Introduction

Durant ces dernières années, l’industrie des technologies de l’information et des

télécommunications témoigne une évolution considérable. En conséquence, cette évolution
entraine le développement de nouveaux services multimédia qui exigent des garantis en terme
de qualité de service. En revanche, avec un besoin croissant d'offrir des services plus
personnalisés à leurs abonnés tout en faisant face à la complexité croissante de leurs réseaux,
et les défis posés par une diversification de leurs modèles d'affaires vers le cloud et les
services numériques, les opérateurs réseaux doivent passer de CNP (centres d'opérations
réseau) à SOC (centre d’opération de service).

Pour rester au courant des temps en termes de technologies de télécommunication et service

des réseaux, et pour améliorer les capacités de service à la clientèle. les opérateurs autour du
monde , cherchent toujours de développer des centres d’opération de service (SOC) qui lui
permettent de surveiller et de visualiser leurs services, leurs sites et le statut de leurs clients et
de poursuivre l'exploration et l'exploration des instances de services et des sites à l'aide
d'informations sur les performances, les erreurs et la configuration, à travers les domaines, les
réseaux et les topologies. Les centres d'opérations de service (SOC) regroupent les ressources
dans un seul emplacement et gèrent les flux de données et les événements déconnectés,
fournissant des informations sur la qualité de service (QoS) fournie aux abonnés.

Définition d’un SOC :

Un centre des opérations de sécurité , ou SOC, est une équipe de professionnels de la sécurité
informatique qui protège l'organisation en surveillant, détectant, analysant et enquêtant sur les
cybermenaces . Les réseaux, les serveurs, les ordinateurs, les terminaux, les systèmes
d'exploitation, les applications et les bases de données sont continuellement examinés pour
détecter les signes d'un incident de cybersécurité. L'équipe SOC analyse les flux, établit des
règles, identifie les exceptions, améliore les réponses et surveille les nouvelles vulnérabilités.

Étant donné que les systèmes technologiques de l'organisation moderne fonctionnent 24

heures sur 24, 7 jours sur 7, les SOC fonctionnent généralement 24 heures sur 24 par équipes
pour assurer une réponse rapide à toute menace émergente. Les équipes SOC peuvent
collaborer avec d'autres départements et employés ou faire appel à des fournisseurs de
sécurité informatique tiers experts.

Avant de mettre en place un SOC, les organisations doivent développer une stratégie globale
de cybersécurité qui s'aligne sur leurs objectifs et défis commerciaux. De nombreuses grandes
organisations disposent d'un SOC interne, mais d'autres choisissent de sous-traiter le SOC à
un fournisseur de services de sécurité géré tiers.

Les services de renseignement de sécurité et de conseil en opérations comprennent un arsenal

de solutions de sécurité pour garder une longueur d'avance sur les menaces de sécurité.
fonctionne un SOC ?
La mission principale du SOC est la surveillance de la sécurité et l'alerte. Cela comprend la
collecte et l'analyse de données pour identifier les activités suspectes et améliorer la sécurité
de l'organisation. Les données sur les menaces sont collectées à partir des pare-feux, des
systèmes de détection d'intrusion, des systèmes de prévention des intrusions, des systèmes de
gestion des informations et des événements de sécurité (SIEM) et des renseignements sur les
menaces. Des alertes sont envoyées aux membres de l'équipe SOC dès que des écarts, des
tendances anormales ou d'autres indicateurs de compromis sont détectés.

Que fait un SOC ?

Découverte d'actifs

En acquérant une connaissance approfondie de tous les matériels, logiciels, outils et

technologies utilisés dans l'organisation, le SOC garantit que les actifs sont surveillés pour les
incidents de sécurité.

Surveillance comportementale

Le SOC analyse l'infrastructure technologique 24/7/365 pour les anomalies. Le SOC utilise
des mesures réactives et proactives pour s'assurer que les activités irrégulières sont
rapidement détectées et traitées. La surveillance comportementale des activités suspectes est
utilisée pour minimiser les faux positifs.

Maintenance des journaux d'activité

Toutes les activités et communications ayant lieu dans l'entreprise doivent être consignées par
l'équipe SOC. Les journaux d'activité permettent au SOC de revenir en arrière et d'identifier
les actions passées susceptibles d'avoir causé une violation de la cybersécurité. La gestion des
journaux aide également à établir une base de référence pour ce qui devrait être considéré
comme une activité normale.

Classement des alertes

Tous les incidents de sécurité ne sont pas créés égaux. Certains incidents poseront un plus
grand risque à une organisation que d'autres. L'attribution d'un classement de gravité aide les
équipes SOC à hiérarchiser les alertes les plus graves.

Réponse aux incidents

Les équipes SOC effectuent une réponse aux incidents lorsqu'un compromis est découvert.

