Pour commencer la déifinition :
Qu'est ce qu'un SOC ?
Un Security Operations Center (centre opérationnel de sécurité, est une unité centralisée dédiée à la surveillance continue des systèmes d’information.
Sa mission principale est de détecter rapidement les activités suspectes ou malveillantes afin d'y réagir au plus vite.
Il est composé de ressources humaines (experts en sécurité chargés d'identifier, d'éliminer et de répondre aux cybermenaces) mais aussi matérielles (EDR, MDM, SIEM, IPS, IDS …)
Quelles sont ses activités ?
Concrètement le SOC surveille les journaux d'évènements ainsi les alertes de sécurité collectés grâce à différents outils qu’on va aborder plus bas.
Ainsi, un SOC collecte des journaux issus de multiples source :
- Annuaire interne (Active Directory)
- Pare-feu
- VPN
- Postes utilisateurs
- Serveurs
- Applications
Puis les centralise dans un SIEM.
Analyse les comportements anormaux :
- Détecte les tentatives d’intrusion
- Qualifie les incidents de sécurité
- Déclenche les premières actions de réponse
Un SOC fonctionne généralement 24h/24 et 7j/7, car les attaques peuvent survenir à tout moment.
Comment on identifie un évènement suspect ?
Un SOC détecte les comportements anormaux en comparant l’activité réelle du système à ce qui est considéré comme normal, puis en analysant les écarts qui pourraient indiquer une attaque.
I - Analyse des journaux :
Comme dit précédent, il collecte un nombre significatif d'informations issues de journaux de type :
- Annuaire interne (Active Directory)
- pare-feu
- VPN
- Postes utilisateurs
- Serveurs
- Applications
Grâce à ces informations, un SOC connaît le comportement habituel du SI :
- qui se connecte ?
- à quelle heure ?
- Depuis quelle localisation ?
- A quelles applications/ressources
- Manipule ou accède à quel volume de données ?
Tout ce qui s’écarte de cette “normalité” peut être suspect.
Exemples de signaux suspects :
- 50 tentatives de connexion échouée
- Connexion à 3h du matin
- Accès à des données inhabituelles
- Création soudaine de comptes admin
II - Détection par corrélation d’événements
Un événement seul n’est pas toujours suspect.
Mais un enchainement d’évènements peut révéler une attaque.
Exemple :
- Connexion depuis un pays inhabituel
- Téléchargement massif de fichiers
- Désactivation d’un antivirus
Cet enchaînement d’évènements peut constituer un scénario d’attaque potentiel.
Le SIEM corrèle ces événements automatiquement.
III - Analyse du comportement des utilisateurs (UEBA)
Comme dit plus haut, le SOC connait les habitudes des utilisateurs car il les observe en permanence :
- Horaires de connexion
- Applications utilisées
- Localisation des postes
- Volume d'activité
Exemple :
Un employé qui travaille normalement en France se connecte soudainement depuis l'étranger et accède à des dossiers sensibles.
Cela traduit un comportement anormal et remontera une alerte.
IV - Analyse du comportement des machines
Le SOC surveille aussi les postes et serveurs.
Exemples :
- Un poste qui communique avec un serveur inconnu
- Un processus qui lance des commandes inhabituelles
- Un pic d'activité sur le réseaux interne de l'entreprise
Ces événements sont des indicateurs pour attester :
- D'une présence d’un malware
- D'une exfiltration de données en cours (ou tentative
- D'un attaquant essayant d'effectuer une latérisation
V - Détection basée sur des signatures connues
Le SOC utilise des bases de menaces :
- Adresses IP blacklistée
- Fichiers malveillants
- Techniques MITRE ATT&CK
Si une activité correspond à un schéma connu, une alerte est remontée
VI - Détection par intelligence artificielle(de plus en plus)
Certains outils basés sur l’IA apprennent le comportement normal des cibles surveillées et détecte :
- Des anomalies statistiques
- Des variations inhabituelles de tout type
Exemple :
Un utilisateur qui accède soudainement à 10x plus de données que d’habitude !
