Le sujet de la protection de ses infrastructures IT n’a jamais été aussi important. Avec la multiplication du nombre d’attaques qui affectent les entreprises et structures publiques, ces dernières doivent repenser en profondeur leurs mécanismes de cyberdéfense et se doter de nouvelles approches. Sur ce point, de nombreux paramètres sont à prendre en compte, comme un audit par exemple, mais un sujet est aujourd’hui stratégique : le recours au SOC.
Mais qu’est-ce que le SOC ?
Le SOC est un dispositif de nouvelle génération qui combine un ensemble de technologies cyber complémentaires et une équipe d’analystes qui vont surveiller en continu le SI (EDR, NDR, firewall, analyse des logs des annuaires, des applications, etc.). Cette approche qui combine de nombreuses expertises à très forte valeur ajoutée se positionne alors comme un réel must have pour les organisations.
Mettre en œuvre efficacement son projet
La première chose importante consiste à bien identifier le périmètre que doit couvrir le SOC et à mettre en place un dispositif de collecte des informations. Il est aussi nécessaire de définir des stratégies de détection en fonction de son contexte et du type de risque auquel on peut être exposé. Une fois ces éléments pris en compte, il est alors possible de lancer le projet et de s’appuyer sur une équipe dédiée qui connaitra parfaitement l’environnement à surveiller et ses spécificités.
Une réponse adaptée à tous les types de structures
Fort de ces éléments, on comprend parfaitement que le SOC est un véritable allié pour les entreprises et structures publiques de toutes tailles. En effet, il leur sera alors possible de bénéficier d’un véritable arsenal de protection performant. Externaliser son SOC est aussi une solution pour les petites et moyennes structures qui n’ont pas les moyens de se doter en interne de tels dispositifs (coût des technologies, recrutement des équipes, mise en place d’astreintes 24h/24 et 7j/7).
Montée en maturité
Dans les premières phases de déploiement, le SOC se concentre sur la surveillance des couches d’infrastructure avec des règles de détection relativement génériques qui couvrent les menaces les plus courantes, mais il prend toute sa valeur quand les scenarios de risque métier et applicatif spécifiques y sont intégrés (analyse comportementale, fraude…). Les principaux indicateurs de performance d’un SOC à surveiller sont les délais de prise en compte des alertes (MTTD : Mean Time to Detect) et leur temps de traitement (MTTR : Mean Time to Remediate).
Au regard de ces éléments, il apparait donc que le SOC est un véritable allié pour les entreprises en leur offrant une vue en temps réel à 360° sur leur SI et de mettre en œuvre rapidement des actions de remédiations pour bénéficier d’une infrastructure toujours disponible, performante et intégrant le meilleur de l’état de l’art en termes de cyberprotection.
Romain VERGNIOL Directeur Cybersécurité – Groupe Cegedim
