Présentation

Article

1 - DÉFINITIONS ET PÉRIMÈTRE D’INTERVENTION DU CENTRE DE SÉCURITÉ OPÉRATIONNELLE

2 - OBJECTIFS POURSUIVIS PAR LE SOC

3 - ACTEURS DU SOC

4 - INDICATEURS SUR LESQUELS S’APPUIE LE SOC

5 - DÉPLOIEMENT DU SOC, QUESTIONS CLÉS À SE POSER

  • 5.1 - Critères organisationnels, budgétaires, et de maturité de l’entreprise
  • 5.2 - Principe de proportionnalité dans le déploiement du SOC
  • 5.3 - Prérequis techniques et organisationnels avant de déployer la démarche de SOC
  • 5.4 - Cas de déploiement de Centres de Sécurité Opérationnelle

6 - MISE EN PRATIQUE DES ACTIONS DU SOC

7 - CONCLUSION : LE CENTRE DE SÉCURITÉ OPÉRATIONNELLE, COMME PROJET ET COMME PROCESSUS

8 - GLOSSAIRE

Article de référence | Réf : SE3014 v1

Objectifs poursuivis par le SOC
Centre de sécurité opérationnelle (SOC) - Définitions, objectifs et déploiement

Auteur(s) : Nicolas DUFOUR

Date de publication : 10 juin 2023

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

L’objet de cet article est de décrire la notion de centre de sécurité opérationnelle en explicitant à la fois les objectifs, le périmètre d’intervention mais aussi les acteurs internes et externes intervenant dans le cadre de ce dispositif utile pour la détection et la prévention des risques cyber. Via différents exemples illustratifs, cet article indique également quels sont les indicateurs suivis dans le cadre du retour au centre de sécurité opérationnelle. Enfin, l’article aborde les conditions de mise en œuvre du centre de sécurité opérationnelle et plusieurs exemples d’alertes remontées par ce type de dispositif.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Security Office Center : Definition, Objectives, Implementation

The purpose of this paper is to describe the concept of an operational security center by explaining both the objectives, the scope of intervention but also the internal and external actors involved in this useful device for the detection and prevention of cyber risks. By using various illustrative examples, this paper also gives information dealing with indicators monitored as part of the return to the operational security center. Finally, the paper addresses the implementation conditions of the operational security center and several examples of alerts reported by this type of device.

Auteur(s)

  • Nicolas DUFOUR : Docteur en gestion, professeur associé - CNAM Lirsa, Risk manager, Antony, France

INTRODUCTION

Le centre de sécurité opérationnelle ou Security Office Center (souvent appelé SOC) est un dispositif de maîtrise des risques, déployé dans les organisations publiques et privées soucieuses de s’appuyer sur des compétences organisationnelles, humaines et techniques, afin de garantir une capacité de détection préventive et réactive renforcée face aux risques cyber.

Le SOC peut être défini comme un dispositif avant tout organisationnel permettant à une organisation (entreprise, administration) de se doter d’une capacité de détection et d’investigation face aux incidents de sécurité auxquels elle peut être confrontée. Les SOC ont également comme enjeu d’anticiper différentes menaces externes, telles que des tentatives d’attaques informatiques, ou internes, telles que des fuites de données liées à la malveillance de collaborateurs, par exemple. L’enjeu du SOC est en outre de garantir une forte réactivité, en industrialisant la réponse aux incidents de sécurité, et en définissant les processus de réponse à ces derniers. Cela se traduit le plus souvent par un dispositif d’astreinte mis en œuvre 24 heures sur 24 et 7 jours sur 7.

Cette approche part de l’hypothèse que ces incidents peuvent survenir à tout moment, et plus particulièrement quand les équipes internes ne sont pas en zone de vigilance, ou qu’elles sont en effectifs restreints (nuits, week-ends).

L’augmentation des menaces cyber, envisagées désormais comme des risques à la fois de gravité (impacts critiques en cas d’attaque avérée) et de fréquence (les attaques deviennent quotidiennes, quels que soient les secteurs d’activité ou les tailles d’entreprises), rend de plus en plus indispensable pour une organisation de s’appuyer sur un centre de sécurité opérationnelle.

En outre, le centre de sécurité opérationnelle n’adresse pas un risque unique, telles les attaques par rançongiciels, mais bien un ensemble de scénarios de menaces et de vulnérabilités (attaque par déni de service, fraude externe, fraude interne), dans une logique de gestion globale des risques.

