Recourir à un Security
Operations Center (SOC) en tant qu’organisation permet de s’assurer d’avoir un
œil en permanence sur l’activité opérée au niveau de ses systèmes d’information
dans l’optique de réagir efficacement et rapidement à toute attaque ou anomalie.
Afin de vous permettre de vous en rendre compte, cet article vous invite à vous
mettre dans la peau d’un bénéficiaire du SOC de POST.
Le Security Operations
Center (SOC) est un élément qui contribue grandement à assurer
la sécurité d’une organisation et, plus particulièrement, de ses systèmes
d’information. A travers l’analyse de divers logs, autrement dit des événements
opérés au départ des systèmes informatiques, l’idée est de parvenir à
identifier des anomalies ou encore des attaques. Ces logs peuvent traduire
toute activité sur des serveurs, base de données, application, firewall et de
nombreux autres appareils. Ces informations sont remontées auprès du SOC, qui
opère une surveillance 24h/24 et 7j/7. Selon des règles établies, l’analyse des
logs peut donner lieu à des alertes et au déclenchement de procédures visant
une réaction rapide en cas de problème. En recourant au SOC, le client gagne en
tranquillité d’esprit. En permanence, quelqu’un veille sur ses actifs
numériques les plus précieux.
Une mise en place qui tient compte
du contexte de l’organisation
Opérer une surveillance optimale des
systèmes d’information, toutefois, exige au préalable de tenir compte du
contexte de l’organisation, des activités qu’elle mène, de sa géolocalisation,
de ses fournisseurs, de ses besoins et de ses risques. Les opérateurs du SOC de
POST vont donc se renseigner sur les activités du client, notamment pour
établir ce qui relève d’une activité normale à travers les systèmes
d’information.
Il s’agit aussi de déterminer le
périmètre de surveillance du SOC, afin d’identifier les logs disponibles et
ceux qui sont les plus pertinents à faire remonter pour assurer une veille de
qualité. Un SOC est capable de monitorer des firewalls, serveurs, laptops,
bases de données, anti-virus, IDS, IPS, VPN, etc. Soit tout type d’équipement
permettant l’envoi de logs par le protocole IP. Le périmètre et la capacité
financière du client vont permettre de préciser le nombre d’éléments à
monitorer et la volumétrie des logs à analyser.
Établir des règles de surveillance
L’enjeu le plus important, une fois ces
étapes effectuées, est de mettre en œuvre des règles de surveillance. Une règle
peut, par exemple, consister à déclencher une alerte si les logs respectent une
ou plusieurs conditions spécifiques.
Le SOC de POST prévoit un ensemble de
règles génériques, qui s’appliquent par défaut aux technologies de ses clients,
et qui permettent de veiller sur des risques communs à tous les acteurs.
D’autres doivent être mises en œuvre en fonction du contexte de l’entreprise.
Mettre en place des alertes et
effectuer des investigations sans délais
On
distingue plusieurs catégories de règles.
Toutes les règles déclenchent des alertes, seulement une partie d’entre
elles vont entrainer la création d’un ticket et d’une investigation en temps
réel.
Les autres règles servent principalement de Reporting pour toute demande
d’audit interne ou externe. Une stratégie de corrélation propre au SOC de
POST permet de superviser l’ensemble des alertes même sans investigation en
temps réel.
Suite
aux déclenchements d’alertes nécessitant une investigation en temps réel,
l’équipe, au premier niveau, pourra :
- Réaliser les
premières investigations ;
- Catégoriser
l’alerte en faux positif et fermer le ticket d’incident ;
- Contacter les
équipes en charge de la gestion des systèmes informatiques, qui donneront
plus de contexte ou une justification ;
- Contacter le
client et lui transmettre toutes les informations nécessaires ;
- Mobiliser le
deuxième niveau du SOC, lorsqu’une investigation plus poussée est
nécessaire.
Disposer d’indicateurs utiles à la
gestion de la sécurité
D’autres règles, pour des cas ne
nécessitant pas d’investigation en temps réel, ne vont pas faire l’objet d’une
investigation instantanée mais servir à l’établissement de rapports ou tableaux
de bord de suivi de l’activité a posteriori ou dans la perspective d’un audit.
Ces données permettent une meilleure compréhension de l’activité sur le système
dans l’optique, par exemple, d’adapter les règles établies.
Tester et faire évoluer les règles
dans le temps
Chaque règle, avant
une mise en production, doit être testée, pour s’assurer que les résultats
attendus correspondent aux attentes. Les règles doivent être adaptées en
permanence selon une approche d’affinement des règles, notamment pour limiter les faux
positifs, comme le déclenchement d’une alerte alors que la situation
ne l’exige pas.
Une démarche d’amélioration
continue aux côtés du client
Au-delà de la supervision
opérationnelle, l’équipe du SOC programmera des meetings réguliers avec le
client, pour rendre compte de la situation, envisager de monitorer de nouvelles
vulnérabilités, passer en revue les alertes afin d’envisager les adaptations à
réaliser. Ces rencontres, qui peuvent avoir lieu toutes les semaines au début
de la relation en phase d’implémentation du SOC et qui s’espacent pour une
période d’un mois minimum une fois les éléments bien en place, permettent de
faire le point sur les nouveaux besoins, les évolutions en cours du côté du
client, la nécessité d’obtenir de nouveaux indicateurs ou de faire évoluer des
rapports ou tableaux de bord. Le but est d’éviter le mode « black box » et ces
meetings de revues régulières permettent de remonter la totalité des événements
passées au client.
En maintenant des échanges réguliers, le
SOC de POST s’inscrit dans une démarche d’amélioration continue, pour assurer
au client une sécurité optimale et une qualité de service à la hauteur de ses attentes.
Subscribe to our Newsletters

Stay up to date with our latest news
more news

The pivotal role of cybersecurity in the Digital Equilibrium
by Excellium Services I 11:19 am, 14th November
In the intricate dance of a digital ecosystem, achieving Digital Equilibrium is akin to balancing a complex, multifaceted scale. At the heart of maintaining this delicate balance lies cybersecurity, a fundamental binder ensuring that every component operates harmoniously, efficiently, and securely.
load more