Cercles des DSI
Tribune du Cercle

Mesurer l’efficacité d’un SOC : limites, moyens, clefs de réussite

Publié le

Par Sylvain Conchon, Responsable opérationnel de la BU Cybersécurité, CONIX


Les multiples panoramas de cybermenaces, mais aussi le poids des règlementations, nous le rappellent continuellement : l’heure est à la cybersurveillance. L’outil de la cybersurveillance, au cœur du débat, c’est le SOC (Security Operation Center).

Le débat en question : les SOC sont inefficaces, entend-on régulièrement.

Le rapport State of Security Operation 2015 nous le dit, au travers de la mesure de la maturité de 87 SOC. Il y est fait brièvement mention de la mesure de leur efficacité, et l’indicateur ultime est dans les conclusions du rapport : « la capacité à détecter avec exactitude les attaques en cours ».

Nous en conviendrons ensemble, conclure qu’un SOC efficace est celui qui détecte les attaques ne fait pas vraiment avancer le débat.

  • Comment s’assurer que la détection est fiable et exhaustive ?
  • Comment détecter les attaques qu’on ne connaît pas ?

Une piste de réflexion : puisqu’on ne peut pas mesurer ce que l’on ne détecte pas, l’efficacité ne peut être mesurée qu’indirectement.
Des initiatives qui vont dans le bon sens

En France, on note plusieurs initiatives qui positionnent le débat sur un autre plan.

  • Les travaux du CLUSIF, au travers d’un groupe de travail ad hoc, s’orientent sur « Comment réussir le déploiement d’un SOC », et vise à mettre le SOC dans des dispositions optimales dès le début du projet.
  • Les travaux de l’ANSSI sur la qualification des prestataires de SOC (référentiel PDIS, en version 0.9 à ce jour) visent à identifier des prestataires de confiance, spécialistes du domaine, avec des garanties sur leurs compétences et sur la qualité des services fournis.

Ces initiatives contribuent à une approche vertueuse du domaine de la cybersurveillance, et devraient aboutir, à terme, à la montée de la maturité des SOC.
Mais le débat reste ouvert : mon service de cybersurveillance est-il pour autant efficace ?
Le « client » du SOC partie prenante de son efficacité
Une révolution dans le domaine : et si le SOC ne pouvait être efficace que si son client l’était ? Le SOC est trop souvent vu comme une fonction support du SI (lui-même fonction support, d’ailleurs), alors que le SOC est parfois prescripteur pour le SI !
Le SOC n’est pas l’unique responsable de ce qu’il ne détecte pas. Deux axes de réflexion côté client :

  • Exprimer un cahier des charges permettant de construire des scénarios de détection avec et pour le métier : on n’« achète » pas un SOC efficace, on le construit
  • Intégrer le SOC dans les processus IT matures (ex. : gestion des changements) : il faut considérer qu’une évolution du SI est une évolution du SOC

Et après ?

Bien évidemment, il ne faut pas occulter la responsabilité en propre du SOC dans son efficacité.

Au-delà des considérations usuelles (les compétences des individus, les processus qualité, etc.), quelques axes forts, contributifs de l’amélioration continue :

  • La vitalité et la pertinence de la R&D au service de la détection (nouveaux outils, nouvelles patterns)
  • La capacité à ouvrir le SOC sur la prévention (la veille) et la réaction (la levée de doute)

Le débat est ouvert : et si l’efficacité du SOC résidait dans sa capacité à s’améliorer de manière continue et de manière tangible ? Dans tous les cas, c’est en sortant de sa zone de confort – remonter et contextualiser l’information existante – qu’il deviendra plus efficace. La réflexion est lancée pour les SOC de demain.

Dernière publication

CrowdStrike a réalisé une enquête portant sur les cybermenaces touchant la chaine logistique. Réponses dans cet article. 

Lire