Consolidation du centre opérationnel de sécurité (SOC)
Faire plus avec moins
Le centre opérationnel de sécurité (SOC) tel que nous le connaissons n’a pas changé depuis des décennies. Or, le modèle sur lequel il repose n’est plus assez performant pour répondre aux enjeux actuels. Face aux évolutions de la physionomie des entreprises et du champ des menaces, l’heure est venue d’abandonner les vieilles méthodes et de faire souffler le vent du changement sur les SOC. Meilleurs résultats, remédiation plus rapide, réduction des risques, posture de sécurité renforcée... Les arguments en faveur de la consolidation sont nombreux.
SOC traditionnels vs SOC modernes : ce qui change
Le SOC d’aujourd’hui évoque des images peu engageantes de collaborateurs serrés les uns contre les autres, assis devant des écrans affichant un flot perpétuel d’informations et transmettant une multitude de données issues de dizaines d’outils de sécurité, le tout dans un défilement ininterrompu de messages d’alerte. Dans un contexte de pénurie de ressources, toutes les activités des SOC se sont jusqu’ici apparentées à une fuite en avant dans le seul but ne pas se faire engloutir par l’avalanche d’alertes.
Or, ce modèle atteint aujourd’hui un point de rupture exacerbé par la pandémie de Covid-19. Les ressources se font encore plus rares qu’avant. Les jauges imposées obligent les équipes à organiser des rotations d’effectifs. Dans le même temps, le nombre de menaces explose et les incidents de cybersécurité d’envergure se multiplient à un rythme record.
Pour répondre à ces nouveaux enjeux, les SOC doivent consolider leurs activités, rationnaliser leurs tâches et améliorer leurs pratiques. Ce n’est qu’à cette condition qu’ils pourront faire face aux réalités et aux exigences actuelles et futures.
Trois problèmes majeurs posés par le modèle SOC traditionnel
Le modèle SOC traditionnel pose trois problèmes majeurs qui engendrent à leur tour d’autres difficultés, notamment une baisse de la performance et un affaiblissement de la sécurité.
Trop d’alertes
Pour dire les choses simplement, les SOC tentent tant bien que mal d’absorber un volume d’alertes ingérable. S’ensuit une accoutumance aux alertes qui ralentit sérieusement les activités de l’entreprise. Les problèmes importants se retrouvent ensevelis dans ce trop-plein d’informations, au risque de passer sous le radar des équipes de sécurité.
La solution ? Améliorer la précision de détection pour ne déclencher que les alertes vraiment nécessaires. Or, cette acuité passe par des processus et des outils adaptés, capables d’optimiser les journaux et les données ingérés par le SOC.
Trop de produits de sécurité
Il s’agit d’un problème récurrent dans le modèle SOC traditionnel. Les entreprises déploient en moyenne des dizaines de produits de cybersécurité sur leurs environnements. C’est beaucoup trop.
Certaines vont même jusqu’à déployer quatre à cinq agents par terminal, sans compter les différents types de pare-feu. Dans ces circonstances, la situation devient vite chaotique, d’autant plus que ces outils de sécurité ne communiquent pas entre eux. Les efforts nécessaires pour gérer tous ces produits compliquent la tâche des équipes de sécurité et viennent s’ajouter à leur charge de travail déjà colossale.
Les SOC les plus performants sont ceux qui savent se montrer intransigeants sur la priorisation des menaces et le choix des outils qu’ils utilisent. Pour réussir, ils doivent définir précisément leurs objectifs et trouver les plateformes et les solutions qui leur permettront de les atteindre. Ils auront besoin pour ce faire d’une plateforme centralisée, sur laquelle l’ensemble de leurs outils pourront communiquer dans un seul et même langage.
Trop de processus manuels
Beaucoup de SOC emploient des processus manuels pour gérer les incidents et les affaires courantes. Par conséquent, bon nombre de tâches répétitives nécessitent encore une intervention humaine qui, à la longue, représente un labeur écrasant. Lorsqu’un incident survient, les SOC traditionnels ressortent du placard leurs playbooks à la recherche d’incidents similaires survenus par le passé, puis reproduisent à la main chacune des étapes mises en œuvre la dernière fois, et ainsi de suite.