Le centre de sécurité opérationnelle est un dispositif de surveillance opérationnelle des consoles de sécurité de l’entreprise. Les équipes constituant le centre de sécurité opérationnelle (ingénieur de sécurité système, analystes d’investigation) disposent également de moyens d’intervention permettant de prendre les premières dispositions, dites d’urgence, en cas de suspicion d’incident. On parle alors de mesures conservatoires. Ces mesures d’urgence permettent de réduire, voire d’éviter, des situations de type attaques en cours, et ainsi d’en circonscrire les impacts. Elles ne se substituent pas à des décisions plus globales, telles que celles prises par une cellule de crise. Elles constituent toutefois un socle de base des mesures sur lesquelles s’appuyer en préalable à toute cellule de crise.

Même si les équipes d’un centre de sécurité opérationnelle ont les capacités techniques de mettre en œuvre certaines actions de remédiation, il revient aux décideurs internes de l’organisation client de définir les situations d’acceptation ou de refus du risque (avec mesures d’évitement, de transfert ou de traitement associé). Cela suppose d’avoir bien identifié les menaces, les vulnérabilités et les impacts potentiels sur l’activité de chacune des situations de risque, pour définir le champ de responsabilité du centre de sécurité opérationnel.

Tel est l’enjeu de cet article : définir les objectifs et contours du centre de sécurité opérationnelle (SOC) et illustrer les zones d’intervention d’un tel dispositif organisationnel, humain et technique.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

prevention   |   detection   |   cyber risk   |   Security Office Center

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-se3014


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais En anglais

2. Objectifs poursuivis par le SOC

Cette partie s’attache plus particulièrement à décrire les objectifs d’un dispositif SOC. Ceux-ci concernent à la fois la détection préventive des menaces mais aussi les actions de remédiation de type investigation en réponse à incident.

2.1 Objectif de détection préventive : la cybersurveillance (web et darkweb)

Le SOC est également un service s’appuyant sur des outils permettant de réaliser une veille web et darkweb pour le compte des organisations qui l’utilisent.

Ce service est généralement utilisé sur plusieurs besoins :

  • l’analyse en continu des tentatives d’intrusion sur des sites web d’une organisation (plateforme de vente de services et biens sur internet, plateforme espace clients, site commercial) (figure 2) ;

  • la veille réalisée vise également à s’assurer que des applications accessibles depuis internet ne fassent pas l’objet de tentatives d’intrusion (par exemple l’entreprise utilise un outil d’aide à la vente accessible depuis internet, ou un système d’information ressources humaines accessible depuis un portail de type Citrix) ; les tentatives d’intrusion suspecte sur ces portails et applications feront l’objet d’une vigilance prononcée en privilégiant là encore le caractère sensible des données associées (données personnelles clients et collaborateurs ; données commerciales et financières de l’entreprise) ;

  • la veille sur des faux sites web usurpant la marque d’une entreprise commerciale, par exemple en vue d’actionner les mesures pour les faire fermer ;

  • la veille en vue d’éviter les tentatives de création de site et tentatives de fraudes initiées depuis le darkweb sur des URL suspectes mais mentionnant la marque d’une entreprise.

Exemple

une URL suspecte où figurerait une page faisant référence à l’entreprise pourrait être du type http://qfrbz5vd32pdx2kdvp4ortjtst662edddfyidufuzwz7ozzoiykzryyd.onion/

Le SOC utilisera des logiciels de détection de mots clés, tels que les marques de l’entreprise souhaitant cette veille où les références aux produits et aux collaborateurs membres de la direction (en vue de détecter préventivement...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Objectifs poursuivis par le SOC
Sommaire
Sommaire

BIBLIOGRAPHIE

NORMES

  • Systèmes de management de la sécurité de l’information – Exigences. - ISO/IEC 27001 - 2022

  • Sécurité de l’information, cybersécurité et protection de la vie privée — Mesures de sécurité de l’information. - ISO/IEC 27002 - 2022

1 Réglementations

Décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d’information.

Décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale et pris pour l’application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du Code de la défense.

Directive NIS2 : Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2).

Directive NIS : Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.

Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

Règlement DORA : Règlement du Parlement Européen sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014.

RGPD : Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS