Une fois que vous avez mis en place votre centre d'opérations de sécurité (SOC), le défi consiste à l'améliorer de manière itérative afin de rester en tête du paysage des cybermenaces en constante évolution. Plusieurs stratégies peuvent vous aider, notamment celles qui se concentrent sur les cadres sectoriels, les technologies et le personnel.
Chaque SOC a besoin de politiques et de procédures de sécurité formelles qui doivent être rédigées, appliquées et régulièrement révisées. Il n'est pas nécessaire de partir de zéro. Vous pouvez utiliser le cadre du centre d'opérations de sécurité (CSF) du NIST et la base de connaissances ATT&CK de MITRE. Le NIST affine et met à jour ces normes en permanence, tandis que vos pairs dans l'industrie explorent de nouveaux cas d'utilisation.
Le NIST a introduit le CSF 2.0 en février 2024. Cette dernière version élargit son champ d'application au-delà des infrastructures critiques pour s'appliquer à toutes les organisations, quels que soient leur taille, leur secteur ou leur complexité. Le changement le plus important est l'introduction d'une nouvelle fonction essentielle, Govern, qui élève la cybersécurité au rang de préoccupation majeure en matière de gestion des risques au niveau de l'entreprise.
Les fonctions essentielles passent ainsi de cinq à six, à savoir Gouverner, Identifier, Protéger, Détecter, Répondre et Récupérer.
La fonction Gouverner se concentre sur la manière dont une organisation prend et exécute ses propres décisions pour soutenir sa stratégie de cybersécurité. Elle souligne que la cybersécurité est une source majeure de risque pour l'entreprise, au même titre que les risques financiers et de réputation. Le contexte organisationnel, la stratégie de gestion des risques et la gestion des risques liés à la chaîne d'approvisionnement en cybersécurité sont des domaines clés de la gouvernance.
Le CSF 2.0 met également davantage l'accent sur l'amélioration continue des pratiques de cybersécurité dans le cadre de la fonction "Govern". Enfin, la structure révisée des catégories et sous-catégories de toutes les fonctions est plus claire et permet une mise en œuvre logique et efficace.
Depuis sa création en 2013, les professionnels des opérations de sécurité se sont appuyés sur le cadre ATT&CK de MITRE en tant qu'architecture de référence. Cette base de connaissances est un outil puissant pour tous ceux qui cherchent à mieux comprendre les tactiques et les techniques des adversaires en se basant sur des observations du monde réel.
Le cadre ATT&CK® de MITRE, ressource essentielle pour les professionnels de la cybersécurité, a connu une évolution significative au cours de l'année écoulée, l'accent étant mis sur l'extension de la couverture des environnements virtualisés et des services en nuage, ainsi que sur l'amélioration des outils défensifs.
Tout comme le CSF du NIST, MITRE ATT&CK est un cadre vivant. Les équipes de sécurité d'aujourd'hui s'appuient sur cette base en expérimentant de nouveaux cas d'utilisation pour en tirer encore plus d'avantages.
Les dernières améliorations apportées à MITRE ATT&CK sont les suivantes :
Examinons maintenant l'aspect technologique du SOC de nouvelle génération.
Les trois technologies clés d'un SOC classique sont associées aux éléments suivants :
Malgré l'évolution des cybertechnologies, notamment la détection et la réponse aux points d'extrémité (EDR) et la gestion des incidents de sécurité (SIEM), l'absence d'intégration transparente des données entre ces outils crée des silos de données. Ces silos gênent les analystes de la sécurité qui doivent maintenant corréler manuellement les données pour évaluer les menaces. Il est donc difficile d'obtenir une vision holistique de la chaîne d'attaque et de comprendre le contexte complet d'un événement de sécurité.
Vous savez sans doute que le simple volume de menaces sans le contexte approprié pour déterminer leur véritable priorité et leur impact potentiel entraîne une lassitude face aux alertes. Êtes-vous sûr que vos analystes détectent les véritables menaces qui pèsent sur votre environnement ?
Les équipes de sécurité espéraient que l'automatisation comblerait les lacunes qui subsistent, mais une automatisation efficace reste un défi. Le développement et la maintenance de playbooks d'automatisation efficaces requièrent des compétences spécialisées et un investissement initial important. Par conséquent, les tâches répétitives et sensibles au facteur temps, telles que le triage initial des alertes, la collecte de preuves et les actions de réponse de base, restent des processus manuels.
