Qu’est-ce qu’un SOC ?

Un SOC (Sécurity Operation Center), est une division au sein d’une cellule sécurité, qui assure la sécurité de l’organisation, à des niveaux techniques et organisationnels.

Dans un bâtiment quelconque, un SOC est un lieu à partir duquel les employés supervisent le site  avec des logiciels de traitements de données spécifiques, monitore les accès, contrôle l’alimentation, les alarmes, etc.

A quoi sert un SOC ?

Au sein d’une équipe sécurité, le SOC fait office de système de détection, d’analyse, de prévention de risques, de levées d’alertes (par le biais de produits comme SPLUNK, Change auditor et autres produits SIEM), et aussi, d’aide à la décision, de protection et d’exploitation d’éventualités.

Via un SOC bien configuré, l’entreprise peut garantir une continuité d’activités et anticiper d’éventuels problèmes et incidents, car un pare-feu et un système de détection d’intrusion (IDS) ne sont pas toujours suffisants.

D’autres fonctions du SOC :

  • Logging
  • Monitoring
  • Coordination et remédiation
  • Reporting audit
  • Reporting Sécurité
  • Analyses post incidents
  • Forensics

Quels sont les bénéfices d’un SOC ?

Parmi les bénéfices d’un SOC:

  • Rapidité du temps de réponse (efficace par exemple dans le cas d’un Malware, vu sa rapidité de propagation)
  • Capacité à se remettre d’une attaque DDOS en un temps raisonnable (Distributed Denial Of Service (attaque par déni de service distribué))
  • Identification plus rapide d’attaques potentielles et les avorter avant qu’elles ne causent des dommages

SIM ? SIEM ? SEM ?

SIM (Security Information Management), SIEM (Security Information and Event management), SEM (Security Event Management), sont des solutions incontournables pour réussir l’implémentation d’un SOC. Ces outils, flexibles et agiles,  consolident les données (journaux, alertes, logs) et les analysent rigoureusement pour une utilisation visuelle.

Les SIM permettent :

  1. la collecte
  2. l’agrégation
  3. la normalisation
  4. la corrélation
  5. le reporting
  6. l’archivage
  7. le rejeu des évènements

Exemple de tableau de bord :

tableau de bord

Types de SOC :

  • Externalisé (Symantec, SecureWorks (Dell), Solutionary, WiPro, Tata, CenturyLink (Savvis, Qwest), McAfee, Verizon (Cybertrust / Ubizen), Orange, Integralis, Sprint, EDS, AT&T, Unisys, VeriSign, BT Managed Security Solutions (Counterpane), NetCom Systems, etc)
  • Centralisé, propre à l’entreprise, avec une implémentation en interne.

Management d’un SOC ?

Un bon mangement et une bonne supervision d’un SOC sont des facteurs clés pour son succès. Analystes, staff, matériels et logiciels sont aussi des éléments clés, mais le succès ultime d’un SOC repose sur les compétences de son manager. Un management faible ou inadéquat peut avoir des conséquences désastreuses en termes de performances, d’incidents négligés, ou process incorrectement suivi.

Une stratégie de monitoring efficace

L’un des autres facteurs clés de succès d’un SOC passe par la mise en place d’une bonne stratégie de surveillance. Afin d’assurer la bonne gestion et les bonnes actions d’un SOC, il faut obligatoirement, dans un document, définir le périmètre, l’architecture technique, les processus de surveillance et de maintien, les règles du SOCs, les points de contacts, tout cela sur une base de connaissance et sur le suivi du projet.

L’objectif principal d’un SOC est de garantir la bonne surveillance du catalogue et parc informatique.

Exemple d’un document runbook :

runbook

Schéma d’intégration :

Ci-dessous un exemple d’intégration de SOC:

schéma integration

Conclusions :

Certaines questions sont à poser avant l’adoption d’un SOC. En effet, une implémentation réussie de ce dernier passe par les bonnes décisions. La bonne prise en compte des référentiels de l’entreprise (risques, menaces, impacts), des architectures (fonctionnelle, technique) permettent dans un premier temps de dessiner les contours des services à mettre en place et déterminer la portée du SOC :

  • Faut-il se doter d’un SOC au niveau groupe ?
  • Au niveau régional ?
  • Au niveau local ?
  • Quels seront les paramètres fonctionnels à couvrir (zones d’hébergement mobilité, applications métiers…) ?

L’ensemble de ces éléments permettront de préciser l’architecture technique du SOC : centrale, distribuée, volumétries, équipes.

Saad

Consultant SYNETIS