Security operations center
Un Security Operations Center (SOC), dans une entreprise, est une division qui assure la sécurité de l'organisation et surtout le volet sécurité de l'information. Si on fait référence à un SOC dans un bâtiment, il s'agit d'un lieu où est supervisé le site, avec des logiciels de traitement de données spécifiques[1]. Typiquement, les agents de sécurité vérifient les contrôles d'accès, contrôlent des lumières, des alarmes, des barrières de véhicules etc[2].
Objectifs
Un SOC est lié aux personnes, aux processus et aux technologies utilisées pour s’assurer de la connaissance de la situation grâce à la détection, au confinement et à l'assainissement des menaces informatiques. Un SOC gère les incidents pour l'entreprise en s'assurant qu'ils sont correctement identifiés, analysés, communiqués, actionnés / défendus, enquêtés et signalés. Le SOC surveille également les applications pour identifier une éventuelle cyberattaque ou intrusion (événement) et détermine s'il s'agit d'une menace (incident) réelle et malveillante, si cela pourrait avoir un impact sur l'entreprise.
Exigences réglementaires
L'établissement et l'exploitation d'un SOC est coûteux et difficile. Les organisations doivent avoir besoin de bonnes raisons pour le mettre en place. Cela peut inclure:
- Protection des données sensibles
- Se conformer aux règles de l'industrie telles que PCI DSS.
- Se conformer aux règles gouvernementales, comme la SCEE GPG53
SOC de l’Informatique
Un centre d'opérations et de sécurité de l'information (ou ISOC, parfois CSOC pour Cyber Security Operation Center[3]) est une plateforme où les systèmes d'information de l'entreprise (sites Web, applications, bases de données, centres de données, serveurs, réseaux et postes de travail et autres terminaux) sont surveillés, évalués et défendus.
Dans un premier temps le centre va collecter des informations du système informatique de l’entreprise grâce aux composants de sécurité mis en place, les analyser pour ensuite détecter d’éventuelles anomalies. En cas d’éventuelle «erreurs » dans le réseau le SOC va permettre d’alerter, de faire remonter l’information, pour avoir un délai d’intervention de plus en plus rapide.
Un SOC va pouvoir permettre à une entreprise d’administrer son réseau informatique à distance et ainsi de réduire les risques.
Sa mise en place et ses enjeux
La décision de mettre en place un SOC dans une entreprise est en règle générale prise par la direction générale. Ce choix stratégique engage l’organisation dans sa globalité et l’engage sur les années à venir.
Analyse de l’environnement
Dans un premier temps l’entreprise doit évaluer l’ensemble des risques auxquels elle est confrontée et définir ses processus critiques. Une fois cette étape réalisée elle pourra en déduire les vulnérabilités et menaces de son système d’information. Pour finir les risques devront être classés en fonction de leur degré de dangerosité.
Des simulations de cyberattaques peuvent aussi être réalisées afin de définir les failles liées à un logiciel malveillant ou utilisateur mal intentionné. Ces tests détectent les risques découlant d’une mauvaise configuration du système, default de programme ou encore l’efficacité de la solution mise en place. Pour finir, une fois les failles du système détecté un plan d’action va être proposé visant à diminuer la vulnérabilité du système d’information.
Ressources humaines nécessaire à la mise en place du dispositif : L'équipe SOC
Afin d’assurer la bonne mise en place du SOC, et son efficacité, il est nécessaire de constituer une équipe dédiée à ce dispositif.
Cependant, le SOC n’est que très peu présent au sein des entreprises, les compétences dans ce domaine restent rares.
Ainsi il est important pour l’entreprise de mettre en place des plans de formation et de certification pour encourager la formation en interne.
Outre le suivi de l’implantation de cet outil au sein de l’entreprise, l’objectif de cette équipe dédiée au SOC va être de pouvoir interagir avec les autres équipes responsables de la sécurité des systèmes d’information, afin d’adapter au mieux le dispositif à l’organisation. De ce fait, la transversalité de l’information entre ces équipes est nécessaire pour assurer l’efficacité du SOC. Cette transversalité n’est possible que si l’équipe SOC dispose de connaissance suffisante pour pouvoir dialoguer avec le service sécurité des SI.
Une fois l’équipe en place celle-ci devra acquérir de nouvelles technologies nécessaires à la supervision du système d’information. La formation régulière du personnel va aussi permettre de limiter les erreurs de qualification ou d’investigation. L’équipe doit obligatoirement être en mesure de surveiller le système et détecter les probables attaques. Chaque alerte fera l’objet d’une investigation pour en savoir l’origine et ces raisons.
Cependant devant les compétences techniques que nécessite la gestion d’un tel outil, certaines entreprises décident de confier cette tâche à un prestataire externe.
