Pourquoi un SOC est un élément de sécurité essentiel pour les entreprises ?
Aujourd’hui, les utilisateurs sont de plus en plus mobiles, se connectent sur de plus en plus de périphériques aux quatre coins du monde. Un grand nombre d’applications et de données migrent vers le Cloud, ce qui a pour effet d’exposer davantage les ressources IT aux différentes menaces (malware, ransomware, phishing, attaque DDOS, brute force attaque). Les entreprises ont donc besoin d’un dispositif de contrôle de la sécurité des données dans le Cloud (Cloud Public, Cloud privé, Cloud Hybride) comme sur site. Le contexte de l’identité doit être pris en compte de façon significative afin de pouvoir mieux prévoir, prévenir, détecter et réagir à tout type d’attaques ou d’intrusions dans les systèmes d’information (SI), dans le but de mieux sécuriser vos données.
Définition d’un SOC
Le Security Operations center, SOC, désigne dans une entreprise l’équipe en charge d’assurer la sécurité de l’information.
Le SOC est une plateforme permettant la supervision et l’administration de la sécurité du système d'information au travers d’outils de collecte, de corrélation d'événements et d'intervention à distance. Le SIEM (Security Information Event Management) est l'outil principal du SOC puisqu'il permet de gérer les évènements d'un SI.
L’objectif d’un SOC est de détecter, analyser et remédier aux incidents de cybersécurité à l’aide de solutions technologiques et d’un ensemble de démarches. Ils surveillent et analysent l'activité sur les réseaux, les serveurs, les terminaux, les bases de données, les applications, les sites Web et autres systèmes, à la recherche de signaux faibles ou de comportements anormaux qui pourraient être le signe d'un incident ou d'un compromis en matière de sécurité. Le SOC doit veiller à ce que les incidents de sécurité potentiels soient correctement identifiés, analysés, défendus, enquêtés et signalés. Les SOC sont composés, en général, d’analystes et d’ingénieurs en sécurité, ainsi que de managers supervisant les opérations de sécurité. Les capacités supplémentaires de certains SOC peuvent inclure l'analyse avancée, la cryptanalyse et l'ingénierie inverse des logiciels malveillants pour analyser les incidents. Les équipes SOC travaillent étroitement avec les équipes d’intervention afin de s’assurer que le problème de sécurité soit bien réglé une fois qu’il a été découvert.
Qu’est-ce qu’un SIEM ?
Les acronymes SEM, SIM et SIEM ont parfois été utilisés de manière interchangeable. SEM, gestion des évènements de sécurité, s’occupe de la surveillance en temps réel, de la corrélation des événements, des notifications et des vues de la console. SIM, gestion des informations de sécurité, assure le stockage à long terme ainsi que l'analyse, la manipulation et la communication des données des logs et des enregistrements de sécurité du type rassemblé par le logiciel SEM.
Les entreprises se tournent vers les grandes plates-formes de données, comme Apache Hadoop, pour compléter les capacités SIEM en étendant la capacité de stockage de données et la flexibilité analytique. La nécessité d'une visibilité centrée sur la voix ou vSIEM (information de sécurité vocale et gestion d'événements) fournit un exemple récent de cette évolution.
Depuis l’invention du terme SIEM en 2005 par Mark Nicolett et Amrit Williams de Gartner, il désigne :
· Les capacités de collecte, d'analyse et de présentation de l'information provenant du réseau et des dispositifs de sécurité.
· Les applications de gestion des identités et des accès
· Les outils de gestion des vulnérabilités et de conformité aux politiques
· Le système d'exploitation, la base de données et les journaux d'application
· Les données sur les menaces externes
Les fournisseurs vendent du SIEM sous forme de logiciels, d'appareils ou de services gérés ; ces produits sont également utilisés pour consigner les données de sécurité et générer des rapports à des fins de conformité. Aujourd’hui, les fournisseurs de logiciels de gestion des informations de sécurité et des événements (SIEM) introduisent l'apprentissage machine, l'analyse statistique avancée et d'autres méthodes d'analyse dans leurs produits.
Comment fonctionne le logiciel SIEM dans une entreprise ?
Le logiciel SIEM recueille et agrège les données générées dans toute l'infrastructure technologique de l'organisation, depuis les systèmes hôtes et les applications jusqu'au réseau et aux dispositifs de sécurité tels que les pare-feux et les filtres antivirus.
Le logiciel SIEM identifie et catégorise les incidents et les événements, et les analyse. SIEM répond à deux objectifs principaux :
· fournir des rapports sur les incidents et événements liés à la sécurité, tels que les connexions réussies ou non, les activités malveillantes et autres activités malveillantes possibles
· envoyer des alertes si l'analyse montre qu'une activité va à l'encontre des règles prédéterminées -et indique donc un problème de sécurité potentiel.
L'un des principaux moteurs de l'utilisation du logiciel SIEM pour les opérations de sécurité (SOC) réside dans les nouvelles capacités contenues dans de nombreux produits sur le marché. En effet, la société de recherche technologique Gartner dans son rapport de mai 2017 sur le marché mondial du SIEM fait appel à l'intelligence des outils SIEM, affirmant que " l'innovation sur le marché du SIEM évolue à un rythme passionnant pour créer un meilleur outil de détection des menaces ».
Le rapport Gartner note en outre que les fournisseurs introduisent le machine Learning, l'analyse statistique avancée et d'autres méthodes d'analyse dans leurs produits, tandis que certains expérimentent également l'intelligence artificielle et les capacités du Deep Learning.
Quelles sont ces cyberattaques dont il faut absolument se protéger ?
Une cyberattaque cible les Systèmes d’Information (SI) ou les entreprises dépendant de la technologie et de réseaux afin de voler, modifier ou détruire un système sensible.