Réussir son SOC (Security Operation Center) : un challenge technique et stratégique

Concevoir, intégrer, déployer et opérer un SOC nécessite des investissements : moyens techniques, ressources humaines, conduite du changement... Or, alors que les incidents de cybersécurité augmentent, les budgets consacrés à la Sécurité des Systèmes d’Information diminuent.

Les RSSI se retrouvent donc confrontés à un double challenge : mettre en place un SOC le plus efficace possible et emporter l’adhésion de la direction générale de l’entreprise afin d’obtenir les investissements nécessaires.

A quoi sert un SOC ? 

Un SOC constitue pour les équipes de sécurité ce qu’une tour de contrôle est au pilote d’avion : un système de détection, de prévention du risque, d’alerte et d’aide à la décision.
Il permet à l’entreprise de répondre à son objectif principal : garantir la continuité de ses activités métiers en s'adaptant au mieux et au plus vite aux contraintes et risques liés à l'hyperconnectivité.

De l’importance des référentiels

La bonne prise en compte des référentiels de l'entreprise (risques, menaces, impacts), des architectures (fonctionnelle, technique) permettent dans un premier temps de dessiner les contours des services à mettre en place et déterminer la portée du SOC.
  • Faut-il se doter d’un SOC au niveau groupe ?
  • Au niveau régional ?
  • Au niveau local ?
  • Quels seront les paramètres fonctionnels à couvrir (zones d’hébergement mobilité, applications métiers…) ?
L’ensemble de ces éléments permettront de préciser l’architecture technique du SOC : centrale, distribuée, volumétries, équipes…

Impliquer l’ensemble des parties prenantes


La mise en place d’un SOC est un projet stratégique qui impacte toute l’entreprise. Un projet SOC doit donc être avant tout un projet porté par la Direction Générale pour que la sécurité fasse partie de l'ADN de l'entreprise.
Mais c'est également un projet où toutes les parties prenantes (équipes opérationnelles, clients) doivent pouvoir être associées et informées au travers de Retex (méthodologie de retour d’expérience), de tableaux de bord métiers et d'informations issues de la veille cyber.

Répondre aux obligations légales (LPM 2014-2019)

Le SOC doit également pouvoir être utilisé pour répondre aux obligations imposées aux OIV (Opérateurs d’Importance Vitale) dans le cadre de la Loi de Programmation Militaire (LPM) 2014-2019, notamment en termes de notifications d’incidents. Cela implique la mise en œuvre d’un système de détection d’attaques informatiques et la notification des incidents de sécurité significatifs aux autorités compétentes.

Une stratégie de surveillance adaptée

La stratégie de surveillance permet de formaliser le fonctionnement du SOC afin d’en assurer la bonne gestion. Elle se base généralement sur un document définissant le périmètre, l’architecture, les processus de maintien et les différentes règles du SOC, sur une base de connaissances et sur le suivi du projet.
Si son premier objectif est de garantir la bonne surveillance du parc, elle constitue également un excellent moyen de s’assurer de l’efficacité du SOC et de piloter sa montée en puissance.
En bref : restez pragmatiques à tous les stades du projet !

Risques/Scénarii de menace

Qu’il s’agisse de l’analyse des risques ou de la sélection des scénarios de menaces, il est humainement impossible de tout couvrir. Il faut donc effectuer des choix :
  • Quels sont les risques acceptables pour mon entreprise ?
  • Quelles sont les 10 menaces contre lesquelles je veux absolument me prémunir ?
Politique de supervision
Ces choix stratégiques pourront ainsi être déclinés en une politique de supervision solide : éléments nécessaires pour détecter les scénarios de menace prédéfinis, référentiels pour formaliser la démarche, architecture à mettre en place, reporting…
N’oubliez pas de prévoir un reporting journalier spécifique pour votre DG ou DR, un point reporting de 5 minutes chrono tous les matins, par exemple.
Et pour vous préparer à la LPM 2014-2019, vous pouvez participer au site communautaire SECEF (SECurity Exchange Format) : www.secef.net

Implantation/Mise à jour

L’implantation couvre notamment la traduction des éléments SSI en technique et la mise en place des modèles d’organisation et de processus. Cette phase peut également permettre la sensibilisation de la hiérarchie : il suffit de prévoir une interface de démo dédiée, pour vendre le SOC en interne de la même manière qu’à un client.

Maintien en Condition de Sécurité  (MCS)

La phase de Maintien en Condition de Sécurité permet d’assurer que les performances de votre SOC restent optimales. Elle permet également d’analyser les impacts d’une attaque. Pour rassurer votre hiérarchie sur la fiabilité du SOC, pourquoi ne pas simuler une crise dont le DG serait directement la victime et lui démontrer concrètement l’efficacité de votre système ?

RSSI