7 étapes pour créer un centre d'opérations de sécurité

Le volume des cyberattaques et le coût de la cybercriminalité continuent d'augmenter. L'incertitude du marché limite les budgets, y compris ceux consacrés à la cybersécurité. Les menaces continuent d'évoluer et d'accélérer leur rythme d'attaque.

Votre entreprise poursuit des objectifs de croissance et d'innovation. Elle adopte de plus en plus de technologies, se tourne davantage vers le cloud et embauche davantage de personnes travaillant à distance. Votre infrastructure critique s'étend, les points d'accès se multiplient et vous vous rendez compte que vous devez développer une pratique de sécurité plus formelle.

Votre équipe de direction demande des garanties de résilience face à toutes ces incertitudes. L'entreprise ne peut pas se permettre une attaque qui pourrait ternir sa réputation, causer des dommages financiers ou stopper la dynamique de lancement de nouveaux produits et de pénétration de trois nouveaux marchés cette année.

Vous évaluez vos conditions de sécurité actuelles :

• Votre organisation devient de plus en plus attrayante pour les cybermenaces. Le volume des attaques augmente, tout comme leur sophistication. Mais les silos de données limitent la visibilité et il est plus difficile de s'assurer que votre équipe détecte toutes les menaces.
• Les nouveaux produits et marchés s'accompagnent de nouvelles réglementations et de nouveaux mandats en matière de conformité. Il est impératif de faire preuve de diligence raisonnable pour atteindre et maintenir la conformité.
• Vous vous rendez compte que vous avez besoin de pratiques de sécurité sur mesure qui répondent aux besoins spécifiques de votre contexte commercial, ainsi que d'exigences de sécurité plus strictes.

Après avoir examiné ce qui se passe dans le monde à l'extérieur et à l'intérieur de votre entreprise, vous concluez que votre organisation a besoin d'un centre d'opérations de sécurité (SOC). Il est impératif d'améliorer la détection des menaces et de réduire la probabilité de violations de la sécurité.

Qu'est-ce qu'un centre d'opérations de sécurité ?

Un centre d'opérations de sécurité est une installation physique ou virtuelle conçue pour protéger une organisation contre les menaces de cybersécurité 24 heures sur 24 et 7 jours sur 7. L'objectif est d'exercer une vigilance sans faille sur l'infrastructure informatique d'une entreprise, notamment les réseaux, les serveurs, les terminaux, les bases de données, les applications et les environnements en nuage. Le résultat à atteindre est de protéger les actifs informationnels de l'entreprise contre l'accès, l'utilisation, la divulgation, l'altération ou la destruction non autorisés.

L'équipe SOC établit des règles et surveille en permanence les réseaux, les serveurs, les appareils, les systèmes d'exploitation, les applications et les bases de données pour détecter les signes d'anomalies et d'exceptions en matière de sécurité ou de nouvelles vulnérabilités. Elle recueille des données sur les menaces à partir de pare-feu, de systèmes de détection et de prévention des intrusions, de systèmes de détection et de réponse des points d'extrémité (EDR) et de systèmes de gestion des informations et des événements de sécurité (SIEM).

Lorsqu'un système détecte une activité suspecte ou une violation, il déclenche une alerte auprès de l'équipe SOC, qui enquête et réagit au fur et à mesure.

Comment construire un SOC en 7 étapes

Voici 7 étapes pratiques pour mettre en place un SOC pour votre entreprise :

Étape 1 : Élaborer une stratégie

La première étape consiste à clarifier les objectifs de l'entreprise pour la mise en place du SOC. Il s'agit notamment de déterminer quels sont les systèmes et les données les plus importants pour le bon fonctionnement de l'entreprise. Se contenter de créer un SOC pour améliorer son niveau de sécurité sans tenir compte des objectifs généraux de l'entreprise pourrait entraîner un désalignement, voire faire en sorte que le SOC passe à côté d'une menace majeure qui aboutirait à un cyberincident dévastateur.

