Ceci est une ancienne révision du document !
Une organisation doit se protéger des menaces de cybersécurité en adoptant :
SOC : Security Operations center
Les services du SOC peuvent être installés en interne, ou être détenus et exploités par un prestataire de sécurité.
Les principaux éléments d'un centre opérationnel de sécurité sont :
les SOC attribuent les rôles des postes par niveau, en fonction de l'expertise et des responsabilités requises pour chacun d'eux.
Le logiciel qui génère les alertes peut parfois déclencher de fausses alarmes, c'est pourquoi l'analyste de Cybersécurité doit vérifier qu'une alerte correspond réellement à un incident.
Un centre opérationnel de sécurité a besoin d'un système :
SIEM : Security Information and Event Management
SIEM prend en compte toutes les données générées par :
Les systèmes SIEM :
Les systèmes SIEM peuvent également gérer les ressources nécessaires pour mettre en œuvre des mesures préventives et faire face aux menaces futures.
Les technologies d'un centre opérationnel de sécurité sont les suivantes :
Chaque système d’information, tout comme chaque Etat, est exposé à des menaces diverses et évolutives.
Pour mieux se protéger, les différents CSIRT, qu’ils soient privés, commerciaux, ou à compétence gouvernementale ou nationale comme le CERT-FR, sont amenés à échanger continuellement des informations et des retours d’expérience entre partenaires de confiance.
Ces échanges permettent de maintenir un bon niveau de confiance et de coopération et d’améliorer la connaissance de l’état de la menace dans sa globalité. Ils permettent également aux CSIRT de mieux se préparer à faire face à des incidents dont sont victimes leurs bénéficiaires ou clients.
Lien CERT : https://www.cert.ssi.gouv.fr/
Un SIEM gère l'orchestration de la cybersécurité.
L'automatisation de la réponse aux incidents de cybersécurité est le SOAR.
SIEM et SOAR se complètent mutuellement.
SOAR : security orchestration, automation, and response.
Plateformes de sécurité SOAR :
SOAR met l'accent sur les outils d'intégration et l'automatisation des workflows SOC. Il orchestre de nombreux processus manuels tels que l'investigation des alertes de sécurité ne nécessitant une intervention humaine que lorsque cela est nécessaire. Cela permet au personnel de sécurité de traiter des questions plus urgentes et de plus haut niveau afin de remédier aux menaces.
Les systèmes SIEM produisent nécessairement plus d'alertes que la plupart des équipes SecOps ne peuvent étudier de manière réaliste afin de capturer de manière conservatrice autant d'exploits potentiels que possible.
SOAR traitera un grand nombre de ces alertes automatiquement et permettra au personnel de sécurité de se concentrer sur des exploits plus complexes et potentiellement dommageables.
Cinq métrique sont couramment utilisées comme métrique SOC :