Cloud, « as a Service », Big Data, Intelligence artificielle, collaboratif… le SOC (Centre Opérationnel de Sécurité) évolue rapidement pour faire face à l’évolution des menaces et à un marché qui se démocratise enfin.
Véritable vigie de la cybersécurité de l’entreprise, le SOC est devenu indispensable afin de contrer les attaques des pirates informatiques sur les systèmes d’information. Et l’essor d’offres de SOC managés a permis à un nombre croissant d’entreprises de recourir à de tels services. Tous les grands opérateurs internationaux tels qu’Orange Cyberdefense, T-Systems, Verizon, BT affichent désormais une offre SOC à leur catalogue de services de sécurité.
Une bataille d’IA dans les SOC
L’heure est à l’innovation alors que ces offres de sécurité managées s’appuient globalement toutes sur les mêmes SIEM. Atos a notamment beaucoup communiqué en 2017 sur l’arrivée du Big Data et des algorithmes prédictifs dans ses 14 SOC : « Notre stratégie a évolué vers ce que nous avons appelé le Prescriptive SOC » explique Zeina Zakhour, directrice technique Cybersécurité chez Atos. « Il s’agit de ne plus être dans un mode détection / réaction mais de basculer dans un mode de protection préventive, sachant à l’avance les menaces qui vont cibler mon entreprise et mettre en place les contrôles pour les contrer. Lorsqu’on considère la kill chain d’une attaque, celle-ci est détectée au moment où elle se produit mais toute la préparation de l’attaque n’est pas détectée. » Tous les fournisseurs de SOC misent désormais sur le Machine Learning pour relayer les moteurs de règles qui jusqu’à présent déclenchaient les alertes de sécurité.
Une autre tendance forte évoquée lors des Assises de la Sécurité 2017 est l’analyse de nouveaux protocoles et applicatifs par les SOC. Désormais il est possible de surveiller l’activité des utilisateurs d’un ERP, l’activité des bases de données, mais aussi de systèmes plus “exotiques” dans le monde de l’IT tels que les systèmes industriels type SCADA, les GTB d’immeubles.
Le SOC, une approche Software as a Service
Enfin, le SOC va de plus en plus vers une approche Software as a Service telle que celle défendue par Advens, un MSSP qui propose l’offre MySOC sur le marché français : « Les données collectées sur notre plateforme sont analysées par nos équipes et restituées via un dashboard collaboratif sur mobile ou tablette sur laquelle se connecte l’équipe du client » détaille Benjamin Leroux, responsable Innovation & Marketing d’Advens. « Ils peuvent y visualiser les alertes, mais aussi leurs plans d’actions en prévention. » En outre, le français a doté cette interface de fonctions collaboratives pour fluidifier les échanges entre l’équipe du SOC et les RSSI.
Plus industrialisé, automatisé et packagé, le SOC du futur est prêt à répondre aux attentes d’un nombre croissant d’entreprises françaises, à mesure que leur niveau de maturité en termes de cybersécurité va progresser.
A l’image des grands opérateurs comme ici T-Systems, de plus en plus de MSSP proposent une offre SOC à leur catalogue ce qui rend ce marché de plus en plus compétitif.
Jean-Nicolas Piotrowski, PDG et fondateur d’ITrust
« 80 % des SOC ne détectent toujours pas les nouvelles attaques ! »
« Aujourd’hui, le marketing de tous les fournisseurs de SOC annonce faire du Machine Learning alors que très peu en font réellement. Seulement deux solutions ont détecté Petya et WannaCry : c’est iTrust et Kaspersky. Nous avons détecté ces attaques un jour avant qu’elles ne se déclenchent, ce que les solutions qui ne réalisent qu’une analyse statistique ont bien été incapable de faire. Le Machine Learning est un véritable changement de paradigme et c’est une technologie que nous développons depuis plus de 8 ans maintenant. Cela reste la vraie valeur ajoutée de notre offre. »
