Samedi 25 Mars 2017

Réussir son projet de SOC : le Clusif édite un référentiel sur le sujet

Jeudi 15 Décembre 2016

La mise en place d’un SOC (Security Operation Center) est un projet central en matière de sécurité des systèmes d’information. Pour y voir plus clair sur le sujet, le groupe de travail SOC du Clusif vient de produire un document de référence permettant d’anticiper et de réussir ce type de projet.

Pour Thierry Chiofalo, responsable du Comité Conférences du Clusif, la mise en place d’un SOC s’intègre au processus de gestion du risque des systèmes d’information. Cette gestion du risque repose d’une part, sur des fonctions de pilotage qui permettent de contrôler l’efficience et les coûts des efforts consentis et sur des fonctions de sécurité opérationnelle capable d'améliorer efficacement le niveau de sécurité de l’organisme. Le SOC se rattache à ces fonctions opérationnelles et en constitue une brique importante.

Le premier constat du groupe de travail a été qu’il existait très peu de documents de référence sur ce sujet, mis à part un document de la MITRE Corporation ou les référentiels PDIS et PRIS de l’ANSSI. Sur un plan marketing, les offres sont généralement peu claires et il n’existe pas de tarification précise.

Le document présente l’objectif d’un SOC, détaille l’organisation technique, mais aussi humaine, nécessaire. Il explore ensuite le catalogue des services et fonctions d’un SOC sur la base des quatre fonctions essentielles : prévention, détection, réaction et administration. Il évoque bien entendu la mise en place du SOC, depuis la définition du projet et sa promotion en interne jusqu’à la mise en place et au bilan permettant de continuer à l’améliorer.

Pierre Raufast, RSSI Europe et responsable du CERT Michelin a, pour sa part, présenté un retour d’expérience sur la mise en place du SOC dans son entreprise. Le projet de SOC a débuté en 2013 chez Michelin, mais les premières alertes remontées datent de juillet 2014. Le CERT a quant à lui été créé au quatrième trimestre 2014. L’année suivante, le processus de gestion des incidents a été mis en place parallèlement à une montée en compétences et en moyens humains. En 2016, le CERT Michelin a obtenu sa certification, tandis que le SOC s’agrémentait d’un processus de gestion de vulnérabilités. Aujourd’hui, le SOC et le CERT fonctionnent convenablement. La gestion des incidents (tickets et faux positifs) est satisfaisante. La gestion de la veille est opérationnelle, chacun y participant. En ce qui concerne les opérations de forensic et l’expertise, Pierre Raufast souligne les résultats obtenus grâce aux outils et à la montée en compétence de l’équipe. Les processus et exercices de gestion de crise sont en place. La formation et la sensibilisation en interne fonctionnent convenablement. Quelques améliorations sont en revanche attendues pour ce qui est des scans et du patching afin de pouvoir aller au-delà des contraintes légales.

Enfin, Pierre Raufast a énuméré un certain nombre de facteurs de succès pour un projet de SOC et de difficultés à contourner : 

  • il est important de connaître ses risques, savoir où regarder et qui est notre attaquant potentiel. Le degré de protection est une question de moyens financiers.
  • il faut également recruter et former, les compétences humaines étant importantes.
  • le top-management et le middle-management doivent être impliqués. Le SOC permet de fournir des exemples réels et concrets des dangers qui menacent l’entreprise.
  • le taux de faux positifs doit être rapidement maîtrisé afin d’éviter d’être noyé et de permettre au SOC d’apporter une réelle valeur ajoutée, a précisé Pierre Raufast.
  • la relation avec le métier doit être claire, réactive et efficace.
Enfin, Vincent Le Toux, en charge des aspects de sécurité opérationnelle de Engie, a également présenté le projet de SOC du groupe, tout comme Javier Gonzlalez pour Airbus Defense & Space. 

Tous ces documents sont disponibles sur le site web du Clusif, rubrique "Publications". 
Les 10 derniers articles
Services
  • EST
  • Proposer un communiqué de presse
Communiqués de presse