COMMENT CHOISIR UN SOC

Dans un contexte où la cybermenace ne cesse de croître, la mise en place d’un Security Operations Center (SOC) ou un centre de cybersécurité en Français est essentielle pour les entreprises soucieuses de protéger leurs systèmes d’information. Un SOC performant est un investissement clé dans la sécurité d’une entreprise, permettant de prévenir, détecter et répondre efficacement aux menaces tout en assurant la protection des données.

Cependant, le choix d’un SOC adapté à vos besoins spécifiques peut être complexe. Alors, comment bien choisir un SOC ? Nos experts en cybersécurité vous éclairent sur les critères essentiels pour sélectionner la meilleure solution SOC adaptée à vos besoins spécifiques et offrant une protection complète et proactive

5 points essentiels à connaitre pour choisir un SOC

Le SOC, c’est l’ensemble de l’outillage qui rend la défense cohérente : un SOC contenant un SIEM / UEBA / CTI / EDR / XDR est théoriquement capable de couvrir 100% des attaques.
Un NDR est intéressant pour compléter la protection (mais attention les NDR sont de moins en moins efficaces en raison de l’utilisation massive de flux chiffrés dans les entreprises).
Il est intéressant de compléter un SOC par de l’IAM, du PAM, de l’antispam/phishing, du durcissement des applications & serveurs et de la sensibilisation aux utilisateurs.
L’utilisation d’antivirus et firewalls reste indispensable pour éliminer les malveillances de base. Cependant, ils sont largement insuffisants pour se protéger.
Un bon SOC fait l’objet d’amélioration continue des règles, d’un suivi et d’une analyse des indicateurs de performance. Il est audité tous les ans.

A retenir

Un SIEM seul n’est pas suffisant
Un EDR n’est pas suffisant

9 points de vigilance à vérifier avant de choisir un SOC

Le prix doit être fixe (non indexé sur le volume de données ou d’EPS ingérés). Par exemple, certaines prestataires (plateforme de bigdata, plateforme de cybersécurité basée sur l’IA, etc.) ne permettent pas d’avoir une tarification prévisible. Ce sont des coûts cachés très importants.
Le niveau d’analyse et de remédiation. Certaines propositions de solution complète de sécurité du SI ne prennent pas en compte l’analyse humaine (cela induit des faux positifs et beaucoup de « bruits » pour le client) et la remédiation (parfois en option). Le client reçoit ainsi une alerte automatique le week-end et demande au prestataire de bloquer l’incident. Le prestataire apprendra au client qu’il faut qu’il le fasse lui-même, mais il ne pourra pas : l’attaque passe, le ransomware bloque toute l’entreprise.
Le SIEM est-il on premise, cloud ou mutualisé ? Certains ne sont pas multitenants ou alors centralisent les données de toutes les entreprises sans cloisonnement. Si un client a un problème, les autres clients peuvent en être impactés.
Certains EDR se vantent d’être des SIEM et ne le sont pas : un SIEM permet d’archiver et de tracer légalement les logs. Un EDR/XDR ne le fera pas. Seul un SIEM permet de se mettre en conformité avec des réglementations qui imposent l’archivage des logs et des accès.
La comitologie et l’amélioration continue sont-elles incluses ? C’est un élément important.
Le SIEM ou l’EDR est-il certifié ? Il existe une multitude de certifications.
Le SOC est-il opéré par des analystes sous contrat français, de droit français, compatible avec le RGPD ? Si ce n’est pas le cas, cela peut avoir des impacts juridiques importants.
Le prestataire dispose-t-il d’une assurance professionnelle couvrant les activités SOC ?
Les activités sont-elles hébergées en cloud en France ? Par des outils soumis aux réglementations étrangères extraterritoriales ?