On ne saurait sous-estimer l'importance d'une technologie SOC appropriée. Il est tout aussi important, si ce n'est plus, de veiller à ce que votre SOC soit doté d'une expertise humaine de premier ordre.
Cela nous amène à notre troisième élément d'un SOC prêt pour l'avenir : le personnel.
Même avec toute la technologie, l'optimisation de votre SOC dépend toujours des personnes et de l'expertise. Or, les spécialistes SOC sont coûteux et peu nombreux.
Voici les rôles dont vous aurez besoin pour doter un SOC optimal, ainsi que le type d'expertise en sécurité que nous conservons dans notre centre d'opérations de sécurité :
Surveillance de la sécurité de niveau 1 : Les analystes de niveau 1 utilisent des outils SIEM standard et les meilleures pratiques, telles que le cadre ATT&CK de MITRE, pour détecter les activités suspectes et les anomalies en temps réel.
Analyse avancée de niveau 2 : Les analystes de niveau 2 utilisent des techniques telles que l'analyse comportementale, la détection des anomalies et la corrélation des menaces pour révéler la portée et l'impact des incidents de sécurité.
Niveau 3 : chasse aux menaces et analyse des incidents : En plus de la surveillance régulière, les analystes effectuent des balayages et des campagnes de chasse aux menaces sur mesure afin d'identifier et de neutraliser les menaces persistantes avancées (APT) avant qu'elles ne se transforment en incidents à part entière.
Ingénierie de la détection : L'équipe met continuellement à jour les règles et la logique de détection en fonction des derniers flux de renseignements sur les menaces et des TTP (tactiques, techniques et procédures) provenant de sources telles que le cadre ATT&CK de MITRE.
Renseignements sur les menaces : En utilisant des flux provenant de sources ouvertes (OSINT), commerciales et propriétaires, nous préparons vos systèmes de sécurité aux menaces émergentes.
Les SOC d'entreprise sont bien connus pour leur taux élevé de rotation du personnel - l'employé moyen ne passe en moyenne que 26 mois au sein d'une organisation. Cette courte durée d'emploi empêche souvent les équipes SOC d'acquérir les connaissances spécifiques à l'organisation dont elles ont besoin pour gérer les incidents découverts sans l'aide d'une tierce partie spécialisée et/ou les conseils de collègues plus expérimentés.
La tendance à l'externalisation des responsabilités SOC auprès de fournisseurs de services de sécurité gérés (MSSP) a donné naissance à ce que l'on appelle le SoC-as-a-Service (SOCaaS).
Dans les accords SOCaaS, le MSSP prend généralement la responsabilité de certains ou de tous les éléments du SOC de l'entreprise. Au départ, certaines entreprises sont un peu réticentes à s'engager dans cette voie, craignant de perdre le contrôle de leur plan de sécurité global. Toutefois, ce n'est pas le cas et la plupart des entreprises constatent le contraire : elles tirent profit du fait qu'un expert les accompagne tout au long du processus d'élaboration, de perfectionnement et d'amélioration de leur stratégie SOC. Au lieu de perdre le contrôle, ils se sentent encore plus confiants et maîtrisent mieux leurs opérations qu'auparavant.
Lorsque vous concluez un accord SOCaaS, vous signez généralement un contrat à prix fixe assorti d'une redevance mensuelle ou annuelle. Votre fournisseur s'engage à respecter des accords de niveau de service (SLA) spécifiques qui régissent les termes du contrat, ce qui en fait une alternative plus efficace et plus rentable qu'un SOC entièrement interne.
Un SOC géré peut également contribuer à combler les lacunes éventuelles en matière de compétences au sein de votre équipe de sécurité et libérer les experts informatiques existants pour qu'ils se concentrent sur d'autres questions essentielles pour l'entreprise. Un SOC fiable est ainsi opérationnel en permanence.
Les PME et les grandes entreprises qui optent pour l'externalisation indiquent que le coût total de leurs services SOC tiers est nettement inférieur au coût d'achat, d'installation et de maintenance de la même technologie et des mêmes services en interne. Cette stratégie permet également d'éliminer de nombreuses dépenses initiales en capital, sans parler du coût de l'embauche, de la gestion et de la fidélisation de spécialistes SOC rares et très recherchés.
Les SOC jouent un rôle essentiel dans la protection des entreprises contre les menaces internes et externes. À l'horizon 2025, on peut s'attendre à ce que les SOC - qu'il s'agisse de modèles internes, externalisés ou hybrides - prennent la place qui leur revient en tête des priorités de l'entreprise.