Service cyber
SOC : Security Operations Center
Le SOC (Security Operations Center) est le centre opérationnel chargé de surveiller en continu le système d'information, de détecter les incidents de sécurité et de coordonner la réponse aux cybermenaces. Actif 24h/24 et 7j/7, il repose sur une équipe d'analystes et des outils de détection (SIEM, EDR, SOAR) qui corrèlent les événements issus de l'ensemble de l'infrastructure. Le SOC peut être internalisé, externalisé (SOCaaS) ou hybride.
Détails et fonctionnement
Le SOC est une fonction centralisée qui emploie des personnes, des processus et des technologies pour surveiller et améliorer en permanence la posture de sécurité tout en prévenant, détectant, analysant et répondant aux incidents de cybersécurité. Il collecte et analyse les flux d'événements issus de pare-feu, sondes IDS/IPS, antivirus, EDR, serveurs, AD, applications et postes de travail. On peut s'appuyer sur des référentiels comme le PDIS de l'ANSSI ou les bonnes pratiques publiées par l'ETSI pour construire un SOC.
Les analystes SOC sont structurés en trois niveaux : niveau 1 (triage, surveillance, escalade), niveau 2 (réponse aux incidents, évaluation de la portée), niveau 3 (analyse approfondie et forensic). Le SOC ne se contente pas de détecter : il qualifie les alertes, déclenche la réponse, recommande des correctifs et participe à la cyberveille pour anticiper les menaces émergentes.
Lien avec NIS2
NIS2 impose une notification préliminaire dans les 24 heures suivant la découverte de l'incident, ce qui rend la détection rapide indispensable. La directive requiert détection systématique des menaces, analyse détaillée des incidents et orchestration coordonnée des réactions via SOC. Les mesures de l'article 21 incluent notamment la surveillance, la détection et la gestion des incidents.
Le SOC devient ainsi un outil central de la conformité NIS2, en garantissant surveillance continue, analyse d'événements, gestion des alertes et remontée documentée des incidents vers l'ANSSI. Pour les entités régulées, le recours à un SOC managé ou à un PDIS qualifié ANSSI peut être requis.