Nous nous sommes entretenus avec Maxime Lamarche, expert en cybersécurité et SOC manager chez Easi. Il a pu nous en dire un peu plus sur le SOC, son rôle et quels éléments il faut garder à l'esprit lorsqu'on souhaite en mettre un en place.
Un SOC, ou Security Operations Center, c'est un centre composé de personnes (experts en sécurité) et d'outils dont l'objectif est de gérer les incidents de sécurité pour les entreprises.
Lorsque des événements ou des incidents de sécurité se produisent, ces experts sont alors capables de prendre les décisions et les actions adéquates pour remédier à ces incidents et protéger l'entreprise.
Un SOC permet à une entreprise de disposer de la visibilité nécessaire pour pouvoir réagir rapidement en cas de problème.
On sait aujourd'hui que lorsque des incidents de sécurité se produisent, ils ne sont souvent pas détectés à temps. Il arrive qu'une entreprise ne détecte un incident qu'après quelques mois. Ce qui laisse suffisamment de temps à la personne malicieuse d'agir et de prendre ses marques.
Un SOC permet de réagir rapidement et de limiter les risques d'exfiltration de données ou d'autres risques pour l'entreprise. Un SOC opère 24 heures sur 24, 7 jours sur 7, et surveille en permanence l'environnement informatique, de sorte qu'il est toujours au courant de ce qui se passe.
Un SOC génère une grande quantité de données qu'il va falloir gérer et traiter. L'entreprise doit être en mesure de savoir quelles données il faut traiter en priorité, mais aussi lesquelles ne sont pas pertinentes.
Il existe en effet une différence entre ce qu'on appelle une alerte et un incident. Une alerte peut être vue comme une simple notification liée à un événement spécifique. Un incident, par contre, est un ensemble d'alertes qui vont générer un incident.
Pour les entreprises, le but est de prendre actions lorsqu'un incident se manifeste, mais pas forcément les alertes.
Pour les entreprises, c'est un véritable défi de savoir où se trouve la différence entre les deux et de pouvoir réagir correctement pour ne pas perdre de temps sur des faux positifs.
En outre, il faut maîtriser son environnement, connaître les flux d'informations, savoir qui est présent dans son environnement, mais aussi savoir si une partie tierce est impliquée.
Par ailleurs, les outils que vous allez utiliser pour construire votre SOC sont tout aussi importants. Ceux-ci doivent pouvoir vous offrir une visibilité suffisante et surtout bien se coordonner les uns avec les autres. Ce sont ces éléments qui constituent la base de votre SOC.
Un SOC peut se destiner à tout type d'entreprise, mais chacun à son niveau. Il est inutile de déployer l'artillerie lourde pour des entreprises qui n'ont pas les moyens ni le nombre de personnes requis pour gérer correctement leur SOC.
Il n'y a pas de situation qui serait plus à privilégier que l'autre. Ici aussi, tout va dépendre de la volonté de l'entreprise.
Une société qui dispose du personnel et des moyens nécessaires pourrait assurer le SOC en interne. Mais ce n'est pas toujours le cas, et dans ces cas-là, il vaut mieux externaliser.
On l'a remarqué pendant la pandémie de coronavirus, nous sommes confrontés à de plus en plus de menaces informatiques.
Bien qu'un SOC ait un rôle majeur à jouer dans la posture de sécurité d'une entreprise, il est amené à évoluer dans les années à venir. Le SOC que l'on connait aujourd'hui ne ressemblera pas à celui de dans 1 an ni 5 ans.
C'est là que réside l'avantage d'un provider spécialisé en sécurité. Celui-ci va suivre les différentes évolutions et accompagner ses clients pour qu'ils évoluent avec les solutions et les nouveaux types de menaces.