Rigides et dépassés, les processus manuels épuisent des analystes déjà complètement dépassés par le rythme désormais imposé aux SOC. Impossible, dans ces conditions, d’être suffisamment réactifs pour accélérer le temps moyen de détection (MTTD) et les délais de réponse.
La solution passe par l’intelligence artificielle et le machine learning, eux-mêmes indispensables à l’automatisation des processus lourds et répétitifs. Ainsi, vos collaborateurs pourront recentrer leurs compétences sur les missions prioritaires.
La consolidation du SOC, alliée de votre transformation numérique
Dans l’industrie de l’informatique, la tendance est aujourd’hui à la consolidation et à l’homogénéisation. Il y a encore quelques années, aucun environnement sur site ne ressemblait à un autre.
Aujourd’hui, l’heure est au cloud et les entreprises se tournent de plus en plus vers les outils SaaS et IaaS. Incompatibles avec ces nouvelles technologies, certains produits anciens deviennent obsolètes. Il est donc temps de passer à une nouvelle génération de produits de sécurité centrés sur le cloud et la promesse d’un véritable choc d’efficacité.
Bon nombre d’entreprises prennent aujourd’hui le virage du cloud dans le cadre de leur transformation numérique. C’est le moment idéal de dresser l’inventaire des différents produits et outils de sécurité de votre SOC, puis de calculer le retour sur investissement (ROI) de chacun d’eux, le but étant de consolider ces investissements au sein d’une seule et même plateforme centralisée.
La consolidation du SOC, levier de prévention et de protection
Rien de pire pour la sécurité d’une entreprise que la prolifération hors contrôle des outils utilisés. Prenez par exemple la vulnérabilité Log4j qui a ébranlé de nombreux SOC en décembre 2021. Il s’agissait plus précisément d’une faille dans une bibliothèque logicielle très largement répandue. Pour les SOC équipés de 80 outils de sécurité, identifier, corriger et protéger les actifs vulnérables n’a pas été une mince affaire.
En recentrant vos ressources au sein d’une plateforme unique, la consolidation vous aide à y voir plus clair. Pour protéger votre entreprise contre les vulnérabilités de type Log4j, abandonnez les processus manuels décousus au profit d’une approche coordonnée et collaborative.
La consolidation du SOC, bouffée d’oxygène pour vos équipes de sécurité
Plus important encore, la consolidation de votre SOC peut faire beaucoup pour la satisfaction professionnelle de vos collaborateurs. Pour ceux qui envisagent une carrière dans la cybersécurité, le SOC traditionnel représente un passage obligé plutôt qu’une fin en soi. Plongés dans un environnement stressant et chaotique, croulant sous une avalanche d’évènements à traiter avec pour seules armes des processus manuels dépassés, les collaborateurs n’ont qu’une hâte : gravir les échelons et laisser le SOC loin derrière eux.
Ce modèle est tout sauf idéal. Il ne donne à vos collaborateurs aucune raison de s’investir dans l’amélioration du SOC. Ces derniers se contentent de « faire le job » en attendant le jour où ils pourront enfin éteindre leur écran et partir vers des horizons plus radieux.
En consolidant votre SOC, c’est toute la dynamique de votre centre et de ses forces vives qui évolue. Vos collaborateurs ne passent plus leurs journées à traiter des tâches ennuyeuses et répétitives. Ils peuvent se concentrer sur des projets stratégiques qui font appel à leur créativité et à leur sens de l’innovation. Ils cherchent sans cesse de nouvelles façons d’améliorer les technologies et traquent plus efficacement les menaces. Leur mission a désormais du sens et leur permet d’exprimer tout leur potentiel. Résultat : ils sont plus heureux et épanouis dans leur travail, enfin libérés de leurs tâches rébarbatives. Dans cet environnement apaisé, vos collaborateurs seront moins pressés de quitter votre SOC et plus disposés à s’investir dans l’amélioration de ses systèmes.
Aucune entreprise ne peut se permettre de perdre du temps et des ressources à traiter manuellement un flux interminable d’alertes à l’aide d’outils disparates et incompatibles. Pour moderniser votre SOC et faire face aux menaces les plus sophistiquées, optez pour la consolidation.
Consolider. Simplifier. Orchestrer. Automatiser.