Réussir le déploiement d’un SOC (Security Operation Center)
Face à l’exposition croissante aux menaces informatiques, et à l’arrivée de nouvelles contraintes réglementaires comme le Règlement Général sur la Protection des Données (RGPD) qui renforce la protection des données personnelles, toute organisation se doit d’améliorer la maîtrise de la sécurité de ses systèmes d’information.
Le Security Operation Center (SOC) est constitué d’une équipe d’experts qui jouent le rôle de « Tour de Contrôle » pour la surveillance de la sécurité globale des Systèmes d’information, pendant que les équipes de supervision s’occupent de la surveillance du bon fonctionnement des SI.
Les services fournis par le SOC s’organisent autour de quatre familles d’activité :
- Détection
- Collecte et analyse des logs
- Corrélation des informations afin d’analyser les évènements de sécurité dans leur ensemble et pas unitairement
- Déclenchement et qualification d’alerte sur éléments suspects
- Notification et communication Client
A noter : Cependant, selon l’importance vitale du système d’information de l’organisation (OIV, SIIV), l’ANSSI impose de passer par un prestataire de détection d’incidents de sécurité certifié (PDIS).
- Réaction
- Réduction du délai de réaction pendant toutes les phases d’une attaque (préparation, en cours, et après)
- Traitement immédiat des alertes documentées, et escalade d’alertes vers les analystes pour des cas non connus
- Traitement des incidents de sécurité en accompagnement des équipes de supervision
- Investigations suite à incident de sécurité
- Prévention
- Veille sécurité en relation avec le Computer Security Incident Response Team (CSIRT/CERT)
- Maintien en Condition Opérationnelle (MCO) de l’outillage SOC
- Maintien en Condition de Sécurité (MCS) de l’outillage SOC
- Optimisation des règles de détection, et prise en compte des Indicators of Compromise (IoC) fournis par les CSIRT/CERT
- Communication et Reporting
- Reporting régulier de l’activité du SOC
- Tableau de bord Sécurité au travers d’indicateurs de service (Alertes, Incidents, Investigations, …), d’indicateurs techniques (MCO/MCS), et d’indicateurs d’évolution (extension du périmètre de collecte, nouvelles règles de détection, …)
Pour être à même de dispenser ces services, le SOC s’appuie sur trois composants fondamentaux :
- Moyens humains : spécialisés en sécurité informatique (opérateurs, analystes, experts)
- Outils techniques : dont le Security Incident & Event Management (SIEM) qui permet la collection, l’agrégation, la corrélation et l’analyse des logs
- Processus : clairement établis et documentés pour chaque étape principale
La mise en place d’un SOC est en effet un projet d’envergure transverse à l’organisation de l’Entreprise qui aura des impacts opérationnels. C’est pourquoi le support explicite de la Direction est indispensable pour sanctuariser les dépenses récurrentes induites par une telle organisation.
En tenant compte du contexte spécifique à l’Entreprise (domaine d’activité, exigences règlementaires, taille des équipes, maturité en sécurité des SI, solutions actuellement en place, périmètre de surveillance, …), plusieurs questions doivent donc être abordées dès les premières phases du projet :
- Quel est le périmètre technique & métier retenu pour la mise en place de la surveillance ?
- Equipe interne, externe, ou mixte ?
- Hébergement du SOC (interne /externe) ?
- Plages de services et niveau de prestation attendu (heures ouvrables, astreintes, 24/7) ?
- Budget prévisionnel (construction & fonctionnement)
Le projet de mise en place du SOC doit être une succession de phases de Construction (BUILD) puis Exploitation (RUN) avec un élargissement progressif du périmètre, en commençant par un périmètre limité et maîtrisé comme les équipements de protection périmétrique.
La réalisation d’un Proof of Concept (POC) sur quelques cas d’utilisation simples permet de valider les prérequis techniques (collecte des traces, horodatage des évènements) et organisationnels (processus de gestion d’incident, communication, escalade), ainsi que l’outillage SOC (SIEM, enclaves de collecte, canaux de transmission).
Enfin, l’amélioration continue est une caractéristique majeure du SOC, avec les évolutions permanentes des règles de détection pour la prise en compte de nouvelles menaces et/ou retour d’expérience suite à incident, la réduction des faux positifs, sans oublier la documentation (fiches réflexe, processus de gestion d’incidents, …).