Un centre d'opérations de sécurité (SOC) aide les organisations à éviter les attaques en identifiant les menaces, en enquêtant sur elles et en y remédiant.
Cet article s'articule autour des points suivants :
Contenu associé
Sécurité des points de terminaison
Informations sur les menaces
Vecteur d'attaque
Sécurité des réseaux
Confidentialité des données
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Un centre d'opérations de sécurité (SOC), également appelé centre d'opérations de sécurité de l'information (ISOC), est une installation dédiée dans laquelle les professionnels de la sécurité surveillent, analysent et atténuent les cybermenaces potentielles. Les organisations modernes étant par nature vastement distribuée, le terme "SOC" est souvent utilisé pour décrire l'équipe d'ingénieurs et d'analystes en sécurité qui remplit ces fonctions.
Bien que l'architecture d'un SOC varie d'une organisation à l'autre, il remplit plusieurs fonctions essentielles :
En règle générale, une organisation dépend d'un seul SOC interne pour la gestion des menaces et les mesures correctives, mais les grandes entreprises peuvent maintenir plusieurs SOC dans différents pays (parfois appelés global security operations center, ou GSOC) ou choisir d'employer un groupe tiers d'analystes et d'ingénieurs en sécurité.
Un SOC peut être configuré de différentes manières et est susceptible d'évoluer en fonction des besoins et des capacités d'une organisation. En règle générale, ses responsabilités se répartissent en trois catégories :
Inventaire des ressources : afin de protéger l'entreprise contre les menaces et de détecter les lacunes en matière de sécurité, le SOC doit disposer d'une visibilité totale sur ses systèmes, ses applications et ses données, ainsi que sur les outils de sécurité qui les protègent. Un outil de recherche de ressources peut être utilisé pour procéder à l'inventaire.
Évaluation de la vulnérabilité : Afin de mieux évaluer l'impact potentiel d'une attaque, un SOC doit effectuer des tests réguliers sur les matériels et les logiciels de l'organisation. Les résultats peuvent ensuite être utilisés pour mettre à jour les politiques de sécurité existantes ou pour élaborer un plan de réponse aux incidents. De cette manière, le SOC peut maintenir une compréhension complète de l'état de la sécurité de l'organisation et être mieux préparé à faire face aux menaces émergentes.
Maintenance préventive : Une fois que le SOC a identifié les vulnérabilités de l'infrastructure de l'organisation, il peut mettre en place des mesures pour renforcer son dispositif de sécurité.Il est possible de renforcer le dispositif de sécurité en mettant à jour les pare-feu, en maintenant les listes d'autorisations et de blocages à jour, en corrigeant les logiciels et en affinant les protocoles et les procédures de sécurité.
Collecte et analyse des journaux : Un SOC collecte les données des journaux générés par les événements survenant sur le réseau d'une organisation, tels que les événements documentés par les pare-feu, les systèmes de prévention et de détection des intrusions, etc.Selon la taille et la complexité de l'infrastructure de l'organisation, la collecte des données de journal peut être une tâche exigeante en termes de ressources, ce qui peut nécessiter l'utilisation d'outils automatisés pour la faciliter.
Surveillance des menaces : Un SOC utilise les données des journaux pour créer des alertes en cas d'activité suspecte et d'autres indicateurs de compromission (IOC). Les IOC sont des anomalies dans les données - irrégularités du trafic réseau, modifications inattendues des fichiers système, utilisation non autorisée d'applications, requêtes DNS étranges ou autre comportement - qui indiquent qu'une violation ou un autre événement malveillant est susceptible de se produire.
Gestion des informations et des événements de sécurité (SIEM) : Un SOC travaille souvent avec une solution SIEM pour automatiser la protection contre les menaces et les mesures correctives. Les fonctionnalités courantes d'un SIEM sont les suivantes
Réponse aux incidents et remédiation : Lorsqu'une attaque se produit, un SOC prend souvent plusieurs mesures pour limiter les dégâts et restaurer les systèmes touchés. Des actions concrètes peuvent être entreprises pour remédier à une attaque, telles que l'isolement des appareils infectés, la suppression des fichiers compromis, l'exécution d'un logiciel anti-malware et la réalisation d'une enquête sur les causes sous-jacentes.Les SOC peuvent utiliser ces résultats pour améliorer les politiques de sécurité existantes.
Rapports de conformité : Après une attaque, un SOC aide les organisations à rester en conformité avec les réglementations sur la confidentialité des données (par exemple, le GDPR) en notifiant aux autorités compétentes le volume et le type de données protégées qui ont été compromises.
Lors de la création d'un SOC, les organisations ont plusieurs options. Les catégories les plus courantes de SOC sont les suivantes :
Un centre d'opérations réseau, ou NOC, supervise l'activité du réseau et les menaces qui pèsent sur lui. L'équipe NOC est responsable de la surveillance de la santé du réseau d'une organisation, de la prévention et de l'anticipation des pannes, de la défense contre les attaques et de la réalisation de contrôles de maintenance réguliers pour les divers systèmes et logiciels en place.
Contrairement à un SOC, qui suit et atténue les activités malveillantes dans l'ensemble de l'infrastructure d'une organisation, un NOC se concentre exclusivement sur , la sécurité du réseau et les performances.
Le Cloudflare Security Operations Center-as-a-Service combine des fonctions de détection et de surveillance avec des technologies de sécurité clés, telles qu'un web application firewall (WAF), bot management solution, et DDoS attack prevention. Cloudflare permet aux entreprises de déléguer leurs responsabilités SOC, tout en maintenant une visibilité complète sur leur infrastructure, en suivant et en atténuant les menaces entrantes, et en réduisant les coûts globaux de sécurité.
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité