Machine learning dans le management IT

Oracle Management Cloud

Qu’est-ce qu’un SOC (Security Operations Center) ?

De nombreuses entreprises s'appuient sur les Security Operations Centers -SOC- comme d’une ressource précieuse pour de détecter efficacement des incidents de sécurité. Mais qu’est-ce qu’un SOC ?


Qu’est-ce qu’un SOC (Security Operations Center) ?

Qu’est ce qu’un SOC ?

Le Security Operations Centers, SOC, désigne dans une entreprise l’équipe en charge d’assurer la sécurité de l’information. Leur objectif est de détecter, analyser et remédier aux incidents de cybersécurité à l’aide de solutions technologiques et d’un ensemble de démarches. Ils surveillent et analysent l'activité sur les réseaux, les serveurs, les terminaux, les bases de données, les applications, les sites Web et autres systèmes, à la recherche d'une activité anormale qui pourrait être le signe d'un incident ou d'un compromis en matière de sécurité. Le SOC doit veiller à ce que les incidents de sécurité potentiels soient correctement identifiés, analysés, défendus, enquêtés et signalés. Les SOC sont composés, en général, d’analystes et d’ingénieurs en sécurité, ainsi que de managers supervisant les opérations de sécurités. Les capacités supplémentaires de certains SOC peuvent inclure l'analyse médico-légale avancée, la cryptanalyse et l'ingénierie inverse des logiciels malveillants pour analyser les incidents. Les équipes SOC travaillent étroitement avec les équipes d’intervention afin de s’assurer que le problème de sécurité soit bien réglé une fois qu’il a été découvert.

Comment fonctionne un SOC ?

La première étape pour établir un SOC consiste à définir clairement une stratégie qui intègre les objectifs propres à l'entreprise de divers services. Une fois la stratégie élaborée, l'infrastructure nécessaire pour la soutenir est mise en place. L’infrastructure typique de SOC comprend des pare-feu, des IPS/IDS, des solutions de détection des brèches, des sondes et un système de gestion de l'information et des événements de sécurité (SIEM). La technologie devrait être en place pour recueillir les données par le biais des flux de données, de la télémétrie, de la capture de paquets, du syslog et d'autres méthodes afin que l'activité des données puisse être corrélée et analysée par les équipes SOC. Le centre des opérations de sécurité surveille également les réseaux et les points d'extrémité pour détecter les vulnérabilités afin de protéger les données sensibles et de se conformer aux règlements de l'industrie ou du gouvernement.

Pourquoi installer un SOC ?

L'avantage clé d'avoir un centre des opérations de sécurité est l'amélioration de la détection des incidents de sécurité par la surveillance continue et l'analyse de l'activité des données. Cependant, mettre en place un SOC et l’exploiter est compliqué et coûteux. Les entreprises en établissent pour plusieurs raisons, comme :

  • protéger des données sensibles
  • se conformer aux règles de l’industrie telles que PCI DSS
  • se conformer aux règles gouvernementales comme la SCEE GPG53

La surveillance 24h/24 et 7j/7 fournie par un SOC sur l’activité des données sur les réseaux, les points finaux, les serveurs et les bases de données d'une organisation donne aux entreprises un avantage pour se défendre contre les incidents et les intrusions, indépendamment de la source, de l'heure de la journée ou du type d'attaque. Avoir un centre des opérations de sécurité aide les entreprises à combler l'écart entre le temps que prend le hacker pour compromettre le système et le temps de détection de la menace, ainsi qu’à rester au fait des menaces qui pèsent sur leur environnement.

Devenez un Super Héros de l’IT
E-Book