Posted 5 novembre 2020 in Blogue, Sécurité.
SOC quote FR
Article complet sur les SOC pour les infrastructures essentielles dans OPENSPACE 26 – Abonnez-vous

Nous avons précédemment défini les infrastructures essentielles et précisé en quoi elles sont primordiales pour chaque pays. Mais la nature essentielle de ces infrastructures de tous types explique également pourquoi elles sont vulnérables aux cyberattaques. (Article complet dans le magazine OPENSPACE 26)

Si une cyberattaque venait à réussir, les répercussions sur l’économie, la prospérité, la sécurité et les normes sociales d’un pays pourraient être désastreuses. Par conséquent, les infrastructures essentielles doivent être protégées de manière à assurer la continuité des services.

Pour parvenir à offrir une protection dans un environnement hostile, il faut comprendre cet environnement, les motivations des adversaires, les types d’attaques et la façon d’y répondre efficacement.

Que sont les SOC et comment peuvent-ils aider les infrastructures critiques ?

Même s’ils se cachent généralement derrière un système de sécurité physique assez impressionnant, les centres d’opérations de sécurité (SOC) constituent la ligne de front de la bataille silencieuse d’une organisation contre les cyberattaques.

Les centres d’opérations de sécurité existent afin de favoriser la résilience des organisations dans un cyberespace en pleine évolution. Ils jouent souvent un rôle de premier plan dans la protection des infrastructures essentielles, qu’ils soient spécialisés et dirigés par l’organisation concernée ou gérés dans le cadre de services de détection et d’intervention plus larges. Voici comment ils fonctionnent.

Un centre d’opérations de sécurité est un endroit qui surveille discrètement le cyberpaysage et la façon dont votre organisation interagit avec celui-ci. Il détecte les menaces, les incursions et les attaques, et crée des solutions pour veiller à ce que les infrastructures essentielles – ou même une organisation – continuent de fonctionner de façon efficace et efficiente dans un environnement en constante évolution.

Vous ne saisissez pas tout à fait comment cela est possible? Plusieurs s’interrogent aussi! Bien qu’il ne soit pas toujours pertinent de tenter de trouver des analogies entre le monde physique et celui de la sécurité numérique, il peut parfois être utile d’avoir recours à une comparaison générale.

La sécurité physique (et électronique) a pour but de fournir des mesures stratifiées et complémentaires pour protéger les ressources clés. Ces mesures peuvent comprendre les suivantes :

  • une clôture robuste autour d’un établissement, en plus du « renforcement » d’un édifice et de ses points d’accès pour arrêter ou ralentir les adversaires;
  • un système de télévision en circuit fermé et d’autres méthodes de détection pour donner l’alerte et fournir une connaissance de la situation liée à un incident de sécurité;
  • une certaine forme de contrôle pour s’assurer que toute réponse est coordonnée et efficace.

Un centre d’opérations de sécurité fait essentiellement les mêmes choses, mais se concentre toutefois sur les menaces en provenance du cyberespace :

  • la gestion des barrières;
  • la surveillance de l’environnement pour la détection d’activités malveillantes;
  • la connaissance situationnelle et la compréhension d’un incident;
  • l’utilisation d’outils stratifiés pour répondre à la menace.

À cet égard, un centre d’opérations de sécurité peut être vu comme l’ensemble des couches de cybersécurité regroupées en un seul endroit dynamique et actif en permanence.

Un centre d’opérations de sécurité permet aux organisations de toutes tailles – des multinationales aux petites entreprises faisant partie de la chaîne d’approvisionnement d’une infrastructure essentielle – de prendre en charge la menace et le risque de cyberattaques. Ce centre d’opérations de sécurité peut être un établissement spécialisé ou à utilisateurs multiples à gestion externe (semblable à notre offre de services de détection et d’intervention gérés); dans un cas comme dans l’autre, il offrira à une solution complète au problème de cyberprotection d’une infrastructure essentielle, et permettra de préserver ce qui compte le plus pour un pays.

[vidéo en anglais]

6 avantages des centres d’opérations de sécurité

  1. La cybersécurité présente une différence fondamentale par rapport à la sécurité physique : le centre d’opérations de sécurité n’a pas à être – et est en fait très rarement – situé sur le site à protéger. Cette capacité à assurer la sécurité des activités à distance offre un avantage important, car les organisations n’ont pas besoin d’investir dans leur propre centre d’opérations de sécurité sur place. Elles peuvent plutôt externaliser la cyberprotection, sans avoir à s’inquiéter de l’accroissement des risques.
  2. Les centres d’opérations de sécurité permettent également d’apprendre des autres utilisateurs. Par exemple, les détails d’un nouveau vecteur d’attaque peuvent être communiqués, ce qui permet d’accroître la compréhension du paysage des menaces et de lancer un avertissement précoce en cas d’attaque imminente.
  3. Les centres d’opérations de sécurité peuvent également protéger les organisations contre l’une des plus grandes menaces du cyberespace : celle qui vient de l’intérieur. Cette cybermenace n’est en général pas malveillante, et émane plutôt de personnes qui n’utilisent pas les techniques de bonnes pratiques en matière de cybersécurité.
  4. En outre, si vous vous préoccupez des sources de vulnérabilité de votre chaîne d’approvisionnement, par exemple parce que vos fournisseurs possèdent votre adresse IP, sachez que le centre d’opérations de sécurité peut en effectuer la surveillance.
  5. Un centre d’opérations de sécurité géré n’introduit pas de vulnérabilités supplémentaires. Dans tous les centres externalisés à utilisateurs multiples, les données des organisations sont conservées de façon distincte afin d’éliminer toute possibilité de menace décalée ou indirecte.
  6. Enfin, le centre d’opérations de sécurité, qu’il soit spécialisé en interne ou géré de l’extérieur, devrait être des plus discrets, protégeant furtivement une organisation des menaces extérieures.

Un centre d’opérations de sécurité est donc en mesure de protéger les infrastructures essentielles – ou une organisation – de façon efficace, tant de l’intérieur que de l’extérieur.

Pour en savoir plus

Ce billet est basé sur un article paru dans le numéro 26 (juillet 2020) d’OpenSpace, un magazine du Groupe RHEA proposant un leadership éclairé.

Pour lire cet article au complet et en apprendre davantage sur la façon dont les centres d’opérations de sécurité peuvent assurer la cybersécurité des infrastructures essentielles, de même que sur l’espace, la sécurité, l’informatique quantique et plus encore, veuillez vous abonner à OpenSpace.OPENSPACE26