C’est en tous cas ce que confirme une étude menée par KPMG. 84 % des entreprises interrogées ont ainsi constaté une aggravation de la situation en matière de menaces par rapport à 2022. Cela vaut non seulement pour le phishing et les ransomwares, mais aussi pour les attaques DDoS (déni de service distribué), qui suscitent de plus en plus d’inquiétudes. Malgré cela, neuf entités sur dix se croient en sécurité et pensent pouvoir détecter et repousser ces attaques à un stade précoce. Ce sentiment de sécurité contraste fortement avec le fait que seule une minorité a mis en place une surveillance complète, 24 heures sur 24 et 7 jours sur 7, de leur sécurité numérique.
Pourtant, avoir une sécurité homogène et une protection complète contre les attaques en ligne est essentiel pour éviter des coûts pouvant être élevés suite à une attaque. C’est là qu’un « Security Operations Center » (SOC) peut s’avérer utile. Mais de quoi s’agit-il ? Comment contribue-t-il à la sécurité ? Et pour qui est-il utile ?

Centre de contrôle pour la sécurité
Un SOC est l’endroit où un grand nombre d’événements informatiques sont collectés, analysés et traités. Il s’agit du centre névralgique de toutes les mesures défensives importantes d’une infrastructure numérique. Mais les enregistrements, les données et les incidents ne sont pas les seules choses que l’on peut y trouver. La partie la plus importante d’un SOC est les personnes elles-mêmes - spécialistes de l’analyse des données, experts en ingénierie logicielle et en gestion de réseau. Ils surveillent tous les incidents grâce à des outils de pointe, assurant ainsi la position de l’entreprise en matière de cybersécurité. Dès qu’ils observent des activités suspectes ou des anomalies, ils enquêtent pour réagir en temps utile afin de stopper les cyberattaques.

Un SOC est soutenu par différents collaborateurs. Toutes les activités sont supervisées et gérées par un responsable SOC, qui est en quelque sorte le cerveau des opérations de sécurité. Les analystes de sécurité, eux, sont les yeux et constituent la base de toutes les opérations. Ils examinent les données et évaluent les informations. Si nécessaire, ils transmettent les résultats aux équipes dites de "réponse aux incidents cybernétiques" (CIRT), c’est-à-dire les petites mains qui interviennent dans le SOC. Ces experts sont spécialisés dans la lutte active contre les attaques en ligne et se chargent d’endiguer la menace le plus rapidement possible.

Il existe de nombreuses façons de le structurer ou de l’intégrer dans l’infrastructure informatique d’une compagnie. L’une d’entre elles est notamment de mettre en place un SOC interne dont le personnel est employé en interne. Cette solution permet de contrôler directement l’ensemble de l’équipe cybersécurité. Toutefois, cette solution peut également entraîner des coûts administratifs plus élevés lorsqu’elle fonctionne 24 heures sur 24 et 7 jours sur 7. C’est pour cela qu’il est aussi possible de l’externaliser auprès de prestataires spécialisées. Les fournisseurs de services de cybersécurité proposent déjà des équipes d’experts bien coordonnées. Ils disposent d’une expertise particulièrement large et des technologies les plus récentes pour assurer la meilleure défense possible contre les attaques en ligne. Cela permet souvent de réagir de manière plus rapide et plus efficace aux incidents.

