pour être au centre d’un très grand nombre d’évènements qui doivent être surveillés, analysés et corrélés.
L’arrivée de la RGPD en mai 2018 introduit de nouvelles obligations, notamment la capacité à prouver la conformité du traitement des données personnelles. S’équiper d’un SOC répond à ces nouveaux enjeux de cyber sécurité en assurant une prévention en continu, une protection et une détection intelligente des menaces.
Cependant, une fois la décision de faire appel à un SOC prise, il convient de s’assurer que l’entreprise ait la capacité de le mettre en place. Quelles sont donc les conditions et étapes à respecter pour démarrer avec un SOC ?
Le SOC repose en premier sur des technologies capables d’apporter à l’entreprise des informations de sécurité et une visibilité d’ensemble sur la robustesse de la protection informatique.
Pour accéder à cet objectif, il est critique de remonter les bonnes traces de sécurité (logs), mais aussi de les intégrer aux outils du SOC : équipement de capture de flux ou outils de gestion des identités et des accès.
Le système de gestion des événements et incidents de sécurité (Security Information Management System – SIEM en anglais) apparait dans cette organisation comme la clé de voûte de ces systèmes. Il permettra de mettre en corrélation les éléments remontés avec une métrique de sécurité prédéfinie.
Les processus sont le second pilier du SOC : ils vont permettre de mettre en place une organisation proactive et coordonnée face aux incidents de cyber sécurité.
Leur formalisation doit vulgariser les problèmes de sécurité complexe, cette caractéristique étant un bon indicateur de l’efficacité d’implantation du SOC. Il convient surtout de développer des processus ajustés aux meilleures pratiques de l’industrie et normes imposées (ISO 27001, ITILv3…).
La mise en place d’un service de cyber sécurité externalisé est un projet stratégique qui concerne la politique de sécurité et la gouvernance de l’entreprise. Afin que la sécurité fasse partie de l’ADN de l’entreprise, tous les départements doivent y être associés pour bénéficier de retours d’expérience et d’informations issues de la veille sécurité.
En effet, il est important pour les équipes opérant le SOC d’intégrer les particularités de l’entreprise (secteur d’activité, typologie de clients finaux…).
Enfin, le troisième pilier repose sur les compétences humaines nécessaires pour piloter un SOC. Il est important de disposer des profils adéquats qui permettront d’assurer l’analyse des évènements de cyber sécurité et détecter parmi tous les éléments ce qui relève de menaces concrètes et de vulnérabilités identifiées.
Additionnés aux processus établis, les analystes opérant le SOC doivent être en mesure de réduire le temps de réponse à un incident de sécurité sur l’ensemble de sa durée de vie : de la détection initiale au rapport final. Enfin, l’efficacité d’un SOC repose sur la capacité de travailler sur une base 24/7 afin de surveiller les dispositifs de façon proactive et donc de réduire le temps de réaction lors de l’apparition d’une menace ou d’une faille de sécurité.
Les entreprises ne disposant pas nécessairement des compétences en interne en 24/7, doivent se poser la question d’externaliser leur SOC auprès d’un tiers de confiance qui maîtrise ces éléments et qui est en mesure de les accompagner dans leur projet.