Un SOC constitue pour les équipes de sécurité ce qu’une tour de contrôle est au pilote d’avion : un système de détection, de prévention du risque, d’alerte et d’aide à la décision. Quatre éléments doivent être pris en compte.
- Les risques et les scénarios de menaces
Qu’il s’agisse de l’analyse des risques ou de la sélection des scénarios de menaces, il est humainement impossible de tout couvrir. Il faut donc effectuer des choix :
– quels sont les risques acceptables pour mon entreprise ?
– quelles sont les dix menaces contre lesquelles on veut absolument se prémunir ? - La politique de supervision
Ces choix stratégiques pourront ainsi être déclinés en une politique de supervision solide : éléments nécessaires pour détecter les scénarios de menace prédéfinis, référentiels pour formaliser la démarche, architecture à mettre en place, reporting… Il faut prévoir un reporting journalier spécifique pour votre DG, ou un point reporting de cinq minutes tous les matins, par exemple. - L’implantation et les mises à jour
L’implantation couvre notamment la traduction des éléments SSI en technique et la mise en place des modèles d’organisation et de processus. Cette phase peut également permettre la sensibilisation de la hiérarchie : il suffit de prévoir une interface de démo dédiée, pour vendre le SOC en interne de la même manière qu’à un client. - Le maintien en conditions de sécurité
La phase de maintien en condition de sécurité permet d’assurer que les performances du SOC restent optimales. Elle facilite également l’analyse des impacts d’une attaque. Pour rassurer la hiérarchie sur la fiabilité du SOC, pourquoi ne pas simuler une crise dont le DG serait directement la victime et lui démontrer concrètement l’efficacité du système ? •
Source : Thomas Girard, directeur du département cybersécurité, BU Défense et Sécurité de CS.