Support du SOC
Le SIEM (Security Information Event Management) est l’outil principal du SOC puisqu’il permet de gérer les évènements d’un SI. Il convient de ne pas confondre le SIEM avec le SIM (Security Information Management) et le SEM (Security Event Management). En effet ces 3 notions se complètent et ne sont pas des éléments identiques. Nous allons donc définir ces différentes notions.
Le SIM (Security Information Management) surveille, collecte et analyse les données provenant des différents ordinateurs d’une société et plus précisément des pare-feu, serveurs proxy, anti-virus qui les composent… Ces données sont analysées puis traduites sous forme de graphiques ou autres. Elles permettent à la personne chargée de la surveillance du SIM de surveiller en temps réel toute possible intrusion dans les systèmes. Le point fort du SIM réside notamment dans sa capacité à stocker un très grand nombre de données sur une longue période grâce à une capacité de compression de l’ordre de 10 : 1.
Concernant le SEM (Security Event Management), ce dernier est notamment présent dans les entreprises qui utilisent les bases de données en SQL. Le but et la fonction principale d’un SEM est de permettre un plus fort traitement des données en temps réel et ainsi trouver la cause plus rapidement qu’un SIM. L’un des principaux inconvénients est que celui-ci dispose d’une faible capacité de compression ne lui permettant pas de pouvoir stocker sur le long terme.
Le SIEM est le système le plus compliqué à mettre en place dans une société. En effet il correspond à la fusion d’un SIM et d’un SEM, il dispose donc d’une capacité de traitement et de stockage de données très importante. Il permet notamment de faire le lien entre différents évènements qui ont pu avoir lieu dans le système d’information, alerter en temps réel en cas d’intrusion la personne chargée du SIEM mais aussi de générer des rapports sur tous types de problèmes de sécurité.
Visions internationales et spécifiques
SOC aux États-Unis
L’administration chargée de la sécurité des transports aux États-Unis a mis en place des centres d'opérations de sécurité pour la plupart des aéroports qui ont uni la totalité de la sécurité. La principale fonction des centres d'opérations de sécurité de la TSA (Transportation Security Administration) est de servir de plaque tournante pour le personnel de sécurité, les forces de l'ordre, le personnel des aéroports et diverses autres agences impliquées dans les opérations quotidiennes des aéroports. Les SOC sont opérationnels 24 heures par jour, leurs fonctionnements sont assurés par les agents de surveillance du SOC. Ces agents sont formés à tous les aspects de la sûreté aéroportuaire et de l'aviation et sont souvent tenus de faire des changements anormaux. Les agents de surveillance du SOC veillent également à ce que le personnel de la TSA respecte le protocole approprié pour les opérations de sécurité dans les aéroports. Le SOC est habituellement le premier à être informé des incidents dans les aéroports, tels que la découverte d'articles prohibés / contrebande, d'armes, d'explosifs, de matières dangereuses ainsi que les incidents concernant les retards de vol, les passagers indisciplinés, les blessures, les équipements endommagés et divers autres types de potentiel Sécurité. À son tour, le SOC transmet toutes les informations relatives à ces incidents aux directeurs de la sécurité fédérale de la TSA, à l'application de la loi et au siège de la TSA.
SOC en France
Les Security Operations Center ne sont pas beaucoup développés en France mais la nouvelle Loi de programmation militaire fera évoluer cette tendance en promouvant une réelle prise de conscience quant aux menaces en relation à la cyber-sécurité. Cette loi apporte des changements et une obligation des Opérateurs d’Importance Vitale (OIV) d’assurer la protection de leurs systèmes d'information (SI) contre les cyberattaques. Cela passera par l’obligation de mettre en place des SOC pour assurer la supervision, la détection d’évènements de sécurité dans leur parc informatique et communiquer toutes menaces aux autorités.
CloudSOC
Un Cloud Security Operations Center (CloudSOC) peut être configuré pour surveiller l'utilisation des services du Cloud dans une entreprise. Il peut aussi avoir pour fonction d’analyser et auditer l'infrastructure informatique et les journaux d'applications via les technologies SIEM et les plateformes de données machine Splunk, IBM QRadar, HP ArcSight et Elasticsearch pour fournir des alertes et des détails sur les activités suspectes.
Autres types de SOC
En plus de celles vu précédemment il existe de nombreux autres termes relatifs au titre original "ISOC".
- NSOC : Centre d'opérations de sécurité réseau
- ASOC : Centre des opérations de sécurité avancées
- GSOC : Centre Mondial des Opérations de sécurité
- VSOC : Centre des Opérations de Sécurité Virtuelles
Notes et références
- (en) Sixto O. de Leon, Security : Defense Against Crime, Manille, National Book Store, , p. 17.
- (en) Barbara A. Nadel, Building Security : Handbook for Architectural Planning and Design, McGraw-Hill, , 2.20 p. (ISBN 978-0-07-141171-4).
Portail de la sécurité de l’information