L’idée de protéger le château a vécu. Le périmètre de la sécurité a changé. Il convient de l’élargir. Depuis la fin de l’année 2022, Win propose son CyberSOC.

La transformation numérique, l’adoption de nouvelles technologies et le passage au travail à distance ont considérablement étendu la vulnérabilité des entreprises et des organisations publiques face aux cyber-attaques. Celles-ci sont toujours plus nombreuses, sophistiquées et complexes à identifier. « 212 jours en moyenne sont nécessaires pour qu’une organisation détecte une intrusion dans son réseau informatique, rappelle Joséphine Russello, SDM Cybersécurité, Win. Un délai qui peut s’avérer fatal pour des acteurs qui opèrent dans des secteurs parfois très sensibles -hôpitaux, services publics, gestionnaires d’énergie, etc. Aussi, il faut absolument réduire ce délai à quelques heures ! »

Soit un changement de paradigme. Qui plus est, les usages évoluent. Aujourd’hui, les utilisateurs sont de plus en plus mobiles, se connectent sur de plus en plus de périphériques aux quatre coins du monde. Entretemps, un grand nombre d’applications et de données ont migré dans le cloud, ce qui a pour effet d’exposer davantage les ressources IT aux différentes menaces. « Hier, en multipliant les solutions de sécurité, on protégeait l’organisation comme un château fort, illustre Julien Bastin, Analyste CyberSOC, Win. « Du haut des remparts, on pouvait observer les assaillants de loin. Ils ignoraient la structure des fortifications. Quant à elle, l’architecture bien connue du château-fort par les défenseurs brisait de nombreuses stratégies d’attaque. Mais depuis que les citadelles sont devenues numériques, la donne a changé. Les batailles cyber sécuritaires avantagent nettement les attaquants et désarment les défenses. Bien souvent, les défenseurs ignorent leurs failles. »

Du château fort à la tour de contrôle

On se rend compte aujourd’hui que la multiplication des outils nuit à la sécurité. Si la puissance de la plupart est indéniable, encore faut-il pouvoir les faire communiquer. Force est de constater un réel besoin d’homogénéisation et de simplification des différentes solutions acquises au fil du temps et des transformations de l’entreprise. L’objectif est d’exploiter des outils interopérables afin de limiter les actions manuelles, réduire les dépenses et obtenir ainsi de meilleures performances. Ce mouvement est accentué par la pénurie de ressources humaines compétentes en informatique, en particulier dans le domaine de la cybersécurité. C’est dans ce contexte que Win propose son CyberSOC.

L’idée de base d’un SOC ? Consolider les flux de données disparates en provenance de chaque ressource afin d’acquérir une compréhension de base de l’activité normale du réseau. Le SOC s’appuie ensuite sur ces données pour identifier les activités anormales de manière plus rapide et précise.

L’une des principales caractéristiques du SOC est qu’il est opérationnel en permanence et offre des capacités de surveillance, de détection et d’intervention 24 heures sur 24, 7 jours sur 7. Cela permet de contenir et de neutraliser rapidement les menaces et, partant, de minimiser le temps de propagation dans l’entreprise…

« Concrètement, le SOC a pour objectif de protéger en temps réel le système d’information contre des menaces identifiées, de surveiller l’activité du système d’information et de gérer de bout en bout les incidents. Au cœur de la sécurisation du système d’information, il agit donc comme une véritable tour de contrôle, illustre François Lemaire, Analyste CyberSOC, Win. Ce faisant, il permet aux entreprises d’élever significativement leur niveau de cyberprotection. »

Le SOC n’est pas qu’une simple question de technologies ou d’outils 

Le CyberSOC assure notamment les activités et responsabilités suivantes :

• Surveillance du réseau afin de bénéficier d’une visibilité totale sur l’activité numérique et détecter plus efficacement les anomalies
• Application de techniques de prévention afin d’éloigner et d’éliminer les risques connus et inconnus
• Détection des cybermenaces et compilation d’une cyberveille afin de déterminer l’origine, les conséquences et la gravité de chaque incident de sécurité
• Intervention décisive sur incidents et correction à l’aide d’une combinaison de technologies automatisées et de moyens humains
• Création de rapports afin de s’assurer que tous les incidents et menaces alimentent le référentiel de données, de façon à gagner en précision et en réactivité au fil du temps
• Gestion des risques et de la conformité pour garantir le respect des réglementations sectorielles et gouvernementales.

Si le choix de la plateforme technique utilisée est important pour choisir son SOC, elle n’est pas la seule composante à prendre en compte. Le SIEM (Security Information & Event Management) est un outil indispensable au cœur du dispositif, permettant de détecter de potentiels incidents ou anormalités. Agrémenté par des outils spécifiques aux différentes ressources telles que NDR (Network Detection & Response) ou EDR (Endpoint Detection & Response) etc., il va faire le tri des événements pour alimenter le travail des analystes et experts cybersécurité du SOC. La finesse de leur analyse des événements constatés et la compréhension de l‘environnement de leurs clients (techniques, business, etc.) leur permettent de délivrer une qualité de service de premier plan, des alertes et des recommandations pertinentes. « La dimension humaine est donc tout aussi stratégique que le volet technologique pour proposer un service SOC performant », conclut Joséphine Russello.