Skip to content

Analyse SOC : Security Operation Center (SOC)

Ces cours préparent au

Bloc de compétences RNCP 36399BC02

Reconnu par France Compétences

Définition du SOC

De quoi s'agit-il ?

Le SOC (Security Operation Center) est un service d'analyste en cybersécurité qui surveille, détecte, analyse et qualifie et répond aux événements et incidents de sécurité. Le SOC est aussi un ensemble de technologies et d'équipements permettant la centralisation, le traitement et l'affichage d'incidents de sécurité.

Avantages & évolution du SOC

Le SOC est composé d'une équipe d'experts en cybersécurité chargée de :

  • La centralisation de la défense
  • L'amélioration de la gestion des menaces
  • Du maintien de sa conformité réglementaire
  • L'augmentation de la chaîne de valeur pour le S.I.

Avec une centralisation et un processus de traitement des incidents, le SOC permet d'améliorer, automatiser et optimiser une partie de la défense en sécurité informatique, et donc de s'aligner aux besoins de sécurité de l'information des organisations.

Définition de la chaîne de valeur

La chaîne de valeur est un système qui décrit comment les composants et activités au sein d'une organisation fonctionnent ensemble pour créer de la valeur.

Il est également possible de faire qualifier un SOC par l'ANSSI à travers la qualification PDIS (Prestataires de Détection d'Incidents et de Sécurité) afin de pouvoir travailler avec les opérateurs d'importance vitale. PDIS

Comment sommes-nous arrivés au SOC ?

La sécurité informatique évolue chaque année. La genèse et les protections dites "Endpoint" sont:

  1. Les antivirus avec détection par signature
  2. Les antivirus "nouvelle génération" avec une vision plutôt holistique et des bases de signatures mises à jour plus rapidement
  3. Le Security Information and Event Management (SIEM) est un outil qui informe les personnes chargées de la sécurité de chaque activités et événements sous la forme de journaux de chaque dispositif implanté sur le système d'information.
  4. Les Endpoints avec une vision holistique et adapté à tous les terminaux sur les réseaux
  5. Les Endpoint Protection Platform (EPP) visent à prévenir les menaces tradictionnelles telles que les malwares connus et les menaces avancées telles que fileless, ransomwares et vulnérabilités zero-day.
  6. Les Endpoints nouvelles générations avec machine learning et intelligence artificielle
  7. Les Endpoint Protection and Response (EPR) pour une remédiation lors de la phase de pré-infection lors d'une attaque cyber.
  8. Le Security Orchestration, Automation and Response (SOAR) est une pile de solutions logicielles qui permettent à une organisation de collecter des données sur menances provenant de sources multiples et répondre aux événements de bas niveau sans assistance humaine.
  9. Le Multiple Detection and Response (xDR) offre une visibilité sur les données réseaux, clouds, EDR et les applications tout en appliquant des analyses et une automatisation pour détecter, analyser, rechercher et corriger les menaces d'aujourd'hui et de demain.

Vous, et uniquement vous, êtes responsable de vos actes.