En amont de la conférence sur la sécurité et la gestion des risques organisée par Gartner à Dubaï, Sid Deshpande, analyste chez Gartner, explique les tendances des centres d’opérations de sécurité et aux recommandations pour les fournisseurs de services de sécurité.
Qu’est-ce qu’un centre d’opérations de sécurité (SOC) ?
Sid Deshpande : Un centre d’opérations de sécurité (SOC) peut être défini à la fois en tant qu’équipe, fonctionnant souvent en équipe 24 heures sur 24 et une installation dédiée et organisée pour prévenir, détecter, évaluer et répondre aux menaces et aux incidents de cybersécurité et évaluer la conformité réglementaire.
Est-ce qu’un SOC interne est le seul moyen viable pour les entreprises de créer une capacité de surveillance de la sécurité ?
S.-D. : Construire un SOC – ou créer généralement une certaine forme de capacités d’opérations de sécurité interne – est un effort coûteux et chronophage qui nécessite une attention constante pour être efficace. En effet, un grand nombre d’organisations (y compris certaines grandes organisations) choisissent de ne pas avoir de SOC. Au lieu de cela, ils choisissent d’autres options de surveillance de sécurité, comme l’engagement d’un fournisseur de services de sécurité géré (MSSP).
Les RSSI et les DSI qui envisagent de construire leur propre SOC devraient être très conscients des coûts et des implications en termes de personnel impliqués dans cette approche. Il y a beaucoup d’alternatives à la construction et à la dotation en personnel SOC, et les entreprises devraient les explorer en plus des différents types de modèles SOC.
Quels sont les différents types de modèles SOC ?
S.-D. : on peut citer principalement six modèles différents de SOC
SOC virtuel
– Pas d’installation dédiée
– Les membres de l’équipe à temps partiel
– Réactif, activé en cas d’alerte ou d’incident critique
SOC dédiée
– Installation dédiée
– Équipe dédiée
– Entièrement à l’interne
SOC distribué / cogéré
– Membres de l’équipe dédiés et semi-dédiés
– Typiquement 5×8 opérations
– Lorsqu’il est utilisé avec un MSSP, il est cogéré
Command SOC
– Coordonne les autres SOC
– Fournit des renseignements sur les menaces, la connaissance de la situation et une expertise supplémentaire
– Rarement impliqué directement dans les opérations au jour le jour
Centre d’opérations SOC / réseau multifonctions (NOC)
– Installation dédiée avec une équipe dédiée effectuant non seulement la sécurité, mais d’autres opérations informatiques critiques 24/7 de la même installation pour réduire les coûts
Fusion SOC
– Les fonctions SOC traditionnelles et les nouvelles fonctions telles que l’intelligence des menaces, l’équipe d’intervention en cas d’incident informatique (CIRT) et les fonctions de technologie opérationnelle (OT) sont intégrées dans une installation SOC
En plus des six modèles ci-dessus, où les équipes de sécurité interne du client sont impliquées à des degrés divers, il existe un autre modèle « entièrement externalisé ». Dans les modèles totalement externalisés, un fournisseur de services construit et exploite le SOC avec une implication minimale (ou au mieux, de supervision) de la part de l’organisation cliente.
Pourquoi les organisations optent-elles pour les SOC ?
S.-D. : Les entreprises mettent en place des capacités de sécurité interne (même si dans un sens limité) parce qu’elles désirent plus de contrôle sur leur processus de surveillance et de réponse à la sécurité. Elles veulent aussi avoir des conversations plus éclairées avec les régulateurs.
L’impact stratégique d’un projet de construction SOC en fait une initiative cruciale pour les entreprises. Celles qui décident d’aller de l’avant avec un SOC interne allouent les fonds initiaux et en cours de manière structurée et s’attendent à ce que le projet évolue avec un sentiment d’urgence une fois approuvé.
Quelles sont vos principales recommandations pour les fournisseurs de services de sécurité (c’est-à-dire les fournisseurs) qui envisagent d’offrir des services qui permettent aux clients de construire et d’exploiter des SOC ?
S.-D. : Concentrer les programmes d’activation des ventes sur la valeur commerciale livrée aux clients par des degrés de contrôle progressivement plus importants. Aider les clients à choisir entre les options disponibles tout en renforçant le message selon lequel une approche complète du bricolage est pratiquement impossible ;
– Permettre aux acheteurs de planifier des budgets pour les projets SOC en alignant les catalogues de prix et de services sur la maturité des acheteurs avec pour objectif ultime de développer la maturité de leur SOC ;
– Acquérir un avantage concurrentiel en se concentrant sur les cas d’utilisation spécifiques aux secteurs pour les SOC et en aidant les clients à faire évoluer les mesures SOC qui sont propres à leur organisation.
Quelles sont vos principales recommandations pour les RSSI prévoyant de créer une capacité SOC ?
S.-D. : – Effectuer une analyse coûts-avantages réaliste de divers modèles d’opérations de sécurité avant de s’engager dans un processus d’approvisionnement complet
– Se concentrer sur l’alignement des livrables du SOC avec les objectifs de l’entreprise en développant des objectifs et des mesures étroitement définis que le SOC doit respecter.
– Identifier la valeur et les fonctions critiques de sécurité et les garder en interne.
– Envisager d’utiliser les services MSSP pour compenser le coût des opérations SOC 24/7 et combler les lacunes en matière de couverture.
– Élaborer dès le début une stratégie de fidélisation du personnel du SOC.