RUBRIQUES
- Annuaires
- Comparer les prix
- Cours de Bourse
- Encyclopédie
- Fiches pratiques
- Guides d'achat
- Hotspot Wi-fi
- Lettres types
- Livres blancs
- Offres d'emploi
- Reprise d'entreprise
- Réseau professionnel
- Téléchargement
- Test ADSL
- Voeux professionnels
- RSS
- Newsletters
|
Questions &
Réponses
29/08/2007
SOC : pour une sécurité plus efficace
Qu'est-ce qu'un SOC ? Le Security Operating Center est un centre de supervision et d'administration de la sécurité. Le terme SOC désigne ainsi une plateforme dont la fonction est de fournir des services de détection des incidents de sécurité, mais aussi de fournir des services pour y répondre. Le centre de sécurité va ainsi collecter les événements (sous forme de logs notamment) remontés par les composants de sécurité, les analyser, détecter les anomalies et définir des réactions en cas d'émission d'alerte. Le développement des SOC s'explique notamment par une amélioration des débits et la maturité des outils d'acquisition et de stockage des logs. Le durcissement réglementaire, le besoin d'assurer la traçabilité et la maitrise de la sécurité du système d'information encouragent également la création de SOC (ou le recours à des prestataires disposant de tels centres). A quelles problématiques répond cette centralisation de la sécurité ? Un SOC est donc pour une entreprise la possibilité d'administrer la sécurité de son parc informatique à distance en collectant et corrélant les logs de ses différents équipements et applicatifs de sécurité (pare-feu, IDS/IPS, VPN, antivirus, etc.), ou réseau. La corrélation d'événements provenant de sources différentes et l'analyse en temps réel peuvent ainsi permettre une identification rapide des risques, notamment d'intrusion. Le SOC doit contribuer à réduire les risques et l'indisponibilité des composants critiques du système d'information, mais aussi à identifier les menaces, à les prévenir, à raccourcir les délais d'intervention ou encore à simplifier l'administration. Il reste néanmoins complexe de collecter et de corréler de très nombreux logs émis dans des formats divers pour n'identifier que les alertes pertinentes.
Quel est son lien avec un NOC ? Un NOC est un Network Operation Center. Si le SOC veille à la sécurité du réseau, le NOC lui se focalise sur le bon fonctionnement, la disponibilité de celui-ci. NOC et SOC peuvent être indépendants, toutefois une interaction bidirectionnelle entre les deux apparait de plus en plus nécessaire et source d'une efficacité accrue. En outre la sécurité et sa supervision passent déjà en partie par la collecte d'évenements liés au réseau (routeurs, système d'exploitation, etc). Un SOC est-il nécessairement interne à l'entreprise ? Non. Pour des raisons de coûts (humains, logiciels d'analyse et de corrélation, etc.) et de compétences, les entreprises font également appel à des prestataires spécialisés dans la supervision ou le management de la sécurité. Hébergeurs, fournisseurs de services en ASP, MSSP (Managed Security Services Provider) ou opérateurs de télécommunications peuvent ainsi prendre en charge l'infogérance de la sécurité. Le recours à un prestataire peut permettre de bénéficier d'un service 24/24 et 7 jours sur 7. Le firewall est le composant le plus souvent externalisé. Mais pour des motifs de performance, il peut être préférable d'étendre le périmètre de la prestation. Cependant celle-ci aurait inévitablement un coût supérieur. Quels MSSP proposent des services de sécurité en France ?
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||