Des outils et des logiciels de sécurité fiables et efficaces.
Les activités principales d’un SOC sont : la surveillance, l’analyse des données et la capacité à donner une réponse rapide. La détection précoce d’un incident et la maîtrise rapide du risque de sécurité est indispensable. Dans l’idéal, ces mesures ne devraient pas restreindre ou affecter les activités de l’entreprise. Pour y parvenir, les équipes utilisent une variété d’outils, de logiciels et de technologies qui diffèrent en fonction de leur approche, de l’infrastructure et de leur méthode de travail. Les systèmes SIEM (Security Information and Event Management) de surveillance des événements et des incidents dans le réseau informatique sont également utilisés. Ils servent de plateforme centrale pour les analystes qui regroupent les événements informatiques liés à la sécurité. Les informations collectées sont normalisées, agrégées et mises en corrélation par le SIEM. En corrélant les événements, il est possible de découvrir des incidents de sécurité à partir d’événements apparemment sans rapport. Par exemple, la mise en corrélation du courrier électronique, du proxy, du pare-feu et de l’activité de l’utilisateur permet de détecter les attaques type phishing. Les analystes SOC peuvent utiliser ces informations pour enquêter sur les anomalies et les événements suspects, et prendre des mesures si nécessaire. De même, les plates-formes de détection et de réponse des endpoints (EDR) font désormais partie intégrante d’un SOC. Une plateforme EDR s’occupe principalement des endpoints c’est-à-dire des serveurs de données et d’applications ainsi que des terminaux des utilisateurs.
Les plateformes EDR modernes arrêtent immédiatement toute activité détectée comme malveillante sur un potentiel endpoint. En cas de suspicion de compromission, la plateforme EDR transmet ces informations directement au SOC afin que les experts puissent mettre en œuvre des contre-mesures. Dans le passé, les systèmes SIEM et EDR fonctionnaient souvent côte à côte. Récemment, l’objectif a été de fusionner les données de sécurité en une seule plateforme. Cette stratégie est souvent appelée XDR (Extended Detection and Response). Une architecture XDR permet à un SOC d’effectuer une analyse de toutes les données collectées à partir d’un point central. Cette évolution ne permet pas seulement d’agréger les événements de sécurité clés mais aussi de permettre un stockage des données beaucoup moins coûteux.
Une tendance claire vers les extensions XDR peut donc être observée parmi les fabricants de SIEM et d’EDR. En outre, des concepts "Beyond SIEM" qui s’appuient sur le Big Data et Le ML (Machine Learning) sont en train de conquérir actuellement le marché. Un aspect important de tout SOC est la réponse immédiate à une compromission détectée ou à un événement suspect. Un SOAR (Security Orchestration and Automated Response) est souvent utilisé à cette fin afin d’automatiser les processus.

Une sécurité accrue grâce à l’IA et au ML
En général, l’automatisation des processus dans un SOC devient de plus en plus importante. Dans ce contexte, l’intelligence artificielle (IA) peut grandement contribuer à améliorer l’efficacité de ses performances. Il s’agit ici d’un vrai partenariat entre l’homme et la machine. En effet, la plupart des efforts de corrélation des données collectées dans le SOC peuvent être pris en charge par le système, et de nombreux processus de cyberdéfense deviennent plus efficaces grâce à l’automatisation. Cela allège la charge des analystes qui, à leur tour, disposent de ressources libres pour s’occuper des tâches qui ne peuvent pas être transférées à une IA.

Une des applications les plus immédiates et évidente de l’IA dans ce cadre est sa capacité à établir un rapport après un cyberincident. Cette automatisation élimine une grande partie des rapports établis par le personnel - une tâche souvent laborieuse et chronophage. En outre, la machine peut fournir un meilleur contexte lié aux mesures d’atténuation des risques et aux actions mises en place. La chaîne de valeur elle-même s’en trouve également améliorée. Non seulement la probabilité d’erreurs diminue, mais la vitesse de mise à disposition et la qualité des rapports augmentent. En outre, la satisfaction des cyber-analystes est améliorée car ils peuvent désormais consacrer plus de temps et d’énergie à leur activité principale, la cyber-défense. C’est essentiel, car chaque seconde compte lorsque l’infrastructure numérique est attaquée.

Cependant, toutes ces innovations n’ont pas pour but d’automatiser complètement le travail. Les spécialistes de l’informatique et de la sécurité restent le cœur d’un tel centre de contrôle - leur expertise ne peut pas être remplacée par une IA à ce stade. L’objectif est plutôt d’optimiser le travail des experts. Cela passe par une analyse plus efficace des données, des rapports de meilleure qualité et un contexte plus riche grâce à des corrélations automatisées. Dans le même temps, les employés doivent améliorer leurs compétences techniques. À long terme, une formation spécialisée est donc nécessaire pour une utilisation optimale de l’IA, du ML et de la LLM.

Les entreprises modernes doivent s’attaquer de manière globale à la sécurité de leur infrastructure numérique. Pour ce faire, il leur appartient de décider si elles souhaitent mettre en place un SOC en interne ou confier cette tâche à des fournisseurs. Pour de nombreuses structures - en fonction de leur secteur d’activité, de leur taille, de leur orientation numérique, etc. - il n’est pas forcément utile de gérer leur propre SOC en interne. Les avantages d’un prestataire externe sont considérables pour les clients - par exemple, en termes de meilleure évolutivité et d’économie, combinée à une meilleure posture de cybersécurité. Un "SOC managé" dispose déjà des technologies, des processus et de l’organisation 24 heures sur 24 et 7 jours sur 7 nécessaires. Par conséquent, l’investissement dans les outils, les logiciels et la formation du personnel est amorti plus rapidement. Grâce à sa taille, un fournisseur de services SOC peut maintenir ses équipes de cybersécurité à jour et les former en permanence. Les cybercriminels développent constamment de nouvelles méthodes d’attaque ou de nouveaux outils de piratage, il faut donc ne pas rester à la traine.