Bénéficiez d’une surveillance proactive de votre SI contre les cybermenaces.
Pourquoi recourir à un SOC (Security Operations Center) ?
MULTIPLICATION DES CYBERATTAQUES
2 entreprises sur 3 ont subi au moins une tentative de fraude dans l’année
MANQUE DE RESSOURCES 70% des entreprises manquent de spécialistes en Cybersécurité
RANSOMWARE
90% des victimes ont perdu irrémédiablement des données
EXPOSITION AUX RISQUES
20% des violations de sécurité sont dues à un travailleur distant
Protéger votre entreprise : l’essentiel à savoir
Un SOC permet aux organisations de faire face à une exposition croissante aux risques de cybersécurité
Avec l’explosion du nombre d’attaques cyber et la complexité croissante de celles-ci, la plupart des organisations ne sont pas prêtes à y faire face. Elles doivent être en mesure d’identifier les menaces le plus tôt possible, de détecter et analyser les éventuelles attaques, avant de pouvoir les traiter de la manière la plus efficace possible. Le facteur temps est fondamental.
Une attaque de type ransomware prend en moyenne 25 jours avant son déclenchement !
Sans les services d’un SOC, la plupart des attaques peuvent passer inaperçues alors qu’elles sont déjà engagées. Il est donc essentiel d’avoir une approche proactive, notamment au travers d’audits, mais aussi de mettre en œuvre une approche réactive au travers d’un SOC.
Un SOC (Security Operations Center) est basé sur un ensemble de moyens technologiques, humains et de processus qui permettent d’assurer la sécurité de l’organisation au travers d’une surveillance en temps réel du système d’information. Il permet de détecter, d’analyser, de protéger, de lever des alertes et de lancer des actions de remédiation. Cette démarche s’inscrit par ailleurs dans un processus d’amélioration continue.
Le SOC devient ainsi le premier rempart de l’entreprise contre les incidents de cybersécurité. Il permet notamment d’identifier les intrusions, d’éviter les fuites de données et de réduire le risque d’être victime d’un rançongiciel (ransomware).
Quels modèles de SOC choisir ?
Lorsque vous souhaitez recourir à un SOC, se pose la question du choix de modèle à adopter : Faut-il opter pour un SOC traditionnel basé sur du SIEM « on premise » ou sur SOC as a Service (SOCaaS) basé sur des technologies cloud ?
Les deux grandes catégories de SOCs
- Le SOCaaS (SOC as a Service) désigne un service de sécurité managé basé sur le cloud, construit sur une plateforme SaaS (Software as a Service) multi-tenant. L’objectif est d’assurer la surveillance du système d'information. Il peut reposer sur plusieurs technologies comme le SIEM cloud mais également des solutions comme l’EDR (Endpoint Detection & Response) assurant une surveillance avancée au niveau du Endpoint (poste de travail et serveur).
- Le SOCaaS permet de répondre aux défis d’un SOC traditionnel tout en étant plus simple et plus rapide dans sa mise en œuvre. Il propose également des tarifications plus abordables. Cela permet de faciliter l’accès à ce type de surveillance aux ETI et PME, là où le SOC traditionnel n'est envisageable que pour les Grandes Entreprises.
- La mise en place d’un SOC traditionnel est un projet d’envergure qui nécessite un lourd investissement financier et un long processus de mise en place. Pour ces raisons, le recours à un SOC (internalisé ou externalisé) a souvent été le fait de grandes entreprises ayant les moyens financiers d’y accéder.
- Un SOC traditionnel s’appuie sur un SIEM (Security Information and Event Management) on premise. C’est à travers ce type de solution que les logs des différentes solutions de sécurité seront collectés et corrélés pour apporter du contexte et identifier de potentiels incidents de sécurité.
Podcast : le SOC as a service : pourquoi est-ce pertinent pour la protection des organisations ?
NXO SOC protect : l’offre SOC de NXO pour votre organisation
NXO SOC protect, c’est une offre de type SOCaaS adaptée aux besoins des ETI. Cette offre de service managé cybersécurité repose sur des solutions performantes SaaS de type EDR/XDR (Endpoint Detection & Response / eXtended Detection & Response), sur une équipe dédiée d’analystes cybersécurité et sur des process adaptés.
