La mise en place du SOC ou Security Operation Center implique d’importants investissements techniques et humains. Peu d’entreprises y consentent malgré la hausse des risques de cyberattaques.
Que faut-il savoir avant de déployer un SOC ?
Le SOC désigne l’outil de veille et prévention des risques en entreprise. Détection, prévention et aide à la décision en cas de piratage informatique constituent ses principaux usages. Il répond aux objectifs professionnels à savoir : préserver les activités en s’adaptant rapidement et efficacement aux contraintes relatives à l’hyperconnectivité. Avant de déployer le SOC, il est important d’identifier les référentiels de l’entreprise ainsi que les architectures visant à établir le profil des solutions à mettre en place. Risques, impacts, menaces, utilités et contraintes techniques sont à prendre en compte : où doit-on installer le SOC et quelles sont les fonctionnalités à couvrir ? Il sera de cette manière plus facile d’établir son architecture technique.
En outre, l’initiation d’un projet SOC revient à la Direction générale sachant qu’il s’agit d’un projet stratégique devant être appliqué à toute l’entreprise. Il faut néanmoins savoir que chaque département doit prendre part à sa mise en œuvre à travers les retours d’expérience, les tableaux de bord métiers ou les informations provenant de la veille informatique. À noter également que l’utilisation du Security Operation Center doit répondre aux exigences de la Loi de programmation militaire LPM 2014-2019 imposée aux Opérateurs d’importance vitale. Il s’agit de mettre en œuvre un dispositif de détection d’attaques informatiques, mais surtout de notifier les incidents de sécurité aux autorités compétentes.
Quelle stratégie de surveillance adopter ?
La bonne gestion du SOC est formalisée par la stratégie de surveillance définissant son fonctionnement. Celle-ci repose sur un document qui établit le périmètre de l’outil, son architecture, ses processus de maintien ainsi que ses différentes règles en fonction de connaissances et d’un suivi du projet. Initialement prévue pour assurer la protection du parc informatique, la stratégie de surveillance peut donc servir à gérer le SOC et piloter son évolution. Par ailleurs, il est important d’identifier les niveaux de risques ainsi que les menaces à combattre sachant qu’il est impossible de couvrir toutes les activités de l’entreprise. Il sera alors possible d’aboutir à une politique de supervision probante définissant les référentiels utilisés pour formaliser la démarche, le type d’architecture à installer ou le reporting.
Quant aux autres aspects du SOC, il faut savoir que son implantation se résume à traduire les éléments SSI en technique et mettre en place des modèles de processus et d’organisation. La sensibilisation de la direction peut se faire à ce stade à l’aide d’une séance de présentation en interne. Enfin, il ne faut pas oublier la phase de MCS ou Maintien en condition de sécurité qui garantit les performances optimales du Security Operation Center. Elle se présente comme un moyen particulièrement efficace pour analyser les impacts d’une cyberattaque. Certains scénarios peuvent même être imaginés pour tester sa fiabilité et, de la même manière, rassurer l’ensemble du personnel et de la hiérarchie quant à l’efficacité du dispositif.
1 comments