L’information, autrefois stockée en externe, c’est-à-dire en dehors de toute forme de réseau informatique, circule aujourd’hui rapidement et se doit de rester accessible en permanence. Un grand progrès, certes, mais entraînant de nouvelles problématiques complexes concernant la sécurité des données. Entre fuites éventuelles, failles de sécurité potentielles et protection des données personnelles de leurs clients, les entreprises se voient dans l’obligation d’intégrer une nouvelle division au sein de leurs services ; le SOC.
Définition d’un SOC
Le SOC, ou Security Operations Center (centre des opérations de sécurité), est une cellule d’une entreprise ou d’une institution chargée de veiller avant tout à la sécurité de l’information circulant sur les réseaux de l’organisation. Par extension, on distingue également une autre application à l’acronyme SOC. En effet, le SOC peut aussi désigner le lieu physique, dans un bâtiment, d’où les agents de sécurité surveillent le site en question (vidéosurveillance, barrières de sécurité, alarmes, badges…). Mais la fonction qui nous intéresse ici est bien la première, celle liée aux technologies, aux processus et aux personnes permettant la détection d’incidents informatiques éventuels, leur signalement, leur analyse, leur prévention et la défense contre tout type de cyberattaque ou d’intrusion malveillante.
La mise en place d’un SOC demande des ressources financières importantes et des connaissances complexes. Toutes les entreprises ne peuvent donc pas se prévaloir d’une division SOC. Les principales raisons de l’exploitation d’un SOC en interne sont de trois ordres ;
- Une volonté de protéger des données jugées sensibles (données personnelles, brevets, secrets d’entreprises…);
- Le respect à des règles de conformité exigées par un secteur d’activité précis (laboratoires pharmaceutiques, industrie des cartes de paiements…) ;
- Le respect des règles de conformité exigées par un état.
Les enjeux d’un SOC
Une division SOC au sein d’une organisation ne s’improvise pas. Elle résulte d’une volonté stratégique de l‘entreprise et peut même éventuellement se révéler un atout de celle-ci en matière de communication. Mais qu’elles que soient les raisons de la décision, l’établissement d’un SOC dans une entreprise est un engagement sur la durée susceptible d’en modifier l’organisation générale. Le SOC implique donc une « mise à jour » de tous les process de l’entreprise.
En amont de la mise en place du SOC, l’entreprise doit réaliser un véritable audit de son environnement global de travail afin d’évaluer les risques auxquels elle peut être confrontée. Cet audit permet de révéler les failles éventuelles dans la protection des données et les points de vulnérabilité d’où pourraient surgir les menaces potentielles, chacune de ces menaces étant classée en fonction de son niveau de dangerosité. Viennent ensuite ce que l’on pourrait comparer à des stress tests permettant d’évaluer la capacité de résistance et de résilience du système d’information de l’entreprise (configurations, programmations, efficacité de la solution actuelle…). En fonction des résultats, diverses recommandations sont faites pour changer, améliorer ou optimiser les solutions en place.
Les bonnes personnes dans le bon service
Un SOC n’étant pas un IT classique, il n’est pas recommandé de fusionner le service informatique, veillant à la bonne marche du réseau et des terminaux de l’entreprise, et le service sécurité de l’information. Leurs missions sont en effet bien différentes. Un SOC nécessite une équipe dédiée, dont la tâche est intégralement tournée vers la sécurité de l’information. Charge ensuite aux analystes et ingénieurs de la cybersécurité de rester en lien permanent avec les autres services (notamment le service informatique et le service sécurité générale) afin d’adapter leur présence et leur action au fonctionnement interne au quotidien de l’entreprise. Ce lien étroit tissé entre les divers services permet une meilleure réactivité en cas de découverte d’incidents et, mieux, une meilleure anticipation de ces potentiels incidents. En somme, pour faire face aux cyberattaques visant les systèmes d’information d’une entreprise, l’entreprise doit miser sur la coordination entre ses services, l’usage à bon escient de la technologie et une excellente communication, en interne comme en externe.
