Qu’est-ce qu’un SOC (Security Operation Center) ?
Le SOC, vecteur de détection des attaques
Chaque organisation doit protéger son SI (Système d’Information) des cyberattaques mais cela ne suffit pas. Aucun dispositif de défense n’est infaillible.
La protection permet d’éviter nombre d’attaque mais cela ne suffit pas, les organisations doivent pouvoir les détecter pour pouvoir les traiter en temps réel.
Pour cela, de nombreuses organisations se sont dotées d’un SOC (Security Operation Center).
Qu’est-ce qu’un SOC ?
Le SOC est une équipe assurant la supervision et l’administration opérationnelle de la sécurité du SI d’une organisation et de ses données.
Son objectif est de :
· Surveiller et analyser en continu (24/7) l’activité sur les SI de l’organisation
· Détecter, analyser les incidents de sécurité et veiller à ce qu’ils soient traités.
Le SOC est une organisation opérationnelle composé d’analystes et d’experts en cybersécurité.
Les outils du SOC
Le SOC peut s’appuyer sur des outils technologiques tels que :
- Le SIEM (Security Information Event Management) ou SI de gestion des événements de sécurité. Cet outil permet de centraliser la collecte d’informations provenant du réseau, des dispositifs de sécurité et des applications de l’organisation puis de les analyser selon des scénarios préétablis afin d’identifier et de catégoriser des incidents.
- Les IPS/IDS (Système de Détection d’Intrusion) qui sont des sondes de détection d’intrusion qui permettent d’identifier des trafics d’informations suspects.
- Le DLP (Data Loss Prevention) qui permet de lutter contre la fuite de données.
- Le CASB : (Cloud Access Security Broker) est un outil qui permet de détecter les menaces, d’anticiper les incidents et d’apporter une visibilité sur l’ensemble des applications hébergées dans le Cloud d’une organisation.
Attention, le SOC ne remplace pas un CERT (Computer Emergency Response Team). La répartition usuelle des rôles se traduit par le SOC détecte l’incident, le CERT le traite. Ils sont donc complémentaires.