L'étape suivante consiste à évaluer les capacités existantes du SOC de votre entreprise en termes de personnel, de processus et de technologie. Si vous partez de zéro, limitez la portée initiale de votre SOC aux fonctions essentielles (surveillance, détection, réponse et récupération). Retardez les fonctions plus avancées, telles que la gestion des vulnérabilités, jusqu'à ce que vos fonctions de base aient atteint un niveau de maturité suffisant.

Étape 2 : Conception de la solution

Lors de la conception de votre solution, commencez par sélectionner quelques cas d'utilisation critiques pour l'entreprise et définissez votre solution SOC initiale sur la base de ceux-ci, en gardant à l'esprit qu'elle devra évoluer pour répondre à des besoins futurs supplémentaires. En conservant une conception prudente de votre solution initiale dès les premières étapes, vous réduirez le temps nécessaire à sa mise en œuvre et à l'obtention de résultats.

Suivez les étapes suivantes pour achever le processus de conception :

• Définir les exigences fonctionnelles : Il s'agit notamment d'identifier les sources de données de journaux et d'événements à surveiller, les sources de renseignements sur les menaces et de déterminer les exigences en matière de performances, par exemple les temps de réponse.
• Choisissez votre modèle de SOC : Votre stratégie et vos exigences fonctionnelles déterminent votre modèle de SOC. Vous devrez alors prendre des décisions concernant les heures de fonctionnement et les équipes, ainsi que les rôles à pourvoir en interne ou à externaliser.
• Concevez votre architecture technique: Il s'agit de spécifier la composition et la configuration des composants de votre solution, y compris la plateforme SIEM. Vous devrez également préciser quels systèmes d'entreprise et d'information doivent être intégrés à votre plateforme SIEM. D'autres actions incluent la définition des flux de travail pour les événements et les incidents, afin qu'ils s'alignent sur les processus que votre organisation a déjà mis en place. Enfin, vous devrez décider dans quelle mesure intégrer l'automatisation dans votre solution afin d'obtenir une visibilité optimale du paysage des menaces et de contrecarrer les attaques le plus tôt possible dans leur cycle de vie.

Étape 3 : Élaborer des processus, des procédures et des formations

Si vous élaborez une solution partiellement externalisée, il est essentiel de travailler avec votre fournisseur de services de sécurité gérés (MSSP) pour garantir un accord mutuel sur les processus, les procédures et la formation.

Étape 4 : Préparer l'environnement

Avant de déployer votre SOC, vérifiez que tous les composants sont adaptés et garantissent un environnement sécurisé. Vous devez notamment protéger les appareils de votre personnel SOC et vous assurer que des mécanismes robustes de gestion des accès et d'authentification sont en place.

Étape 5 : Mise en œuvre de la solution

Suivez les étapes suivantes pour le déploiement initial de votre SOC :

• Mettre en place l'infrastructure de gestion des logs.
• Intégrer la collecte minimale de sources de données critiques.
• Activer les capacités d'analyse, d'automatisation et d'orchestration de la sécurité.
• Commencez à déployer quelques cas d'utilisation axés sur la détection et la réponse aux menaces de bout en bout.
• Intégrer les flux de renseignements sur les menaces et d'autres sources de renseignements en tant qu'entrées automatisées afin d'améliorer la précision de la détection.

Étape 6 : Déployer des cas d'utilisation de bout en bout

Maintenant que vous avez déployé les capacités de base de votre SOC, vous pouvez commencer à mettre en œuvre des cas d'utilisation à travers les niveaux d'analyse, d'automatisation de la sécurité et d'orchestration. Il peut s'agir de détecter des informations d'identification compromises ou des campagnes de spear phishing réussies.

Étape 7 : Maintenir et améliorer votre solution

Une fois que votre SOC est en production, il aura besoin d'une maintenance continue, comme des mises à jour des paramètres de configuration et des ajustements pour améliorer la précision de la détection. À terme, vous pourrez envisager d'ajouter d'autres systèmes, soit en entrée, soit en sortie, afin de faire progresser votre maturité en matière de sécurité.

En conclusion

La mise en place d'un centre d'opérations de sécurité comporte de nombreux éléments mobiles, mais le fait de les envisager par étapes rend le défi réalisable.