Enquête sur les causes profondes

Après un incident, le SOC peut être chargé d'enquêter sur quand, comment et pourquoi un
incident s'est produit. Au cours de l'enquête, le SOC s'appuie sur les informations du journal
pour suivre le problème racine et éviter ainsi qu'il ne se reproduise.
Gestion de la conformité

Les membres de l'équipe SOC doivent agir conformément aux politiques organisationnelles,
aux normes de l'industrie et aux exigences réglementaires.

les avantages d'un SOC ?

Lorsqu'un SOC est correctement mis en œuvre, il offre de nombreux avantages, notamment :

 Surveillance et analyse continues de l'activité du système.

 Amélioration de la réponse aux incidents.
 Diminution du délai entre le moment où un compromis se produit et le moment où il
est détecté.
 Réduction des temps d'arrêt.
 Centralisation des ressources matérielles et logicielles menant à une approche plus
holistique et en temps réel de la sécurité de l'infrastructure.
 Collaboration et communication efficaces.
 Réduction des coûts directs et indirects associés à la gestion des incidents de
cybersécurité.
 Les employés et les clients font confiance à l'organisation et deviennent plus à l'aise
avec le partage de leurs informations confidentielles.
 Plus de contrôle et de transparence sur les opérations de sécurité.
 Une chaîne de contrôle claire pour les systèmes et les données, ce qui est crucial pour
poursuivre avec succès les cybercriminels.

Centre des opérations de sécurité : interne ou externalisé ?

Un SOC bien géré est le centre névralgique d'un programme de cybersécurité d'entreprise
efficace . Le SOC ouvre une fenêtre sur un paysage de menaces complexe et vaste. Un SOC
ne doit pas nécessairement être interne pour être efficace. Un SOC partiellement ou
entièrement externalisé géré par un tiers expérimenté peut rester au fait des besoins de
cybersécurité d'une organisation. Un SOC est essentiel pour aider les organisations à réagir
rapidement à une intrusion.

Système de gestion des évènements

il existe trois types d'environnements définis sur les systèmes de gestion des événements:

SEM (Security Event Management): Ces produits offrent une gestion des événements, une
analyse des menaces en temps réel, une visualisation, une billetterie, une réponse aux
incidents et des opérations de sécurité. Ils sont généralement basés sur des bases de données
SQL d'entreprise telles qu'Oracle
 SIM (Security Information Management): un type de logiciel qui automatise la collecte des
données du journal des événements à partir des dispositifs de sécurité, tels que les pare-feu,
les serveurs proxy, les systèmes de détection d'intrusion (IPS, IDS) et les logiciels antivirus

SIEM (Security Information and Event Management):SIEM (Informations sur la sécurité et

gestion des événements) Ces produits combinent des capacités SIM et SEM, les produits SIM
sont simples à déployer et à utiliser, tandis que les produits SEM sont plus complexes.

La technologie SIEM fournit une analyse en temps réel des alertes de sécurité générées par le
matériel et les applications réseau. Les solutions SIEM sont fournies sous forme de logiciels
d’Appliance ou de services gérés. Elles sont également utilisées pour consigner les données
de sécurité et générer des rapports à des fins de conformité.

Figure :Architecture SIEM

 SIEM décrit les capacités du produit de rassembler, analyser et présenter l'information des
dispositifs de : Réseau et sécurité
 Applications de gestion d'identité et d'accès
 Outils de gestion de la vulnérabilité et de conformité aux politiques
 Systèmes d'exploitation

- Bases de données

Journaux d'application

 Données sur les menaces externes

 Un objectif clé de SIEM est de surveiller et d'aider à gérer les privilèges des utilisateurs et
des services, les services d'annuaire et d'autres changements de configuration du système;
ainsi que fournir l'audit et l'examen de journal et la réponse aux incidents.
Introduction :

Les cybermenaces sont de plus en plus courantes, plus dangereuses et plus difficiles à détecter et à
atténuer. Selon l' étude 2021 du Ponemon Institute sur le coût des violations de données , les
organisations mettent en moyenne 287 jours pour détecter une violation, et plus d'un mois pour la
contenir. Les entreprises de toutes tailles ont besoin d'une structure organisationnelle formelle
capable d'assumer la responsabilité de la sécurité des informations et de créer un processus efficace
de détection, d'atténuation et de prévention. C'est là qu'intervient un centre d'opérations de sécurité
(SOC).

SOC et SIEM : quelles différences ?

Le SOC, pour Security Operation Center, est, comme son nom l’indique, le centre des
opérations de sécurité. Plus précisément, un SOC se concentre sur la surveillance des menaces
et la qualification des incidents.

Pour y parvenir, les analystes utilisent un outil, le SIEM (Security Information Management
System). Le SIEM intègre des logiciels utilisés pour surveiller les infrastructures des
entreprises. Les analystes y configurent un ensemble de règles de corrélation selon la
politique de sécurité préconisée afin de détecter d’éventuelles menaces.

 Le CSIRT, qu’est-ce que c’est ?

