Secu

SPECIAL FIC : 6 actions pour résister aux cybermenaces de 2030

Par La rédaction, publié le 28 mars 2023

Se reposer sur un SOC… externalisé

Un SOC interne reste un luxe que seules les grandes entreprises peuvent se payer. Ainsi, lorsqu’il est question de SOC et de SIEM, neuf entreprises sur dix optent pour l’externalisation, en recourant à des services devenant de plus en plus accessibles.

Le SOC est le centre opérationnel de cybersécurité du système d’information. Son rôle est de collecter et d’analyser les données du SI pour détecter tout comportement anormal pouvant être lié, notamment, à une attaque informatique. Il s’appuie en général sur un SIEM (Security Information Event Management) pour assurer la surveillance du SI.

Un SOC informatique peut aussi prendre en charge d’autres tâches : audits de sécurité ou de conformité, remédiation suite à incident, conseil, etc. Bref, c’est un opérationnel de la sécurité. « Au sein de notre SOC, le SIEM ne représente que 30 % à 50 % de nos activités quotidiennes », confirme Manuel Faussat, pilote opérationnel du SOC du spécialiste de l’hébergement et de l’infogérance.

Fin 2020, Sigma a décidé de s’équiper d’un SIEM (IBM QRadar on Cloud). « Au départ, nous souhaitions utiliser ce SIEM pour surveiller nos infrastructures internes. Mais rapidement, nous en avons fait profiter nos clients au travers d’une offre de SOC as a Service. Un acteur du secteur du retail nous a demandé de faire un POC à échelle réelle sur cinq de ses magasins. Aujourd’hui, nous avons déployé notre SIEM sur 180 magasins. » Le SOC de Sigma compte actuellement une douzaine de personnes, dont plusieurs sont dédiées à la gestion du SIEM.

Pourquoi un client de cette envergure a-t-il opté pour un SOC externalisé ? « La première raison invoquée par les entreprises est le coût. Un SOC est un service qui doit fonctionner en 24/7, avec des analystes de niveaux 1 et 2, ainsi que des experts de niveau 3. Je vois mal un SOC fonctionner correctement avec moins de sept personnes. Sans compter le coût du SIEM… »

Une expertise longue à forger

La seconde difficulté est la rareté des experts en sécurité capables de rejoindre un SOC et de s’occuper d’un SIEM. Des collaborateurs qu’il sera difficile de recruter… comme de les conserver.

Troisième écueil : le temps nécessaire pour monter en compétence sur un SIEM. « Il faut environ quatre années pour arriver à maturité sur l’utilisation d’un SIEM, confirme Manuel Faussat. Chez Sigma, nous avons atteint une maturité suffisante pour couvrir l’ensemble des besoins de nos clients. Nous travaillons aujourd’hui au déploiement de nouvelles fonctionnalités qui nous permettront d’accéder à des informations supplémentaires sur les SI que nous supervisons. Nous sommes également dans une phase de mise à jour de nos règles. Les règles d’un SIEM changent en permanence, au fil de l’évolution des problématiques de sécurité. De nouvelles attaques apparaissent, d’autres s’atténuent, d’autres réapparaissent… Il faut savoir faire vivre son corpus de règles. C’est un travail qui ne s’arrête jamais. »

Il est à noter qu’un SOC peut s’appuyer sur des solutions comme le framework MITR ATT&ACK, qui décrit des techniques de défense et facilite la création de règles adaptées au SIEM. Autre technologie à prendre en considération, le format STIX (Structured Threat Information Expression) permet d’échanger des informations de sécurité dans un format directement utilisable par le SIEM. Reste la question clé : ai-je besoin d’un SOC et d’un SIEM ? « Dès que l’entreprise met en place un système d’information hybride, mêlant des ressources locales et cloud, le SIEM me paraît indispensable », analyse Manuel Faussat. Et cela n’est pas forcément inabordable. Si le périmètre et la complexité du SI à superviser restent raisonnables, un SIEM externalisé peut revenir moins cher que le coût mensuel d’un seul expert en cybersécurité. De quoi adresser un marché allant au-delà des seuls grands comptes. DAVID FEUGEY