Le canton d’Argovie prévoit de sous-traiter des activités de son SOC à une entreprise extérieure pour améliorer la surveillance et la réponse aux cyberattaques.
Le canton d’Argovie dispose aujourd’hui d’une équipe de la sécurité des systèmes d’information incluant une équipe SOC. Le canton veut maintenant confier certaines de ces tâches à une entreprise extérieure pour étendre les prestations du SOC.
Il est prévu que les informations sensibles restent en sécurité sur les ordinateurs du canton. L’entreprise externe utilisera aussi les services en ligne du canton pour alléger le travail de l’équipe actuelle.
L’entreprise choisie devra assurer une surveillance continue en vu de détecter au mieux et rapidement les différents types d’attaques informatiques. Le gouvernement espère signer le contrat avec cette entreprise à la fin de 2024 et commencer à travailler avec elle au début de 2025.
A quoi sert un SOC, un Security Operation Center?
Un Centre d’Opérations de Sécurité (SOC) est habituellement centré sur une installation centralisée au sein d’une organisation qui emploie une équipe de professionnels de l’informatique spécialisés dans la sécurité de l’information. Ils sont chargés de surveiller et d’améliorer en continu la posture de sécurité de l’organisation tout en prévenant, détectant, analysant et répondant aux incidents de cybersécurité.
Un SOC a pour principe de consolider en son sein les outils, les processus et le personnel nécessaires pour faire face au paysage de menaces en constante évolution. Voici quelques fonctions principales d’un SOC :
- Surveillance Continue: Le SOC surveille en permanence l’infrastructure de l’organisation 24/7, à la recherche de toute activité inhabituelle qui pourrait indiquer une violation de la sécurité ou une tentative de violation.
- Réaction aux Incidents: Lors de la détection d’un incident de sécurité potentiel, l’équipe du SOC enquête, évalue son impact et sa gravité, et prend les mesures appropriées pour contenir et neutraliser la menace.
- Chasse aux Menaces: Les analystes du SOC recherchent de manière proactive les menaces qui échappent aux solutions de sécurité existantes, utilisant des stratégies avancées pour identifier des menaces cachées.
- Renseignement sur les Menaces: En rassemblant et en analysant des informations sur les menaces émergentes et les cyberattaques, le SOC reste en avance dans le jeu de la sécurité en étant informé sur les tactiques, techniques et procédures (TTP) des attaquants.
- Gestion et Analyse des Journaux: Un SOC gère de grands volumes de données et utilise des systèmes SIEM (Security Information and Event Management) pour agréger, corréler et analyser les journaux et autres données provenant de différentes sources.
- Gestion de la Conformité: Assurant que l’organisation adhère aux normes de conformité requises pour la sécurité des données, le SOC opérationnalise les politiques et procédures nécessaires.
- Évaluation et Audit de Sécurité: Réaliser régulièrement des évaluations de vulnérabilité et des audits de sécurité pour identifier et rectifier les éventuelles failles de sécurité dans l’infrastructure réseau.
- Coordination et Reporting: Un SOC agit comme le cœur des efforts de cybersécurité dans une organisation, coordonnant entre différentes équipes et rendant compte à la direction de l’état de la sécurité.
Les organisations investissent donc dans un SOC pour protéger leur propriété intellectuelle, les données de leurs clients, leurs intérêts commerciaux, et pour garantir qu’elles peuvent répondre rapidement et efficacement en cas de cyberattaque.