La vision de Cyber Academy
Un SOC regroupe l'équipe et les outils qui surveillent, détectent, analysent et répondent aux événements de sécurité en temps réel. Analystes en niveaux (T1 détection, T2 investigation, T3 threat hunting), 8x5 ou 24x7. Interne, externalisé (MSSP) ou hybride. Sans SOC, le SIEM est une archive de logs ; avec un SOC, c'est un système d'alerte précoce.
Ce que fait réellement un SOC
Un Security Operations Center est la fonction qui transforme la télémétrie brute en décisions et en actions. La shortDefinition le présente comme l'équipe associée à l'outillage; en pratique, la valeur réside dans le modèle opérationnel qui les relie. Le SIEM collecte et corrèle les journaux, l'EDR enregistre le comportement des terminaux et le SOAR exécute les playbooks, mais rien de tout cela ne produit de la sécurité à lui seul. Le SOC est ce qui lit l'alerte à 02:00, décide s'il s'agit d'un faux positif ou du premier signe d'une intrusion, et actionne le bon levier pour la contenir.
Au quotidien, un SOC déroule quatre boucles : surveiller (observer les consoles et les flux), détecter (confirmer qu'un signal est réel), répondre (contenir, éradiquer, restaurer) et améliorer (affiner les détections pour que le même bruit ne revienne pas). La dernière boucle est celle que les SOC immatures négligent, ce qui explique pourquoi ils se noient sous les alertes. Un SOC sain se mesure sur des résultats tels que le temps moyen de détection et le temps moyen de réponse, et non sur le nombre d'alertes clôturées.
Niveaux, effectifs et couverture
Le modèle classique répartit les analystes en niveaux. Le Tier 1 trie la file d'attente des alertes et décide de ce qui mérite un examen plus approfondi. Le Tier 2 enquête sur les incidents confirmés, construit la chronologie et pilote le confinement. Le Tier 3 mène une chasse aux menaces proactive et développe de nouveaux contenus de détection plutôt que d'attendre qu'une alerte se déclenche. Autour d'eux se trouvent des ingénieurs en détection, des intervenants en réponse aux incidents et un responsable SOC qui pilote le processus et les métriques.
La couverture est un choix délibéré qui a un coût réel. Un SOC en 8x5 surveille pendant les heures ouvrées; un SOC en 24x7 suit le soleil ou organise des équipes de nuit afin qu'un attaquant ne puisse pas compter sur un week-end tranquille. La bonne réponse dépend de votre exposition aux menaces, de vos obligations réglementaires et de ce que vous pouvez tenir dans la durée sans épuiser l'équipe.
Internaliser, externaliser ou combiner
Il existe trois modèles d'approvisionnement, et la plupart des organisations finissent quelque part entre les deux.
| Modèle | Qui le gère | Adapté à |
|---|---|---|
| Interne | Vos propres analystes et votre propre outillage | Environnements à forte sensibilité souhaitant un contrôle et un contexte complets |
| Externalisé (MSSP) | Un Managed Security Service Provider | Équipes ayant besoin d'une couverture 24x7 rapidement sans recruter un effectif complet |
| Hybride | Des responsables internes complétés par un MSSP ou un MDR pour les heures non ouvrées | La plupart des organisations de taille moyenne cherchant un équilibre entre coût, couverture et contrôle |
Externaliser la surveillance n'externalise pas la responsabilité. Un MSSP peut assurer l'équipe de nuit, mais votre équipe reste responsable de l'inventaire des actifs, des décisions de réponse qui touchent votre activité et de la relation avec le reste de l'IT. Le mode d'échec courant consiste à traiter un MSSP comme une solution à poser et à oublier, puis à découvrir pendant un incident que personne n'a cartographié vos systèmes les plus critiques ni convenu de qui peut isoler un hôte.
La place du SOC dans la gouvernance
Le SOC est une capacité opérationnelle, mais il n'existe pas en vase clos. Il exécute la partie détection et réponse de cadres tels que l'ensemble des fonctions du NIST Cybersecurity Framework (identifier, protéger, détecter, répondre, récupérer) et fournit des preuves qui soutiennent les contrôles ISO/IEC 27001 relatifs à la journalisation, à la surveillance et à la gestion des incidents.
Sous des réglementations telles que NIS2 et DORA, la capacité à détecter et à signaler rapidement les incidents n'est plus optionnelle, et le SOC est généralement l'endroit où cette capacité est rendue opérationnelle. Pour les praticiens, cela signifie qu'un SOC est jugé non seulement sur son taux de détection technique, mais aussi sur sa capacité à produire la chronologie, les preuves et les notifications attendues par les auditeurs et les régulateurs.
Frequently asked questions
01Quelle est la différence entre un SOC et un SIEM ?
Un SIEM est une plateforme qui agrège et corrèle les journaux. Un SOC est l'équipe et le processus qui surveillent cette plateforme et agissent sur ce qu'ils y trouvent. Le SIEM est l'outil; le SOC est ce qui le rend utile.
02Ai-je besoin d'un SOC 24x7 ?
Pas toujours. Les attaquants privilégient les nuits et les week-ends, donc le 24x7 réduit le temps de présence, mais il est coûteux à pourvoir en interne. De nombreuses organisations assurent en interne une couverture aux heures ouvrées et font appel à un MSSP ou à un fournisseur MDR pour les heures non ouvrées.
03Que signifient les niveaux d'un SOC ?
Le Tier 1 trie les alertes, le Tier 2 enquête sur les incidents confirmés et les contient, et le Tier 3 mène une chasse proactive et construit de nouvelles détections. Les niveaux décrivent l'escalade et la profondeur des compétences, pas nécessairement des personnes distinctes dans une petite équipe.
04Un MSSP est-il la même chose qu'un SOC ?
Un MSSP est l'une des façons de fournir un SOC, en externalisant la surveillance et la réponse auprès d'un prestataire. Vous pouvez aussi construire le SOC en interne ou exploiter un modèle hybride. Dans tous les cas, la responsabilité de votre environnement vous incombe.
05Quelles métriques montrent qu'un SOC fonctionne ?
Le temps moyen de détection et le temps moyen de réponse sont les métriques de résultat centrales, aux côtés de la couverture de détection et du taux de faux positifs. Le volume d'alertes à lui seul ne dit rien de l'efficacité.