Avec ce service, l’ensemble des postes de travail, serveurs et firewalls de votre organisation peuvent être mis sous surveillance et sont supervisés en temps réel par les analystes du SOC de NXO.
NXO SOC protect est une nouvelle approche du SOC adaptée aux ETI qui remet l’humain au coeur du dispositif
L’offre de NXO s’organise autour de 4 piliers : La veille – La détection – La réponse – L’amélioration continue
Pourquoi NXO ?
La valeur ajoutée des analystes et l’engagement : des différentiateurs forts de l’offre
Nous sommes conscients que rien ne peut remplacer les compétences humaines pour analyser les menaces : qualifier, gérer les faux positifs, mettre en place un plan d’actions si nécessaire…
L’offre de NXO repose principalement sur un accompagnement individualisé qui place les compétences humaines au cœur de sa solution avec l’expertise de ses analystes en cybersécurité. Ceci la différencie d’autres offres basées sur des réponses automatisées.
Les menaces étant constantes, plus nombreuses et plus complexes, NXO a fait le choix se s’engager sur des niveaux de services (SLA) exigeant dans le processus de réaction lorsque des incidents sont avérés.
Une approche basée sur des compétences humaines (qualification des incidents, gestion des faux positifs)
Une réponse à valeur ajoutée: mise en place d’un plan d’action, remédiation si nécessaire
Une forte exigence avec des engagements de service (SLA) dans le processus de réactions aux incidents
Ils nous ont fait confiance
Vos questions et nos réponses concernant le SOC
Le rôle d'un SOC ou Centre Opérationnel de Sécurité, est d’assurer la supervision et l’administration de la sécurité d’un Système d’Information. Il repose sur une combinaison de 3 éléments clefs :
- Des technologies : il s’agit de l’ensemble des moyens technologiques utilisés afin de collecter, corréler les divers évènements remontés. Selon l’approche du SOC, il peut reposer sur des technologies de type SIEM (Security Information and Event Management) mais aussi sur des outils spécifiques comme l’EDR (Endpoint Detection & Response), XDR (eXtended Detection & Response).
- Des moyens humains : il s’agit d’analystes experts en sécurité informatique dont la tâche principale est d’analyser les incidents remontés et de mettre en place des plans d’action pour y remédier.
- Des processus : leur objectif est d’assurer la supervision du SI, la détection et la résolution des incidents de sécurité mais également d’apporter des améliorations au SOC sur la base de l’évaluation des processus et de l’évolution des menaces.
Un projet de mise en place du SOC se déroule de 2 phases :
- Déploiement (BUILD) : il démarre par une réunion de lancement suivie de la mise en place des solutions technologiques nécessaires à la production du service. Il s'agira par exemple de déployer les agents sur les postes de travail dans le cadre d'un EDR. Il y a ensuite une phase de configuration du tenant coté NXO et une validation de la phase de déploiement
- Exploitation (RUN) : elle marque le début du service de surveillance, après une phase d’affinage.
- Il existe différentes technologies utilisées au sein d’un SOC, chacune ayant une fonction particulière.
