Définition d’un SOC

Pourquoi un SOC est un élément de sécurité essentiel pour les entreprises ?

Temps de lecture : 5 mn

Aujourd’hui, les utilisateurs sont de plus en plus mobiles, se connectent sur de plus en plus de périphériques aux quatre coins du monde. Un grand nombre d’applications et de données migrent vers le Cloud, ce qui a pour effet d’exposer davantage les ressources IT aux différentes menaces (malware, ransomware, phishing, attaque DDOS, brute force attaque). Les entreprises ont donc besoin d’un dispositif de contrôle de la sécurité des données dans le Cloud (Cloud Public, Cloud privé, Cloud Hybride) comme sur site. Le contexte de l’identité doit être pris en compte de façon significative afin de pouvoir mieux prévoir, prévenir, détecter et réagir à tout type d’attaques ou d’intrusions dans les systèmes d’information (SI), dans le but de mieux sécuriser vos données.

Définition d’un SOC

Le Security Operations center, SOC, désigne dans une entreprise l’équipe en charge d’assurer la sécurité de l’information.

Le SOC est une plateforme permettant la supervision et l’administration de la sécurité du système d'information au travers d’outils de collecte, de corrélation d'événements et d'intervention à distance. Le SIEM (Security Information Event Management) est l'outil principal du SOC puisqu'il permet de gérer les évènements d'un SI.

L’objectif d’un SOC est de détecter, analyser et remédier aux incidents de cybersécurité à l’aide de solutions technologiques et d’un ensemble de démarches. Ils surveillent et analysent l'activité sur les réseaux, les serveurs, les terminaux, les bases de données, les applications, les sites Web et autres systèmes, à la recherche de signaux faibles ou de comportements anormaux qui pourraient être le signe d'un incident ou d'un compromis en matière de sécurité. Le SOC doit veiller à ce que les incidents de sécurité potentiels soient correctement identifiés, analysés, défendus, enquêtés et signalés. Les SOC sont composés, en général, d’analystes et d’ingénieurs en sécurité, ainsi que de managers supervisant les opérations de sécurité. Les capacités supplémentaires de certains SOC peuvent inclure l'analyse avancée, la cryptanalyse et l'ingénierie inverse des logiciels malveillants pour analyser les incidents. Les équipes SOC travaillent étroitement avec les équipes d’intervention afin de s’assurer que le problème de sécurité soit bien réglé une fois qu’il a été découvert.

Comment fonctionne un SOC ?

La première étape pour établir un SOC consiste à définir clairement une stratégie qui intègre les objectifs propres à l'entreprise de divers services. Une fois la stratégie élaborée, l'infrastructure nécessaire pour la soutenir est mise en place. L’infrastructure typique de SOC comprend des pare-feu, des IPS/IDS, des solutions de détection des brèches, des sondes et un système de gestion de l'information et des événements de sécurité (SIEM). La technologie devrait être en place pour recueillir les données par le biais des flux de données, de la métrique, de la capture de paquets, du syslog et d'autres méthodes afin que l'activité des données puisse être corrélée et analysée par les équipes SOC. Le centre des opérations de sécurité surveille également les réseaux et les points d'extrémité pour détecter les vulnérabilités afin de protéger les données sensibles et de se conformer aux règlements de l'industrie ou du gouvernement.

Pourquoi installer un SOC ?

L'avantage clé d'avoir un centre des opérations de sécurité est l'amélioration de la détection des incidents de sécurité par la surveillance continue et l'analyse de l'activité des données. Cependant, mettre en place un SOC et l’exploiter est compliqué et coûteux. Les entreprises en établissent pour plusieurs raisons, comme :

• protéger des données sensibles
• se conformer aux règles de l’industrie telles que PCI DSS
• se conformer aux règles gouvernementales comme la SCEE GPG53

La surveillance 24h/24 et 7j/7 fournie par un SOC sur l’activité des données sur les réseaux, les points finaux, les serveurs et les bases de données d'une organisation donne aux entreprises un avantage pour se défendre contre les incidents et les intrusions, indépendamment de la source, de l'heure de la journée ou du type d'attaque. Avoir un centre des opérations de sécurité aide les entreprises à combler l'écart entre le temps que prend le hackeur pour compromettre le système et le temps de détection de la menace, ainsi qu’à rester au fait des menaces qui pèsent sur leur environnement.

Comment alimenter un SOC avec les solutions Oracle ?

Oracle dispose d’un portfolio de plusieurs outils pour se constituer un SOC, et notamment :

Security Monitoring & Analytics : Cette solution, qui allie les fonctionnalités d’un SIEM et d’un UEBA (analyse des comportements utilisateurs), exploite des algorithmes de Machine Learning afin de normaliser, corréler les données et repérer les évènements pour anticiper les menaces.

- CASB : Ce Cloud Access Security Broker permet de sécuriser les données de bout en bout, depuis le Cloud au périphérique. La solution offre de nombreux services, entres autres :

• visibilité sur l’utilisation des applications cloud de l’entreprise et détection du shadow IT
• contrôle des accès utilisateurs
• conformité RGPD : application des politiques de sécurité et aide à la mise en conformité avec le RGPD
• alerte sur les menaces de sécurité
• détection des malwares, etc.