Un
commentaire de Romain Vergniol, Directeur Cybersécurité - Groupe Cegedim
Le sujet de la
protection de ses infrastructures IT n’a jamais été aussi important. Avec la
multiplication du nombre d’attaques qui affectent les entreprises et structures
publiques, ces dernières doivent repenser en profondeur leurs mécanismes de
cyberdéfense et se doter de nouvelles approches. Sur ce point, de nombreux
paramètres sont à prendre en compte, comme un audit par exemple, mais un sujet
est aujourd’hui stratégique : le recours au SOC.
Mais qu’est-ce que le
SOC ?
Le SOC est un
dispositif de nouvelle génération qui combine un ensemble de technologies cyber
complémentaires et une équipe d’analystes qui vont surveiller en continu le SI
(EDR, NDR, firewall, analyse des logs des annuaires, des applications, etc.).
Cette approche qui combine de nombreuses expertises à très forte valeur ajoutée
se positionne alors comme un réel must have pour les organisations.
Mettre en œuvre
efficacement son projet
La première chose
importante consiste à bien identifier le périmètre que doit couvrir le SOC et à
mettre en place un dispositif de collecte des informations. Il est aussi
nécessaire de définir des stratégies de détection en fonction de son contexte
et du type de risque auquel on peut être exposé. Une fois ces éléments pris en
compte, il est alors possible de lancer le projet et de s’appuyer sur une
équipe dédiée qui connaitra parfaitement l’environnement à surveiller et ses
spécificités.
Une réponse adaptée à
tous les types de structures
Fort de ces éléments,
on comprend parfaitement que le SOC est un véritable allié pour les entreprises
et structures publiques de toutes tailles. En effet, il leur sera alors
possible de bénéficier d’un véritable arsenal de protection performant.
Externaliser son SOC est aussi une solution pour les petites et moyennes
structures qui n’ont pas les moyens de se doter en interne de tels dispositifs
(coût des technologies, recrutement des équipes, mise en place d’astreintes
24h/24 et 7j/7).
Montée en maturité
Dans les premières
phases de déploiement, le SOC se concentre sur la surveillance des couches
d’infrastructure avec des règles de détection relativement génériques qui
couvrent les menaces les plus courantes, mais il prend toute sa valeur quand
les scenarios de risque métier et applicatif spécifiques y sont intégrés
(analyse comportementale, fraude…). Les principaux indicateurs de performance
d’un SOC à surveiller sont les délais de prise en compte des alertes (MTTD :
Mean Time to Detect) et leur temps de traitement (MTTR : Mean Time to
Remediate).
Au regard de ces éléments, il apparait donc que le SOC est un véritable allié pour les entreprises en leur offrant une vue en temps réel à 360° sur leur SI et de mettre en œuvre rapidement des actions de remédiations pour bénéficier d’une infrastructure toujours disponible, performante et intégrant le meilleur de l’état de l’art en termes de cyberprotection.