Cybersécurité : à bord du SOC de POST, l’esprit serein

Recourir à un Security Operations Center (SOC) en tant qu’organisation permet de s’assurer d’avoir un œil en permanence sur l’activité opérée au niveau de ses systèmes d’information dans l’optique de réagir efficacement et rapidement à toute attaque ou anomalie. Afin de vous permettre de vous en rendre compte, cet article vous invite à vous mettre dans la peau d’un bénéficiaire du SOC de POST. 

Le Security Operations Center (SOC) est un élément qui contribue grandement à assurer la sécurité d’une organisation et, plus particulièrement, de ses systèmes d’information. A travers l’analyse de divers logs, autrement dit des événements opérés au départ des systèmes informatiques, l’idée est de parvenir à identifier des anomalies ou encore des attaques. Ces logs peuvent traduire toute activité sur des serveurs, base de données, application, firewall et de nombreux autres appareils. Ces informations sont remontées auprès du SOC, qui opère une surveillance 24h/24 et 7j/7. Selon des règles établies, l’analyse des logs peut donner lieu à des alertes et au déclenchement de procédures visant une réaction rapide en cas de problème. En recourant au SOC, le client gagne en tranquillité d’esprit. En permanence, quelqu’un veille sur ses actifs numériques les plus précieux.

Une mise en place qui tient compte du contexte de l’organisation

Opérer une surveillance optimale des systèmes d’information, toutefois, exige au préalable de tenir compte du contexte de l’organisation, des activités qu’elle mène, de sa géolocalisation, de ses fournisseurs, de ses besoins et de ses risques. Les opérateurs du SOC de POST vont donc se renseigner sur les activités du client, notamment pour établir ce qui relève d’une activité normale à travers les systèmes d’information.

Il s’agit aussi de déterminer le périmètre de surveillance du SOC, afin d’identifier les logs disponibles et ceux qui sont les plus pertinents à faire remonter pour assurer une veille de qualité. Un SOC est capable de monitorer des firewalls, serveurs, laptops, bases de données, anti-virus, IDS, IPS, VPN, etc. Soit tout type d’équipement permettant l’envoi de logs par le protocole IP. Le périmètre et la capacité financière du client vont permettre de préciser le nombre d’éléments à monitorer et la volumétrie des logs à analyser.

Établir des règles de surveillance

L’enjeu le plus important, une fois ces étapes effectuées, est de mettre en œuvre des règles de surveillance. Une règle peut, par exemple, consister à déclencher une alerte si les logs respectent une ou plusieurs conditions spécifiques.

Le SOC de POST prévoit un ensemble de règles génériques, qui s’appliquent par défaut aux technologies de ses clients, et qui permettent de veiller sur des risques communs à tous les acteurs. D’autres doivent être mises en œuvre en fonction du contexte de l’entreprise. 

Mettre en place des alertes et effectuer des investigations sans délais

On distingue plusieurs catégories de règles. 

Toutes les règles déclenchent des alertes, seulement une partie d’entre elles vont entrainer la création d’un ticket et d’une investigation en temps réel.

Les autres règles servent principalement de Reporting pour toute demande d’audit interne ou externe. Une stratégie de corrélation propre au SOC de POST permet de superviser l’ensemble des alertes même sans investigation en temps réel.

Suite aux déclenchements d’alertes nécessitant une investigation en temps réel, l’équipe, au premier niveau, pourra :

• Réaliser les premières investigations ;
• Catégoriser l’alerte en faux positif et fermer le ticket d’incident ;
• Contacter les équipes en charge de la gestion des systèmes informatiques, qui donneront plus de contexte ou une justification ;
• Contacter le client et lui transmettre toutes les informations nécessaires ;
• Mobiliser le deuxième niveau du SOC, lorsqu’une investigation plus poussée est nécessaire.

Disposer d’indicateurs utiles à la gestion de la sécurité

D’autres règles, pour des cas ne nécessitant pas d’investigation en temps réel, ne vont pas faire l’objet d’une investigation instantanée mais servir à l’établissement de rapports ou tableaux de bord de suivi de l’activité a posteriori ou dans la perspective d’un audit. Ces données permettent une meilleure compréhension de l’activité sur le système dans l’optique, par exemple, d’adapter les règles établies. 

Tester et faire évoluer les règles dans le temps

Chaque règle, avant une mise en production, doit être testée, pour s’assurer que les résultats attendus correspondent aux attentes. Les règles doivent être adaptées en permanence selon une approche d’affinement des règles, notamment pour limiter les faux positifs, comme le déclenchement d’une alerte alors que la situation ne l’exige pas.

Une démarche d’amélioration continue aux côtés du client

Au-delà de la supervision opérationnelle, l’équipe du SOC programmera des meetings réguliers avec le client, pour rendre compte de la situation, envisager de monitorer de nouvelles vulnérabilités, passer en revue les alertes afin d’envisager les adaptations à réaliser. Ces rencontres, qui peuvent avoir lieu toutes les semaines au début de la relation en phase d’implémentation du SOC et qui s’espace pour une période d’un mois minimum une fois les éléments bien en place, permet de faire le point sur les nouveaux besoins, les évolutions en cours du côté du client, la nécessité d’obtenir de nouveaux indicateurs ou de faire évoluer des rapports ou tableaux de bord. Le but est d’éviter le mode « black box » et ces meetings de revues régulières permettent de remonter la totalité des événements passées au client.

En maintenant des échanges réguliers, le SOC de POST s’inscrit dans une démarche d’amélioration continue, pour assurer au client une sécurité optimale et une qualité de service à la hauteur de ses attentes.