Réussir son SOC (Security Operation Center) : un challenge technique et stratégique
Concevoir, intégrer, déployer et opérer un SOC nécessite des investissements : moyens techniques, ressources humaines, conduite du changement... Or, alors que les incidents de cybersécurité augmentent, les budgets consacrés à la Sécurité des Systèmes d’Information diminuent.
Les RSSI se retrouvent donc confrontés à un double challenge : mettre en place un SOC le plus efficace possible et emporter l’adhésion de la direction générale de l’entreprise afin d’obtenir les investissements nécessaires.A quoi sert un SOC ?
Un SOC constitue pour les équipes de sécurité ce qu’une tour de contrôle est au pilote d’avion : un système de détection, de prévention du risque, d’alerte et d’aide à la décision.Il permet à l’entreprise de répondre à son objectif principal : garantir la continuité de ses activités métiers en s'adaptant au mieux et au plus vite aux contraintes et risques liés à l'hyperconnectivité.
De l’importance des référentiels
La bonne prise en compte des référentiels de l'entreprise (risques, menaces, impacts), des architectures (fonctionnelle, technique) permettent dans un premier temps de dessiner les contours des services à mettre en place et déterminer la portée du SOC.- Faut-il se doter d’un SOC au niveau groupe ?
- Au niveau régional ?
- Au niveau local ?
- Quels seront les paramètres fonctionnels à couvrir (zones d’hébergement mobilité, applications métiers…) ?
Impliquer l’ensemble des parties prenantes
La mise en place d’un SOC est un projet stratégique qui impacte toute l’entreprise. Un projet SOC doit donc être avant tout un projet porté par la Direction Générale pour que la sécurité fasse partie de l'ADN de l'entreprise.
Mais c'est également un projet où toutes les parties prenantes (équipes opérationnelles, clients) doivent pouvoir être associées et informées au travers de Retex (méthodologie de retour d’expérience), de tableaux de bord métiers et d'informations issues de la veille cyber.
Répondre aux obligations légales (LPM 2014-2019)
Le SOC doit également pouvoir être utilisé pour répondre aux obligations imposées aux OIV (Opérateurs d’Importance Vitale) dans le cadre de la Loi de Programmation Militaire (LPM) 2014-2019, notamment en termes de notifications d’incidents. Cela implique la mise en œuvre d’un système de détection d’attaques informatiques et la notification des incidents de sécurité significatifs aux autorités compétentes.Une stratégie de surveillance adaptée
La stratégie de surveillance permet de formaliser le fonctionnement du SOC afin d’en assurer la bonne gestion. Elle se base généralement sur un document définissant le périmètre, l’architecture, les processus de maintien et les différentes règles du SOC, sur une base de connaissances et sur le suivi du projet.Si son premier objectif est de garantir la bonne surveillance du parc, elle constitue également un excellent moyen de s’assurer de l’efficacité du SOC et de piloter sa montée en puissance.
En bref : restez pragmatiques à tous les stades du projet !
Risques/Scénarii de menace
Qu’il s’agisse de l’analyse des risques ou de la sélection des scénarios de menaces, il est humainement impossible de tout couvrir. Il faut donc effectuer des choix :- Quels sont les risques acceptables pour mon entreprise ?
- Quelles sont les 10 menaces contre lesquelles je veux absolument me prémunir ?
Ces choix stratégiques pourront ainsi être déclinés en une politique de supervision solide : éléments nécessaires pour détecter les scénarios de menace prédéfinis, référentiels pour formaliser la démarche, architecture à mettre en place, reporting…
N’oubliez pas de prévoir un reporting journalier spécifique pour votre DG ou DR, un point reporting de 5 minutes chrono tous les matins, par exemple.
Et pour vous préparer à la LPM 2014-2019, vous pouvez participer au site communautaire SECEF (SECurity Exchange Format) : www.secef.net