Qu’est-ce qu’un centre d’opérations de sécurité (SOC) ?

Un centre d’opérations de sécurité (SOC) est une équipe d’experts en sécurité chargée de protéger l’infrastructure informatique, les applications et les données d’une entreprise contre les menaces de cybersécurité, notamment les ransomwares, en temps quasi réel. Exploiter un SOC est une bonne pratique qui s’inscrit dans le cadre d’une stratégie de cyber-résilience. Les équipes SOC peuvent être internes (généralement situées au sein de la fonction informatique) ou externalisées auprès d’un fournisseur de services tiers.

Quelle est la principale fonction d’un centre d’opérations de sécurité ?

Un SOC sert avant tout à se protéger contre les cyberattaques. Pour ce faire, les équipes SOC ont plusieurs tâches à accomplir :

• Surveiller en permanence et en temps réel l’infrastructure informatique — Les équipes SOC utilisent des systèmes et des processus manuels et automatisés pour surveiller l’activité dans l’environnement numérique.
• Identifier les véritables incidents de cybersécurité — Les équipes SOC reçoivent de nombreuses alertes, mais toutes ne signalent pas de véritables attaques. Les équipes SOC analysent les incidents potentiels afin d’éliminer les faux positifs.
• Trier les incidents — Lorsqu’un incident est confirmé, les professionnels du SOC le trient et le hiérarchisent afin de s’occuper en premier lieu des incidents les plus importants.
• Gérer les réponses — Les équipes SOC doivent organiser, coordonner et gérer les nombreuses parties prenantes impliquées dans le processus de réponse et de correction des menaces.
• Améliorer en permanence la cybersécurité — Une des principales responsabilités de l’équipe SOC est d’améliorer la stratégie de cybersécurité existante.
• Se tenir informé des menaces et des technologies — L’environnement des risques liés à la cybersécurité évolue en permanence, notamment les technologies utilisées pour attaquer et protéger les entreprises. Les équipes SOC doivent connaître les acteurs malveillants, les approches des menaces et les solutions et stratégies de correction, et rester à la pointe de l’actualité dans tous ces domaines.
• Maintenir la conformité — Les équipes SOC doivent connaître les normes, notamment l’ISO 27001, le Règlement général sur la protection des données (RGPD) et le cadre de cybersécurité du NIST, pour permettre à leurs entreprises de rationaliser leurs activités et de rester en conformité avec les directives gouvernementales et sectorielles.

Pourquoi les SOC sont-ils importants ?

Les stratégies de cybersécurité et de reprise après sinistre d’aujourd’hui doivent impérativement disposer d’un SOC fonctionnant 24 h/24, 7 j/7, 365 j/365, et ce pour de nombreuses raisons.

Les SOC surveillent en permanence les opérations, chaque minute de chaque jour, même en dehors des heures ouvrées, afin que l’infrastructure, les applications et les données soient toujours disponibles. Les réseaux d’entreprise sont de plus en plus complexes, si bien qu’il est plus difficile que jamais d’en avoir une visibilité complète. Les SOC doivent avoir une visibilité élevée depuis un emplacement centralisé pour pouvoir assurer la sécurité d’un réseau diversifié, qui comprend des ressources en local et dans le cloud, de l’Internet des objets (IoT) et des appareils distants et mobiles.

Les SOC peuvent également intervenir rapidement en cas d’incident. Ils raccourcissent le délai entre la détection de l’incident et son atténuation, et sont indispensables pour analyser les causes racines et empêcher que des attaques similaires ne se reproduisent. Les entreprises qui possèdent un SOC sont bien positionnées et ont l’agilité nécessaire pour atteindre leurs objectifs de point de restauration (RPO) et leurs objectifs de délai de restauration (RTO).

Comme il est impératif de collaborer à l’échelle de l’entreprise, les SOC sont parfaits pour rassembler les personnes, les processus et la technologie afin de collaborer efficacement en cas d’attaque par ransomware ou d’autre cyber-incident susceptible de menacer l’entreprise. Un SOC encourage un travail d’équipe qui améliore la restauration suite à une attaque par ransomware et réussit à supprimer les ransomwares. Les SOC, qui maîtrisent les opérations et les pratiques de sécurité des entreprises, permettent également de réduire les coûts d’une violation en termes d’exposition des données, de poursuites judiciaires ou d’atteinte à la réputation.

Qu’est-ce que le cadre du centre d’opérations de sécurité ?

Un cadre de SOC est un portefeuille d’outils et de directives opérationnels (qui englobent de la technologie, des bonnes pratiques et des processus organisationnels) dont l’équipe SOC se sert pour protéger l’entreprise contre les cyberattaques. Il présente l’architecture des systèmes et des services que l’équipe SOC doit utiliser pour accomplir ses tâches quotidiennes. Un cadre de SOC est généralement un mélange intégré de capacités numériques, humaines et organisationnelles. Par exemple, les professionnels du SOC peuvent appliquer les bonnes pratiques pour assurer la sécurité de l’infrastructure, des applications et des données grâce à des outils automatisés intégrant l’intelligence artificielle (IA) et le machine learning (ML).

