Sécurité : pourquoi votre organisation doit se poser la question du SOC ?
S'appuyer sur un SOC (Security Operations Center) permet aux entreprises de détecter les menaces efficacement et de résoudre les incidents de sécurité. Un SOC managé (CyberSOC) représente un élément de sécurité essentiel pour les entreprises qui ne peuvent se permettre le moindre arrêt ou le moindre blocage dans leurs activités. Présentation.
Le système d'information de l'entreprise se complexifie, ce n'est pas nouveau. La mise en place du télétravail durant les confinements n'y est pas étranger. La sécurité du SI doit désormais être réfléchie différemment, comme nous l'avons déjà évoqué dans cet article.
Selon ce rapport récent, les informations d'identification volées ou compromises sont à l'origine de 19 % des violations des systèmes d’information d’une organisation. Le hameçonnage représente déjà rien moins que 16 % des brèches. Une mauvaise configuration du cloud en est responsable pour 15 % des violations. Une vigilance constante est un gage de cybersécurité pour les organisations : le coût moyen des violations de données a en effet augmenté de 2,6 %, passant de 4,24 millions de dollars en 2021 à 4,35 millions en 2022.
Ramenée à l'échelle d'un pays, la cybercriminalité représenterait aujourd'hui... la 3e économie mondiale, derrière les États-Unis et la Chine.
C'est quoi un SOC ?
SOC signifie Security Operations Center. Dans une entreprise, l'expression désigne l’équipe chargée d’assurer la sécurité des systèmes d'information. Objectif et avantages : d'une part, une meilleure connaissance de son SI, de l'autre, une triple réduction du temps de détection d'intrusion, de réponse et de restauration des services.
CyberSOC est une offre de SOC managé développée par Win, un centre opérationnel de sécurité avec :
- Surveillance et détection des incidents en cybersécurité
- Continuité 24/24h et 7/7j
- Prise en compte de nouveaux périmètres : filiales, Cloud, OT, iOT
Comment fonctionne un SOC ?
Le SOC est une plateforme permettant de superviser et d'administrer le système d'information au travers d'outils de différents types :
- Collecte des évènements (cartographie du SI et identification des sources utiles)
- Corrélation des événements avec un SIEM (Security Information Event Management)
- Détection des intrusions (Cyber-analystes N1/N2/N3) : investigation à chaud ou froid et catalogue de scénarios
- Recommandations pour la résolution des incidents (par le client ou par Win, en fonction des contrats)
- Adaptation continue aux nouvelles sources et aux nouveaux types d'attaques
Un SOC : pour quoi faire ?
Le SOC permet à une organisation de :
- Prévenir les incidents de sécurité
- Détecter les menaces et incidents
- Traiter les incidents, les alertes et les menaces
- Assurer la maîtrise des risques et la conformité de la sécurité dans une entreprise, institution ou organisation
Pourquoi adopter un SOC ?
Le principal avantage de la mise en place d'un SOC managé (CyberSOC) est de pouvoir détecter les incidents de sécurité grâce à une surveillance et une analyse constante du réseau de l'entreprise - sur l'ensemble de ses composants, sans exception -.
Le CyberSOC fait appel à l'intelligence cyber pour permettre aux équipes du SOC non seulement de détecter, mais surtout de prévenir ou de réagir rapidement à tout type d'incident, quel qu'il soit. Est-ce une intelligence artificielle ? Non, le SOC se réfère à une équipe de sécurité composée d’analystes de sécurité et d’ingénieurs spécialisés. Un SOC fonctionne 7/7j, de jour comme de nuit. Les collaborateurs travaillent en équipe et ont pour mission de surveiller en permanence l’activité du réseau pour parer aux menaces.
"Le ransonware est la forme la plus tangible d'intrusion pour la plupart des sociétés, mais ce n'est pas la seule", prévient Geert van Bossuyt, Product Manager Security de Win. "On parle ici de tout type d'intrusion ou d'attaque sur des périphériques, des serveurs ou encore des données sensibles. On parle aussi de l'impact sur l'image d'une société qu'une intrusion peut entraîner."
Au niveau mondial, une attaque d'entreprise est tentée toutes les 39 secondes. Le temps est une donnée critique lorsqu'il s'agit de répondre aux incidents de cybersécurité : "Le temps moyen nécessaire pour identifier une violation en 2020 était de 287 jours, c'est dire si des dégâts peuvent être commis. Et les statistiques que nous observons sont effrayantes : les attaques par rançongiciel ont été multipliées par 4 entre 2020 et 2021 pour un coût global de paiement de rançons de près de 20 milliards d'euros. "
Votre entreprise a-t-elle besoin d'un SOC ?
Pour Geert van Bossuyt, toutes les entreprises n'ont pas forcément besoin d'un SOC, mais une question permet de déterminer si c'est le cas : "Cette question est de savoir quel coût entraîne un arrêt des opérations de l'entreprise et si elle est capable de le supporter financièrement, car une fois que tout s’arrête, le business s’arrête. Encore faut-il au préalable déterminer ce que coûte une intrusion ou l'irruption d'un ransonware”.
Un autre point important à considérer avant la mise en place d’un SOC externe est le retour sur investissement : faire évoluer la sécurité informatique d’une entreprise représente, en effet, des coûts élevés, difficiles à allouer, ainsi que des compétences difficiles à trouver en interne.
Geert van Bossuyt insiste : “Un SOC externe et managé permet de mutualiser les coûts des structures, de disposer d’experts à la demande et de maximiser son ROI”.
Les étapes de la mise en place
L'expert explique : "Avant d'envisager cette solution, nous procédons à une évaluation initiale de l'environnement pour appréhender à la fois les métiers, le fonctionnement du SI et les risques associés à ce dernier".
Une série d'étapes s'imposent avant de déterminer la nécessité d'un SOC pour l'organisation :
- Réunion de démarrage
- Découverte du business et des actifs (assets) de l'entreprise
- Découverte du SI et cartographie précise
- Détermination des sources les plus utiles
- Analyse des méthodes de collecte, ainsi que du placement idéal du (ou des) collecteur(s)
- Établissement d'une offre personnalisée et détermination des coûts
Activités du SOC
Parmi les activités les plus essentielles des équipes, on peut citer l'élimination des faux-positifs, la contextualisation des alertes associées, la corrélation avec d’autres alertes dans une plage temporelle proche, ainsi que le traitement des incidents et l'utilisation de fiches réflexes.
Quelles garanties de confidentialité et de souveraineté ?
Nous l'avons déjà expliqué : la transformation numérique et l’essor du télétravail posent la question de l’hébergement des données stratégiques et de la souveraineté pour toute organisation. Pour Geert van Bossuyt, l'offre CyberSOC est opérée depuis le WDC, centre de données en Wallonie situé à Villers-le-Bouillet. "C'est une garantie claire vis-à-vis de nos clients de la territorialité des technologies que nous utilisons pour construire notre offre de SOC managé en Belgique."