Vous commencez à saisir la logique, c'est suspect.
Quel est le rôle de l’analyse SOC ?
De super outils n’ont aucune utilité si l’humaine ne traite pas l'incident après une remontée d’alerte.
La machine alerte, mais c’est l’humain qui analyse.
Le rôle de l'analyste est de se poser les questions suivantes :
- Ce comportement est-il normal pour cet utilisateur ?
- Est-ce un faux positif ?
- Est-ce une attaque en cours ?
Il met en corélation :
- Le contexte métier
- L'historique de l'utilisateur/machine
- Les habitudes
De là, l’analyste SOC peut évalue si l’alerte est un faux positif ou augrand malheure légitime et peut donc la traiter.
Quels sont les outils utilisés par un SOC ?
SIEM (collecte et corrélation des logs)
C’est l’outil central du SOC, il permet de :
- Collecter les logs de tout le système d’information
- Corréler les événements
- Générer des alertes en cas de comportement suspect
EDR/XDR
Ces outils surveillent directement les postes de travail et serveurs. Ils permettent de :
- Détecter les malwares
- Repérer des comportements suspects
- D'analyser l’activité des machines
Ils donnent une visibilité très fine de ce qui se produit sur les équipements.
SOAR (Security Orchestration, Automation and Response)
Le SOAR aide à automatiser la réponse aux incidents. Il permet de :
- Déclencher des actions automatiques
- Centraliser la gestion des alertes
- Guider les analystes dans les procédures
Exemple : isoler automatiquement un poste compromis.
Outils de Threat Intelligence
Ils fournissent des informations sur les menaces connues :
- Adresses IP malveillantes
- Campagnes d’attaque en cours notamment le phishing
- Signatures de malware
Le SOC s’en sert pour enrichir ses analyses et ses règles de détection.
Outils de supervision réseau (NDR)
Ils surveillent le trafic réseau pour détecter :
- Les communications suspectes
- Les mouvements latéraux
- Les exfiltrations de données
Outils de gestion des vulnérabilités
Ils permettent d’identifier les failles de sécurité dans le système d’information afin de réduire les risques d’attaque.
Comment s’organise la gouvernance dans un SOC ?
Mon avis sur le sujet, est qu’un SOC n’est pas fondamentalement régit par la gouvernance mais en est un socle car il l’alimente significativement.
En effet, il permet d’alimenter des indicateurs et donner des billes aux RSSI pour porter de sujets à enjeux auprès d’un COMEX/CODIR.
Le SOC alimente la gouvernance avec des métriques clés :
- Volume d'incidents
- Tendances d'attaque
- Evolution du niveau de la menace
- Systèmes les plus ciblés
Ces indicateurs servent à :
- Orienter les priorités
- Justifier des investissements
- Mesurer la maturité cyber et attester du travail accompli
Il s’avère être un outil indispensable à la décision, car il apporte une vision claire du terrain et permet d’identifier :
- Les zones les plus exposées
- Les vulnérabilités exploitées/exploitables
- Les comportements à risques
Cela permet à la gouvernance de décider de:
- Renforcer certains contrôles
- Déployer de nouveaux outils
- Adapter les politques de sécurité
En conclusion, un SOC est un outil puissant et indispensable pour assurer une démarche d’amélioration continue de la sécurité en qualité d’outil au croisement de plusieurs fonctions :
- Equipe IT
- CERT/ réponse à incident
- RSSI
- Equipes métiers
Il remonte l’information opérationnelle/du terrain vers les niveaux de pilotage en permanence. Ce qui est primodial pour assurer une sécurité de l'information à 360° et se raprocher au plus près de l'exhaustivité.
Sources et référence
- ANSSI – Recommandations sur la détection d’incidents
- NIST SP 800-61 – Incident Handling Guide
- MITRE ATT&CK – Base de connaissances sur les techniques d’attaque
- ENISA – Threat Landscape Reports
- IBM (SIEM & SOAR concepts)
- Microsoft (Defender / XDR documentation)
- Splunk (fonctionnement d’un SIEM)
- Gartner (définitions marché SOC)
