4min. read

Le centre opérationnel de sécurité (SOC) tel que nous le connaissons n’a pas changé depuis des décennies. Or, le modèle sur lequel il repose n’est plus assez performant pour répondre aux enjeux actuels. Face aux évolutions de la physionomie des entreprises et du champ des menaces, l’heure est venue d’abandonner les vieilles méthodes et de faire souffler le vent du changement sur les SOC. Meilleurs résultats, remédiation plus rapide, réduction des risques, posture de sécurité renforcée... Les arguments en faveur de la consolidation sont nombreux.

SOC traditionnels vs SOC modernes : ce qui change

Le SOC d’aujourd’hui évoque des images peu engageantes de collaborateurs serrés les uns contre les autres, assis devant des écrans affichant un flot perpétuel d’informations et transmettant une multitude de données issues de dizaines d’outils de sécurité, le tout dans un défilement ininterrompu de messages d’alerte. Dans un contexte de pénurie de ressources, toutes les activités des SOC se sont jusqu’ici apparentées à une fuite en avant dans le seul but ne pas se faire engloutir par l’avalanche d’alertes.

Or, ce modèle atteint aujourd’hui un point de rupture exacerbé par la pandémie de Covid-19. Les ressources se font encore plus rares qu’avant. Les jauges imposées obligent les équipes à organiser des rotations d’effectifs. Dans le même temps, le nombre de menaces explose et les incidents de cybersécurité d’envergure se multiplient à un rythme record.

Pour répondre à ces nouveaux enjeux, les SOC doivent consolider leurs activités, rationnaliser leurs tâches et améliorer leurs pratiques. Ce n’est qu’à cette condition qu’ils pourront faire face aux réalités et aux exigences actuelles et futures.

Trois problèmes majeurs posés par le modèle SOC traditionnel

Le modèle SOC traditionnel pose trois problèmes majeurs qui engendrent à leur tour d’autres difficultés, notamment une baisse de la performance et un affaiblissement de la sécurité.

Trop d’alertes

Pour dire les choses simplement, les SOC tentent tant bien que mal d’absorber un volume d’alertes ingérable. S’ensuit une accoutumance aux alertes qui ralentit sérieusement les activités de l’entreprise. Les problèmes importants se retrouvent ensevelis dans ce trop-plein d’informations, au risque de passer sous le radar des équipes de sécurité.

La solution ? Améliorer la précision de détection pour ne déclencher que les alertes vraiment nécessaires. Or, cette acuité passe par des processus et des outils adaptés, capables d’optimiser les journaux et les données ingérés par le SOC.

Trop de produits de sécurité

Il s’agit d’un problème récurrent dans le modèle SOC traditionnel. Les entreprises déploient en moyenne des dizaines de produits de cybersécurité sur leurs environnements. C’est beaucoup trop.

Certaines vont même jusqu’à déployer quatre à cinq agents par terminal, sans compter les différents types de pare-feu. Dans ces circonstances, la situation devient vite chaotique, d’autant plus que ces outils de sécurité ne communiquent pas entre eux. Les efforts nécessaires pour gérer tous ces produits compliquent la tâche des équipes de sécurité et viennent s’ajouter à leur charge de travail déjà colossale.

Les SOC les plus performants sont ceux qui savent se montrer intransigeants sur la priorisation des menaces et le choix des outils qu’ils utilisent. Pour réussir, ils doivent définir précisément leurs objectifs et trouver les plateformes et les solutions qui leur permettront de les atteindre. Ils auront besoin pour ce faire d’une plateforme centralisée, sur laquelle l’ensemble de leurs outils pourront communiquer dans un seul et même langage.

Trop de processus manuels

Beaucoup de SOC emploient des processus manuels pour gérer les incidents et les affaires courantes. Par conséquent, bon nombre de tâches répétitives nécessitent encore une intervention humaine qui, à la longue, représente un labeur écrasant. Lorsqu’un incident survient, les SOC traditionnels ressortent du placard leurs playbooks à la recherche d’incidents similaires survenus par le passé, puis reproduisent à la main chacune des étapes mises en œuvre la dernière fois, et ainsi de suite.

Rigides et dépassés, les processus manuels épuisent des analystes déjà complètement dépassés par le rythme désormais imposé aux SOC. Impossible, dans ces conditions, d’être suffisamment réactifs pour accélérer le temps moyen de détection (MTTD) et les délais de réponse.

La solution passe par l’intelligence artificielle et le machine learning, eux-mêmes indispensables à l’automatisation des processus lourds et répétitifs. Ainsi, vos collaborateurs pourront recentrer leurs compétences sur les missions prioritaires.

La consolidation du SOC, alliée de votre transformation numérique

Dans l’industrie de l’informatique, la tendance est aujourd’hui à la consolidation et à l’homogénéisation. Il y a encore quelques années, aucun environnement sur site ne ressemblait à un autre.

Aujourd’hui, l’heure est au cloud et les entreprises se tournent de plus en plus vers les outils SaaS et IaaS. Incompatibles avec ces nouvelles technologies, certains produits anciens deviennent obsolètes. Il est donc temps de passer à une nouvelle génération de produits de sécurité centrés sur le cloud et la promesse d’un véritable choc d’efficacité.

Bon nombre d’entreprises prennent aujourd’hui le virage du cloud dans le cadre de leur transf