Cyberattaques, un SOC pour se mettre au sec

Ce délai de 175 jours a été mis en évidence par l’étude M-Trends 2018 menée du 1^eroctobre 2016 au 30 septembre 2017. Autre chiffre alarmant, 47 % des entreprises ayant subi une attaque connaissent une récidive dans les 12 mois qui suivent. En quoi un SOC peut-il aider à augmenter la réactivité face à une cybermenace ? Ce dispositif de supervision de la sécurité du système d’information s’appuie sur des équipes d’analystes et des outils informatiques pour détecter, analyser, évaluer et répondre à ces menaces. Il permet de garantir la continuité des activités d’une entreprise, et contribue à la mise en conformité du SI avec les différentes règlementations, dont le RGPD.

Le SIEM, brique de base

Un SOC est articulé autour du SIEM, pour Security information event managment. Cette pièce maîtresse assure la collecte, l’agrégation, la corrélation, le reporting ou encore l’archivage des données collectées. Comme le rappelle le livre blanc d’ITrust, Tout ce que vous avez toujours voulu savoir sur le SOC, « face au nombre d’événements générés par la multitude des composants d’un système d’information, il devient difficile de les traiter progressivement ». Pour optimiser la détection de cyberattaques, « le SIEM doit être couplé à des solutions de détection des vulnérabilités et de surveillance de l’intégrité en continu ».

Détecter de nouvelles attaques

La réactivité d’un SOC ne se limite pas à sa capacité de détecter des attaques déjà connues. Il doit pouvoir repérer un nouveau malware, un cryptolocker, une fuite de données ou une attaque ciblée qui exploite des techniques inconnues du grand public. Bref, il doit être malin, agile et capter les signaux faibles d’un malware avant que celui-ci ne s’active. Mais, face à la masse considérable de données à passer au crible, l’analyse humaine atteint ses limites. D’où l’importance d’injecter de l’intelligence artificielle dans le dispositif notamment du machine learning qui va assurer une analyse comportementale et repérer, par exemple, un poste de travail dont le comportement semble anormal. La threat intelligence, le scanner de vulnérabilité, les outils d’alerting, les dashboards, mais aussi les sondes de détection d’intrusion constituent les autres « particules élémentaires » d’un SOC. Retrouvez leurs caractéristiques qui participent de l’efficacité du SOC, dans le livre blanc d’ITrust, à télécharger ici : www.itrust.fr/telecharger-le-livre-blanc-soc.

À propos d’ITrust :

Créé en 2007, ITrust, acteur en majeur en cybersécurité, mène des activités de services (conseil, audit, MSSP) et d’édition de logiciels innovants en cybersécurité avec IKare, scanner de vulnérabilité, et Reveelium, outil SIEM/UEBA de détection de malwares, virus et APT. La société européenne – basée à Labège (Toulouse) et implantée à Paris (Issy-les-Moulineaux) – dispose de ses propres centres de sécurité. Avec un portefeuille de plus de 300 clients, elle emploie 80 collaborateurs à Toulouse, Bordeaux, Paris et New York. www.itrust.fr