CSIRT veut dire Computer Security Incident Response Team. C’est une entité qui gère la
réponse aux incidents.

Les équipes du CSIRT travaillent en anticipation : ils enrichissent nos différents outils de
connaissance de la menace (Threat Intelligence). Ils interviennent également en cas d’urgence
afin d’accompagner des entreprises dans la gestion de crises cyber.

Les équipes de sécurité

Les principaux établissements du secteur financier en France participent à ces réseaux

d’échanges et disposent d’équipes capables d’intervenir.il existe deux types d’équipe : Les

centres opérationnels de sécurité (COS) et les équipes de réponse aux incidents de sécurité
informatique(CSIRT).

A.1.Les centres opérationnels de sécurité (COS)

Un SOC est une équipe d’experts en sécurité chargée de surveiller, détecter,

analyser et qualifier les évènements de sécurité. Cette équipe assure le pilotage des réactions

appropriées aux incidents avérés de sécurité. Elle a pour objectif de réduire à la fois la durée

et l’impact des incidents de sécurité qui tirent profit, perturbent, empêchent, dégradent ou

détruisent les systèmes dédiés aux opérations habituelles et standards. Cet objectif est atteint

grâce à une surveillance efficace et à un suivi des incidents de bout en bout.

Selon les choix organisationnels, le SOC peut également assurer les missions suivantes :

 Suivi des vulnérabilités (de la détection à la correction) ;

 Veille en sécurité informatique ;

 Sensibilisation des utilisateurs en fonction des observations faites sur le SI ;

 Expertise et conseil auprès des équipes informatiques ;

 Pilotage de la mise en œuvre des correctifs de sécurité .

Chapitre 2 La banque face aux aléas de la cybercriminalité

99

Compte tenu de la variété des missions, des impacts technologiques ainsi que des

impacts organisationnels majeurs, la mise en œuvre d’un SOC représente un réel

investissement en temps et ressources pour l’Entreprise concernée.

A.2.Les équipes de réponse aux incidents de sécurité informatique(CSIRT)

Les équipes de réponse aux incidents de sécurité informatique, plus connues sous

leur acronyme anglais CSIRT (computer Security incident réponse teams), sont, quant à elles,

chargées d’intervenir en cas d’incident.

Les CSIRT exploitent donc les alertes produites par les COS, ainsi que d’autres

alertes reçues par d’autres canaux pouvant signaler des anomalies.

Les missions de CSIRT sont :

 De fournir l’ensemble des services suivants aux parties prenantes inclues dans son

périmètre d’action ;

 Fournir un mécanisme de réponse aux incidents de cyber sécurité et de la sécurité de

l’information Assurer la coordination et la communication entre les différentes équipes de

réponse ‘incidents’ ;

 Fournir une expertise et de conseil sécurité.

A.3. Les principales différences entre le (COS) et (CSIRT)

La limite entre SOC et CSIRT n’est pas toujours évidente à tracer. Seul un modèle de

gouvernance et des responsabilités clairement établies permettent de partager détection,

réaction et suivi des incidents.

Les adhérences entre le modèle de sécurité de l’Entreprise et l’organisation de

l’Entreprise peuvent constituer un frein supplémentaire au partage des tâches et

responsabilités (il n’est pas rare que les fonctions/rôles des deux entités soient portés par les

mêmes.

Figure.5. : Les 4 grandes activités de la sécurité opérationnelle

Objectifs d’un SOC :

Le SOC a pour but de s’assurer que les systèmes d’information d’une entreprise sont
efficacement protégés contre les cyberattaques, l’ultime objectif étant de garantir aux
entreprises une continuité de service. Pour cela, le SOC va surveiller l’ensemble de
l’infrastructure informatique : les terminaux, les réseaux, les applications, les bases de
données quel que soit leur lieu d'hébergement, les sites internet, les intranets, etc. 

Toutefois, si une cyberattaque se produit, le SOC a pour mission de la gérer et de réduire au

maximum son impact négatif sur le fonctionnement de l’entreprise.
La sécurisation d’un système d’information doit être abordée selon les 4 volets suivants :

a) Gouvernance : Définition et mise en place de la gouvernance, c’est-à-dire identifier les

acteurs, les rôles, les règles et les processus qui régissent la sécurité du système

d’information. Détermination de la cible de sécurité que l’entreprise se choisit.

b) Protection: Sélection puis mise en place des mesures de protection organisationnelles et

techniques nécessaires pour mitiger les risques afin que la sécurité du SI ainsi implémentée

soit conforme à la cible de sécurité que l’entreprise s’est choisie et aux multiples exigences

réglementaires auxquelles elle est soumise.

c) Détection/Réaction: Sélection puis mise en place des mesures de sécurité relatives à la

surveillance des incidents de sécurité et à leur traitement.

d) Remédiassions/Reconstruction : Reconstruction de tout ou partie du SI après une attaque

réussie.