On entend de plus en plus parler de solutions de sécurité miracle comme les Micro-SOC, mais en quoi cela consiste vraiment ? Quels sont ses objectifs ? Quels sont ses atouts ?
Fonctionnement
Tout d’abord, commençons par comprendre la différence entre un SOC et un Micro-SOC.
Un SOC classique aura dans son périmètre plusieurs sources de log : réseau, système, endpoint, IoT, etc. Pour le Micro-SOC, une seule source est utilisée, celle des endpoints (PC, serveurs, client léger, etc.).
L’avantage du Micro-SOC réside donc dans son accessibilité pour les PME/TPE. En effet, il suffit de relier le flux d’alertes de son EDR au Micro-SOC. Une fois ceci fait, l’entreprise externe opérant le Micro-SOC définit les règles de détection en fonction des besoins du client.
In fine, des procédures de remontées d’alertes, de résolution d’incidents, etc. seront élaborées avec le client afin que la protection apportée par le Micro-SOC soit maximale.
Objectifs
Traitement des incidents
Une fois le Micro-SOC déployé et les flux d’alertes connectés, un des premiers objectif sera de détecter des activités suspicieuses, les qualifier et y remédier si besoin. Dans une démarche d’amélioration continue, le Micro-SOC devra aussi prendre en compte les faux-positifs pour faire en sorte d’en obtenir le moins possible.
Proactivité
Afin d’améliorer la SSI, le Micro-SOC pourra prévenir le client dans le cas ou une alerte de produit non mis à jour remonte. En effet, mettre à jour ses systèmes reste une des actions à privilégier pour garantir la sécurité du système d’informations comme nous le rappelions dans cet article : https://www.lpb-conseil.com/les-gestes-barrieres-du-numerique/.
Conformité
Le Micro-SOC aura aussi le rôle de contrôler la conformité des éléments auxquels il a accès. Cela peut être la conformité d’un PC par rapport aux politiques en vigueur dans votre entreprise, la conformité d’une configuration sur un serveur par rapport aux bonnes pratiques de sécurité, etc. Le client pourra alors gagner en visibilité sur la conformité de son parc face aux politiques de sécurité en vigueur dans son entreprise.
Améliorations apportées par le SOC en terme de SSI
Pour conclure, le Micro-SOC permet d’améliorer la sécurité des systèmes d’informations en mettant en œuvre plusieurs choses :
– Processus technique de remontée des incidents et leur traitement
– Processus de communication avec le client pour remédier à un incident au plus vite
– Veille sur la conformité du parc aux bonnes pratiques en terme de sécurité des systèmes d’information
Ces actions permettront à terme pour le client de :
– Gagner en visibilité sur le SI
– Gagner du temps sur la gestion de la sécurité de ses actifs
– Cibler les ressources à mettre en œuvre pour sécuriser le SI efficacement