Les SOC (Security Operation Center)

Les SOC (Security Operation Center), internes ou externalisés se concentrent sur la détection et la notification des incidents de sécurité. Les modalités de réponses aux incidents sont du ressort des équipes internes avec l’aide de services des CSIRT, par exemple pour les investigations numériques. Des bonnes pratiques issues des normes ISO 27035 ou du NIST SP 800-61 permettent de définir et de mettre en œuvre un processus efficace de détection et de réponse aux incidents de sécurité. Pour construire son SOC, on peut s’appuyer sur des référentiels comme le PDIS de l’ANSSI ou les bonnes pratiques publiées par l’ETSI.

 

Services d’un SOC

Les services d’un SOC se décomposent généralement en trois branches :

  • La collecte et le stockage des événements de sécurité.
  • L’identification et la qualification des incidents de sécurité sur la base des événements collectés. Le stockage et la capitalisation des incidents afin d'améliorer le service font partie de cette activité.
  • L’information (reporting) des parties prenantes sur les incidents de sécurité détectés.

Le diagramme ci-après (source PDIS – ANSSI) présente une architecture type des acticités d’un SOC pour la détection des incidents de sécurité.

SOC PDIS

Activités d’un SOC

Concernant la gestion des événements, il faut notamment :

  • Identifier les sources à superviser, issues des équipements de sécurité (firewalls, sondes de détection des intrusions, anti-virus, EDR, proxies…), réseaux (routeurs, commutateurs, serveurs DNS, load balancers…), systèmes (Active Directory, serveurs, hyperviseurs…), applications, postes de travail, smartphones (en utilisant les MDM – Mobile Devices Maangement).
  • Collecter les événements par un système de collecteurs avec une capacité de filtrage.
  • Disposer d’une vue centralisée des événements avec une capacité de recherche.

La gestion des incidents comprend :

  • La définition d’une liste des événements redoutés avec une approche par les risques.
  • La mise au point d’une liste de règles de détection basées sur les événements collectés qu’il faut améliorer au fil du temps en fonction des faux-positifs et des tests réalisés.
  • La création des tickets des incidents détectés.
  • L’analyse des événements a posteriori basée sur la recherche d’indices (empreintes de fichiers, adresses IP, noms de domaines, URL, champs de certificats…).

Enfin l’information des parties prenantes englobe plusieurs aspects importants dont :

  • Les modes disponibles (courriel, SMS, téléphone, chat…)
  • Les formats des tickets.
  • La centralisation des rapports.

Il est aussi fondamental que les systèmes d’information utilisés pour ces activités soient correctement segmentés et sécurisés.

Les ressources humaines

On doit distinguer clairement les analystes des administrateurs des plateformes.

Le niveau d’expertise des analystes est parfois classé en trois tiers ou niveaux :

  • Les analystes SOC de niveau 1 sont des spécialistes du triage qui surveillent, gèrent et configurent les outils de sécurité, examinent les incidents pour en évaluer l'urgence et les font remonter si nécessaire.
  • Les analystes SOC de niveau 2 sont des spécialistes de la réponse aux incidents, qui évaluent la portée d’une attaque et les systèmes affectés, et collectent des données pour une analyse plus approfondie.
  • Les analystes SOC de niveau 3 se concentrent sur l'analyse approfondie des données afin de comprendre ce qui se passe pendant et après les attaques. Ils ont une très bonne maitrise des techniques d’attaques.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

SOC, RéponseIncidents