De nos jours, les SOC (Security Operations Center) sont des entités centrales de la sécurité des entreprises. Historiquement, ils furent créés pour assurer l’administration et l’exploitation des services opérationnels dans un but orienté détection des attaques alors que les CSIRT (Computer Security Incident Response Team) sont orientés sur leur anticipation.
| Concept
Le SOC est donc une unité à part entière au sein de la branche sécurité de l’entreprise, et a pour objectif d’assurer la sécurité tant technique qu’organisationnelle de cette dernière.
Il est le premier rempart contre les incidents externes ou internes à l’entreprise. Il permet de détecter, d’analyser, de protéger et de lever des alertes (grâce notamment aux SIEM, Security Information and Event Management). Bien configuré, il sera essentiel au PCA (Plan de Continuité d’Activité) de l’entreprise. En effet, celui-ci a pour objectif de maintenir la disponibilité des ressources de l’entreprise afin d’éviter à celle-ci de subir un incident informatique qui lui serait fatal. Le SOC est donc une composante essentielle au PCA pour protéger de manière efficace les infrastructures et donc la viabilité de l’entreprise.
Ainsi, l’un des objectifs principaux du SOC est d’informer les équipes Sécurité de chaque comportement non conforme à la politique de sécurité mise en place par l’entreprise. Il doit couvrir tous les événements réalisés sur l’infrastructure, ce qui peut rapidement constituer un gigantesque volume d’information à traiter.
Le SOC peut être interne ou externe à l’entreprise. Il nécessite généralement, la formation de 3 équipes travaillant par créneau de 8h afin d’assurer la surveillance 24h heures sur 24 et 7 jours sur 7. Ce sont ces équipes qui assurent le pilotage des réactions appropriées aux incidents.
| Fonctionnement d’un SOC
Définition générale
Le SOC peut être représenté avec les trois composantes suivantes :
Figure 1 – Composantes du SOC – Synetis, 2018
Les Ressources Humaines représentent les différents acteurs nécessaires au bon fonctionnement du SOC. Ils sont découpés en trois tiers, chaque tiers ayant un rôle spécifique.
La composante Processus concerne les différentes actions au sein du SOC. Elles sont différentes d’un SOC à l’autre, car adaptées à leur environnement. Néanmoins certaines actions sont globales et concernent tous les Centres Opérationnel de Sécurité.
Les Technologies sont les différents services que le SOC doit fournir. Il peut se contenter de gérer la défense des données et des applications, mais il peut également allez jusqu’à piloter la défense du réseau voir même de l’accès physique au bâtiment de l’entreprise.
Les Ressources Humaines
Voici un schéma représentant l’organisation d’un SOC :
Figure 2 – Organisation générale d’un SOC – Synetis, 2019
Les équipes sont donc divisées en trois parties :
- Le Tiers 1 (ou niveau 1) :
Il s’agit d’une équipe d’analystes dont la mission est de trier et qualifier les événements avant de faire remonter au Tiers 2 ceux nécessitant une plus grande attention. En effet, le Tiers 1 effectue une analyse des événements en temps réel, celle-ci doit être brève et basée sur des scénarios prédéfinis afin de faire une première évaluation. La politique de sécurité mise en place dicte la durée maximum de l’analyse (moins d’un quart d’heure généralement). Tout événement dont l’étude n’est pas finie à ce moment-là est remonté vers le Tiers 2.
- Le Tiers 2 (ou niveau 2) :
Cette équipe reçoit les alertes du niveau 1 et lance une analyse plus approfondie afin de déterminer avec plus de précision l’origine et les conséquences liées à l’évènement en cours. Contrairement au Tiers 1, ces équipes ne sont pas tenues de travailler en temps réel : elles peuvent ainsi allouer plus de temps pour étudier les alertes et déterminer si un incident a eu lieu. Elles rédigent aussi les procédures de traitement des événements pour le niveau 1 et participent à l’amélioration des règles de corrélation permettant au Tiers 1 de lever des alertes pertinentes.
- Le Tiers 3 (ou niveau 3) :
Ce Tiers est légèrement différent des autres : premièrement il n’est pas présent dans tous les SOC. Son objectif étant plutôt d’éviter les incidents avant qu’ils ne se produisent, son rôle se rapproche du CSIRT. D’ailleurs dans certaines entreprises, c’est le CSIRT qui s’occupe de cette partie. Il s’agit donc ici d’une expertise plus poussée que pour les niveaux 1 et 2. Au sein du Tiers 3 peuvent être réalisés des activités de forensic ou de reverse-engineering afin d’analyser au maximum un incident et d’anticiper de futurs événements. En cas d’attaque non connue, les niveaux 1 et 2 ne sont pas alertés, c’est au niveau trois de faire une veille sur les menaces.
Enfin, il reste le SOC Manager. Il est responsable de l’ensemble des trois niveaux du SOC et reporte directement au RSSI ou au DSI (en fonction de l’organisation de l’entreprise).
Afin d’avoir un meilleur taux de détection d’incidents, le soutien des utilisateurs des systèmes d’informations au sein de l’entreprise est par ailleurs nécessaire. En effet, ceux-ci sont invités à remonter toute irrégularité dans l’utilisation de leur système. C’est grâce à ces informations que les équipes du SOC ont la possibilité d’améliorer la protection des terminaux.
Les Processus
Les processus représentent les différentes actions courantes du SOC. Ils respectent souvent deux méthodes afin d’évoluer sur deux échelles de temps :
- Une échelle de temps à vision systémique : la méthode qui nous intéresse alors est une adaptation du PDCA (Plan Do Check Act) pour la cyber sécurité.
- Une échelle de temps de mouvement rapide : on adapte alors la méthode OODA (Observe Orient Decide Act).
Si l’on « traduit » la méthodologie par les actions classiques d’un SOC, on obtient :
- Plan : Réalisation des procédures de détection
- Do : Mise en place de la politique et des règles de corrélation
- Check : Analyse des incidents
- Act : Remontée des incidents et réaction des équipes SOC
On voit donc que cela correspond bien aux différentes étapes et actions réalisées par les membres des équipes du SOC.
| Les Technologies
Il existe différentes technologies utilisées au sein d’un SOC, chacune ayant une fonction particulière. Ces technologies sont détaillées dans un autre article.
| Catégorisation des alertes
Une alerte correspond à un événement pondéré, c’est-à-dire un événement auquel on attribue une certaine valeur afin de pouvoir le classer. C’est avec ce classement que les équipes du SOC décident quelles alertes sont à traiter et lesquelles sont prioritaires. Il arrive cependant que les alertes soient mal classées, avec pour conséquence la non-remontée d’un évènement important ou inversement la remontée d’un évènement d’une gravité moindre.
Ci-dessous, un tableau détaillant les différentes catégories d’alertes :
TYPE | DEFINITION |
Faux Positif | Alerte mal évaluée rendant un événement important à tort |
Vrai Positif | Alerte bien évaluée correspond à un réel événement important ou à un comportement anormal |
Faux Négatif | Événement important non détecté rendant le système défaillant |
Vrai Négatif | Le système fonctionne, aucune alerte n’était à lever, et le système n’a pas commis d’erreur de détection |