Un cadre de SOC décrit généralement cinq activités :

1. Surveillance — C’est l’aspect le plus important d’un cadre de SOC. L’objectif de la surveillance est de suivre toutes les activités numériques de l’entreprise pour identifier si et quand une attaque pourrait être en cours. Cela signifie répondre aux alarmes et aux alertes provenant d’outils et de plateformes de surveillance automatisés, notamment les systèmes SOAR (Security Orchestration, Automation, and Response) et SIEM (Security Information and Event Management).
2. Analyse — L’étape suivante est l’analyse, qui consiste à examiner toutes les activités inhabituelles ou inattendues (généralement celles signalées par les alertes automatiques) afin de déterminer s’il y a effectivement une violation. Cette étape est essentielle en raison du volume d’alertes déclenchées et du nombre de fausses alertes positives.
3. Réponse — Vient ensuite la réponse à l’incident, c’est-à-dire hiérarchiser et gérer les incidents. Il ne s’agit pas seulement d’arrêter l’attaque en isolant les systèmes et en informant les personnes concernées, mais aussi de corriger la situation et d’analyser la cause racine afin de s’assurer que la vulnérabilité à l’origine de la violation a été éliminée.
4. Rapport — Les outils et processus à utiliser pour enregistrer et auditer les incidents de sécurité sont également un aspect important d’un cadre de SOC. Créer des rapports ou tirer des conclusions a posteriori permet de renforcer les défenses et la conformité dans le domaine de la cybersécurité.
5. Information et recherche sur les menaces — Même lorsqu’il ne répond pas activement aux attaques, le cadre de SOC prévoit de s’informer auprès des services de renseignements sur les menaces et d’essayer de découvrir des schémas dans les tentatives d’attaque. Cette approche proactive de la chasse aux menaces est essentielle car la nature des risques de cybersécurité ne cesse d’évoluer et les entreprises doivent rester vigilantes.

Quels sont les avantages et les inconvénients des SOC ?

L’avantage d’avoir un SOC (qu’il soit interne ou externe) est de pouvoir surveiller l’environnement, les applications et les données de l’entreprise afin de la protéger contre les vulnérabilités et les menaces. À long terme, les coûts et les désagréments liés à une cyberattaque sont tels qu’ils rendent le retour sur investissement (ROI) d’un SOC particulièrement intéressant.

Un SOC a également l’énorme avantage de coordonner l’ensemble des outils et pratiques de sécurité de l’entreprise, ainsi que les réponses aux incidents de cybersécurité. Un SOC peut en outre améliorer la confiance des clients, mais aussi simplifier et renforcer la conformité avec les réglementations sectorielles, nationales et mondiales.

L’inconvénient, c’est qu’il est difficile de recruter et de retenir du personnel expérimenté pour constituer une équipe SOC sur le marché du travail actuel. Autre problème : le coût de l’investissement initial dans les ressources humaines, les processus et la technologie est élevé.

Cohesity et les centres d’opérations de sécurité (SOC) automatisés

Cohesity permet à toutes les entreprises, peu importe leur taille ou leur secteur d’activité, de facilement mettre en place et automatiser un SOC. À une époque marquée par la prolifération des ransomwares, celles-ci peuvent ainsi mieux protéger leurs ressources numériques et leur environnement, mais aussi améliorer leur cyber-résilience.

La cyber-résilience dépend de la capacité du système traditionnel de cybersécurité à prévenir les incidents et de l’efficacité de la restauration. Une restauration réussie signifie que les entreprises restaurent sereinement leurs processus opérationnels et leurs données en quelques heures ou minutes au lieu de quelques jours.

La plateforme de sécurité et de gestion des données de Cohesity est dotée de contrôles de cybersécurité et est capable de détecter les anomalies de données, ce qui permet d’alerter rapidement les services concernés en cas d’attaque par ransomware. Cohesity Data Cloud exploite l’IA et le ML pour permettre aux entreprises d’identifier rapidement les attaques par ransomware et les sauvegardes immuables sur site et dans le cloud, et d’être capables de faire des restaurations massives pour remédier aux impacts le plus rapidement possible. Comme les ransomwares ciblent les données de production avec un chiffrement qui rend les données inutilisables, la détection d’anomalies de Cohesity fonctionne en arrière-plan pour repérer les changements dans les modèles de données et enrichir la visibilité du SOC sur les menaces actives de ransomwares avec des informations.

Cohesity s’associe également à des leaders de la sécurité des données pour permettre aux entreprises de corréler, trier, enquêter et répondre aux incidents de ransomware à partir d’un seul endroit. Les équipes peuvent ainsi identifier, étudier et corriger rapidement les attaques par ransomware, et restaurer automatiquement les données impactées. Grâce aux renseignements sur les menaces et aux intégrations SOC automatisées, les entreprises peuvent optimiser les contrôles et processus de sécurité existants pour améliorer la réponse aux incidents et la correction.