SOC : quand les tâches fastidieuses sabotent la sécurité

Kirsty Paine
Splunk

Les SOC gagnent en efficacité en automatisant les tâches répétitives, en priorisant les alertes importantes et en valorisant la qualité plutôt que la quantité.

Dans les centres des opérations de sécurité (SOC), la rapidité est synonyme de survie. Pourtant, les tâches fastidieuses font toujours perdre un temps précieux aux analystes de sécurité, qui se retrouvent généralement cantonnés à la gestion de données. Par ailleurs, certains SOC favorisent une culture privilégiant la gestion des tâches à faible valeur ajoutée et une gratification immédiate, au lieu de se focaliser sur les priorités ayant un impact sur la posture de sécurité de l’entreprise.

Si une partie du problème est d’ordre culturel, l’autre est d’ordre organisationnel : ces tâches accaparent le temps des experts déjà sollicités, les empêchant de conduire des enquêtes et de lutter efficacement contre les menaces. 

Pourquoi les SOC perdent-ils en rapidité et en efficacité ?

Intégrer des données dans un format utilisable dans un SIEM peut prendre beaucoup de temps. Le formatage et la normalisation manuels des données ne se limitent pas à l’analyse des journaux : ils incluent aussi la demande de données auprès d’autres équipes, l’extraction manuelle des champs et les tests effectués sur plusieurs types de journaux.  Cette étape d’intégration est essentielle afin de pouvoir accéder facilement aux données lorsqu’une menace doit être contrée au plus vite. Elle peut néanmoins être optimisée en utilisant des fonctionnalités et des outils prêts à l’emploi qui améliorent le partage des données entre les équipes et hiérarchisent les informations afin de libérer du temps pour des tâches à forte valeur ajoutée.

La maintenance des outils constitue un autre obstacle majeur. Certaines tâches préservent les fonctionnalités de base, comme l’application des mises à jour, la réinitialisation des instances défaillantes ou la suppression des détections bruyantes. Tandis que d’autres renforcent la résilience, comme la création de nouveaux guides pratiques, l’exploitation des packs de contenu ou le perfectionnement des détections. Avec l’évolution des outils, la charge de maintenance a fortement augmenté, notamment à cause des nouvelles fonctionnalités, des options d’hébergement (SaaS) et de contenus prêts à l’emploi proposés par les fournisseurs. Il est donc primordial pour les entreprises de se tenir informées des offres disponibles, de s’appuyer sur des contrats d’accord de niveau de service (SLA) pour optimiser les ressources et d’adopter des stratégies comme la détection-as-Code (DaC) pour gagner en efficacité et en évolutivité. 

Enfin, si les alertes sont vitales pour le SOC, leur volume et leur mauvaise qualité peuvent l’étouffer. Les faux positifs font perdre du temps, augmentent la charge mentale et nuisent à la concentration. En conséquence, les équipes peinent à traiter les priorités et finissent souvent par ignorer certaines alertes. Ainsi, il est primordial de créer un poste ou un rôle dédié au réglage des détections, en formant des analystes à leur amélioration et/ou leur validation en facilitant le partage d’expérience avec les responsables de l’ingénierie de la détection.

Instaurer une culture qui privilégie autant qualité que la quantité

Au-delà des problèmes d’inefficacité, les SOC peuvent également s’attaquer aux problèmes culturels et organisationnels. Après une période d’absence, de nombreux salariés reprennent, par réflexe, des tâches « simples » qui procurent une satisfaction immédiate, mais ne sont pas efficaces à long terme. 

Cette mentalité a besoin d’évoluer et pour cela, il est nécessaire de repenser les mesures incitatives, car être très occupé ne signifie pas forcément être productif ni réduire les risques. Ainsi, les critères de performance au sein du SOC ont besoin d’être revus pour réévaluer les initiatives stratégiques. Avec l’évolution rapide des technologies, certains programmes anciens peuvent devenir obsolètes. Il est nécessaire que les SOC s’assurent que chaque membre comprend les services et les processus critiques pour identifier les actifs les plus précieux et renforcer la résilience numérique globale.

Des mesures comme le MTTD (temps moyen pour détecter un problème) ou le MTTR (temps moyen pour y répondre) sont utiles, mais elles peuvent pousser les analystes à clôturer rapidement des tickets, au détriment de la qualité et de la résilience. A contrario, mettre en valeur les résultats concrets est davantage valorisant et cela peut se faire via de nouveaux processus, des guides d’automatisation, l’amélioration des systèmes de détection ou encore des bilans post-mortem.

En redéfinissant les priorités, en adoptant une automatisation réfléchie et en repensant la notion de réussite, les RSSI et autres responsables de la sécurité peuvent ainsi instaurer une culture qui permet aux équipes de concentrer leurs efforts sur les mesures qui renforcent véritablement la sécurité tout en réduisant les risques d’épuisement professionnel.