- SIEM : Les solutions de gestion de logs permettent une centralisation des données récupérées des différentes solutions de Cybersécurité. Elles permettent également la centralisation ainsi que la corrélation, la surveillance et l’analyse des données et événements en temps réel, dans un objectif de détection. Ce type de solution permet de couvrir tous les assets (actifs) informatiques du SI et c’est un moyen de répondre à plusieurs exigences de sécurité (ex : historisation et suivi des logs, alertes, …) et de prouver sa bonne foi aux autorités de certification ou de suivi. Déployer un SIEM ne suffit pas pour autant à sécuriser complètement un SI. Les solutions SIEM présentent des limites : des investissements importants, une configuration pointue, un volume important d’alertes à traiter, un outil multi technologique insuffisant sur le Endpoint
- EDR : Les solutions EDR (Endpoint Detection & Response) assurent la surveillance au niveau des terminaux/endpoint (poste de travail, serveur). Ces technologies sont des outils très spécifiques, qui apportent un haut niveau de détection au niveau du endpoint. Elles permettent notamment de se protéger contre les APT (Advanced Persistent Threats), qui utilisent souvent des techniques d’attaque sans malware et des failles de sécurité pour accéder au système d’information, ce que les antivirus classiques (EPP) ne sont capables de détecter car ils se reposent sur des bases de signatures. L’EDR analyse les usages des terminaux en surveillant l’exploitation de failles de sécurité et les comportements anormaux. La détection de ces menaces se fait grâce à de l’analyse comportementale qui étudie les événements systèmes du terminal (exécution de processus, appel système…) afin de détecter des comportements déviants. L’EDR est devenu un outil indispensable d’un SOC pour assurer une surveillance avancée au niveau des endpoints qui sont les premiers points d’entrée pour les cyberattaques
- XDR : Les solutions XDR (eXtended Detection & Response) sont comparables aux solutions d’EDR mais couvre plus de sources. Le Gartner définit XDR comme « une plate-forme unifiée de détection et de réponse aux incidents de sécurité, qui collecte et corrèle automatiquement les données de plusieurs composants de sécurité propriétaires ». XDR permet ainsi une détection et une réponse qui vont au-delà de l'approche cloisonnée des outils de sécurité traditionnels, tels que EDR.
- Gartner définit le SIEM (Security Information and Event Management) comme une technologie qui prend en charge la détection des menaces, la conformité et la gestion des incidents de sécurité grâce à la collecte et à l'analyse (à la fois en temps quasi réel et historique) des événements de sécurité, ainsi qu'une grande variété d'autres événements et données contextuelles sources.
- L’EDR est une solution qui assure une protection avancée au niveau des endpoints (poste de travail & serveur). A la différence des solutions antivirales traditionnelles (EPP : Endpoint Protection Platform), la solution EDR permet une analyse en temps réel contre des attaques complexes tout en apportant de la visibilité. Ce type de solution permet notamment de comprendre une attaque (Forensic) et d’agir sur les postes en cas d’attaque. Contrairement à une solution EPP, elle nécessite de disposer d’analystes cyber pour qualifier et agir sur les postes.
- XDR permet une détection et une réponse qui vont au-delà de l'approche cloisonnée des outils de sécurité traditionnels, tels que EDR qui se limite au endpoint. L’EDR est très puissant mais finalement limité, car seuls les points de terminaison (endpoint) gérés avec un agent EDR peuvent être protégés. Cela limite l'éventail des menaces et des attaques contre lesquelles il peut être efficace.
- XDR propose ainsi les caractéristiques d’un EDR mais il est capable de collecter aussi d’autres sources tel que la partie réseau (firewall) par exemple.
- L’outil traditionnel est le SIEM mais on constate que les solutions EDR/XDR sont finalement complémentaires ou peuvent être plus pertinentes dans certains cas.
- Néanmoins toutes ces solutions ne répondent pas au même objectif. Ainsi un SIEM pourra remonter des logs de tous les assets d’un SI, mais les informations remontées pourront être très nombreuses. Ainsi les analystes pourront être surchargés d’alertes.
- Le SIEM sert également de système d'enregistrement pour la surveillance de la conformité, la conservation et la création de rapports.
- L’EDR/XDR se concentre sur l'identification, l'investigation et la prise de mesures pour résoudre les incidents aussi rapidement et efficacement que possible.
- Le XDR n'est pas destiné à satisfaire les mandats de conformité comme l'est le SIEM. Les solutions EDR/ XDR n'ont généralement pas besoin de collecter des journaux pour faciliter la détection et l'investigation des menaces. Au lieu de cela, les données de réseau et de point de terminaison suffisent généralement à identifier de potentielles menaces et leurs actions de remédiation sont très efficaces.
Le SOCaaS est particulièrement adapté aux entreprises de taille intermédiaire (ETI) et aux petites et moyennes entreprises (PME) qui souhaitent bénéficier d’une surveillance de sécurité avancée sans les coûts et la complexité d’un SOC interne. Il est également idéal pour les grandes entreprises cherchant à compléter leurs capacités de sécurité internes avec des solutions de pointe et une expertise externe.