Phishing, ransomware… Les cyber-attaques contre les entreprises ont littéralement explosé cette année. Pour s’en prémunir, de plus en plus d’entreprises choisissent de mettre en place un SOC : Security Operations Center. Cette unité de sécurité permet de surveiller l’ensemble de l’infrastructure et des données d’une entreprise depuis un seul et même service. Cette organisation en « QG » de sécurité unique, permet d’identifier automatiquement les événements potentiellement dangereux pour votre réseau. Explications.

Security Operations Center (SOC) : la tour de guet de votre infrastructure informatique

Votre réseau informatique dispose de plusieurs niveaux de sécurité : firewall, IDS/IPS, protection DDOS, Endpoint Detection and Response (EDR)… Ces dispositifs s’apparentent aux murs d’enceinte d’un château fort, c’est-à-dire qu’ils visent à vous protéger des intrusions. Mais il est aussi essentiel de surveiller et comptabiliser les tentatives d’effraction dont votre réseau fait l’objet. Vous devez pour cela disposer d’une tour de guet qui offre une pleine visibilité sur vos différents murs d’enceinte. C’est le rôle du SOC. Il supervise les allers et venues sur vos infrastructures informatiques : de la couche réseau jusqu’aux logiciels installés sur les postes de travail.

 

Comment fonctionne un SOC ?

Chaque composant de votre réseau génère un important volume de logs, appelés évènements. : connexion VPN, entrées et sorties du bâtiment, consultation de documents partagés… Ce service a pour mission de collecter toutes ces informations réseau, de les rendre compatibles sous un même format dans une gigantesque base de données appelée Data Lake.

Ces données peuvent ensuite être analysées pour détecter les anomalies potentielles. Comment définit-on une anomalie ? Ceci est propre à chaque entreprise. Par exemple se connecter au VPN après minuit, consulter à la suite des dizaines de dossiers partagés sur le réseau, ou encore télécharger des données depuis le serveur vers son ordinateur. Toutes ces anomalies sont recensées dans un SIEM (Security Information and Event Management) et peuvent ainsi faire l’objet d’une vérification par vos équipes. C’est-à-dire demander à votre collègue si c’est bien lui qui s’est connecté après minuit.

Mais un SOC bien configuré permet surtout d’envoyer des alertes aux administrateurs lorsqu’une suite d’évènements potentiellement dangereux se succèdent et laissent penser qu’une cyber-attaque est en cours. C’est là qu’interviennent les règles de corrélation. Voyons comment cela fonctionne.

 

[LIRE LA SUITE]

 

Communiqué par POST


Publié le 22 octobre 2020