Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

SOC : comment en mesurer l’efficacité ?

octobre 2015 par Emmanuelle Lamandé

L’actualité des cybermenaces, mais aussi le poids des règlementations, nous le rappellent continuellement : l’heure est à la cybersurveillance, et le Security Operation Center (SOC) est au cœur du débat. Toutefois, comment mesurer son utilité et son efficacité ? A ce jour, difficile à dire... Sylvain Conchon, Responsable opérationnel de la BU Cybersécurité chez CONIX, s’adonne à cet exercice délicat, à l’occasion de la 15ème édition des Assises de la Sécurité.

Au dire de la presse, la plupart des SOC sont aujourd’hui inefficaces. Toutefois, tous les articles de journaux parus récemment en la matière se basent uniquement sur le même rapport d’HP - « State of security operations » 2015. Mais cette affirmation est bien plus nuancée dans le rapport d’origine que dans les articles qui ont suivi.

Selon ce rapport HP, l’indicateur ultime d’efficacité d’un SOC serait le suivant : « un SOC est efficace s’il arrive à détecter avec exactitude les attaques en cours ». Cependant, il est important, à ce stade, de comprendre et d’accepter qu’un SOC ne nous protègera jamais contre les attaques qu’il ne connaît pas. Réduire la surface de cet inconnu doit néanmoins être un objectif.

Différentes initiatives vont d’ailleurs dans le bon sens, en France comme aux États-Unis. En France, par exemple, l’ANSSI travaille sur cette problématique, via la qualification des prestataires de SOC notamment ; l’ENSIBS propose une formation d’ingénieurs en cyberdéfense ; le CLUSIF a mis sur pied un groupe de travail sur le thème « Comment réussir le déploiement d’un SOC ? »… Ces différentes actions permettent déjà d’élever la réflexion et le débat, de poser des bases solides…

Toutefois, définir préciser un SOC et en mesurer l’efficacité n’est pas chose simple. Souvent, le SOC n’est associé qu’à un mur d’écrans et quelques superviseurs devant, ce qui est loin d’être le cas. Un SOC c’est avant tout des analystes qui travaillent.

Plusieurs visions du SOC sont possibles :

Le SOC : vue « services »

Source : Conix

Le SOC : vue « donnée »

Source : Conix

Pour Sylvain Conchon, l’efficacité d’un SOC ne peut pas simplement s’exprimer. Il propose 8 idées correspondant à autant d’axes de réflexions :

- 1. « On n’achète pas un SOC efficace, on le construit ». Un projet mené dans l’urgence est rendu plus difficile ; un projet trop ambitieux est, quant à lui, voué à l’échec…

- 2. « Le SOC est prescripteur pour le SI (et réciproquement) » : le SOC n’est pas une fonction support du SI, mais son client. Des interfaces doivent être définies avec les acteurs du SI. Et en particulier, le SOC est le client des changements du SI : si le SI évolue, le SOC doit évoluer.

- 3. « Le SOC n’a pas vocation à traiter les incidents », mais il doit en avoir les compétences. Le SOC ne peut pas traiter les incidents car il n’a pas les droits et accès nécessaire ! En revanche, il doit suivre, conseiller, apporter une expertise qui manque à ses interfaces dans le SI.

- 4. « Il faut préférer la collaboration à la confrontation » : le SOC seul ne peut pas construire tous les scénarios, et n’est pas toujours responsable d’une non détection. C’est comme au football, si le gardien encaisse un but, il n’en est pas pour autant le seul responsable.

- 5. « Il faut remettre de l’humain dans l’IT pour qu’il fonctionne » : le SOC est une affaire de spécialistes. Derrière le coût d’un SOC se trouve un prix de services, jour/homme. C’est pourquoi un SOC sous-staffé n’est pas efficace, et pour budgéter un SOC il faut être transparent en termes de réponse.

- 6. « Un SOC qui remonte les alertes n’est pas efficace » : un SOC doit à la fois remonter les incidents, mais aussi les anomalies. Les anomalies sont le marqueur d’un SOC qui apprend, mais aussi d’un SI qui évolue. Un SOC qui ne remonte pas d’anomalies est nécessairement déficient.

- 7. « Le CERT est le bâtisseur de l’efficacité du SOC » : l’entreprise doit définir les relations avec le(s) CERT(s), mais aussi les interfaces entre le SOC et le(s) CERT(s). Pour être efficient, le SOC doit évoluer en même temps que les menaces.

- 8. « La pertinence d’un SOC est liée à la vitalité de sa R&D : la R&D est essentielle pour établir de nouveaux patterns et outils de détection. La structure de R&D doit exister et proposer des plans de progrès. Le SOC n’est effectivement pas un système statique, et son apprentissage est permanent.

Cependant, malgré ces différents indicateurs, mesurer l’efficacité d’un SOC reste chose complexe. Selon Sylvain Conchon, l’efficacité d’un SOC repose sur l’efficience de ses interfaces.

Source : Conix

Sylvain Conchon conclut sa démonstration en ouvrant sur des perspectives du modèle « OODA », utilisé à l’origine par l’US Air Force pour réagir en temps réel aux situations de combats, et l’appliquer à la cybersécurité. Le SOC est partie prenante des 2 premiers facteurs : Observation / Orientation, et l’efficacité d’un SOC mature (c’est-à-dire qui fonctionne bien) se mesure à la rapidité de sa boucle OODA [1].


[1] Patterns of conflict (John R. Boyd, 2007)
The Future of Incident Response (Bruce Schneier, 2014)
Information Strategy – The missing Link (Hans F. Palaoro, 2010)


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants