Différencier un SOC interne d’un SOC externe

Différencier un SOC interne d’un SOC externe

L’objectif de cet article est d’aborder les différences entre les SOC internes et les SOC externes. Il est conseillé d’avoir précédemment lu l’article concernant les concepts et le fonctionnement d’un SOC ainsi que celui traitant des technologies présentes au sein d’un SOC.

Il existe deux principaux types de SOC (Security Operation Center) : les SOC internes (ou dédiés) et les SOC externes (ou externalisés). Dans la pratique, il existe également des SOC hybrides, au croisement entre les deux précédents ; mais lors de la phase de conception d’un SOC, il est nécessaire de choisir une direction entre l’internalisation et l’externalisation du service.

Bien que tous ces SOC reposent sur les mêmes piliers que sont les ressources humaines, les technologies et les processus (voir schéma ci-dessous), il existe en leur sein, des différences essentielles, qui seront abordées dans la suite de cet article.

Schéma piliers d'un soc

SOC interne

En ce qui concerne les SOC internes, ils sont totalement intégrés à l’entreprise. C’est-à-dire que la compagnie possède des ressources humaines internes dédiées, organisées et en capacités d’utiliser les différents outils du SOC et de le maintenir en condition opérationnelle.

Les équipes sont donc composées d’employés de l’entreprise elle-même ou de prestataires intégrés aux équipes. Les membres du SOC sont ainsi déjà compétents sur l’architecture sur laquelle ils vont travailler, ce qui peut se traduire par une remontée plus efficace des alertes.
Dans le cas d’un SOC dédié, les différents processus et les technologies sont également plus configurables, car ils sont adaptés à l’architecture de l’entreprise ; les menaces potentielles sont mieux connues et les scénarios possibles sont plus précis.

Le système est plus flexible et plus efficace ; notamment pour la communication entre les équipes ou avec la direction, car ils utilisent les mêmes canaux (ceux de l’entreprise). De plus, le fait d’intégrer un SOC directement au sein de l’entreprise, permet de gérer et stocker les logs de manière internalisée, pour permettre de répondre à certaines obligation légales ou contractuelles.
Mais de par son intégration qui doit être flexible et configurée en fonction de l’architecture de l’entreprise, les investissements temporels et financiers initiaux pour un SOC sont conséquents (et a fortiori impossible pour beaucoup de compagnies).

Il faut faire des études, recruter et former des équipes mais également intégrer ou faire intégrer la solution. Autant d’éléments qui rendent encore plus difficile la mise en place du SOC. Le recrutement des ressources humaines reste d’ailleurs un des points les plus compliqués pour l’entreprise.
En effet, avec l’explosion du marché de la sécurité informatique, recruter des analystes et des experts en sécurité peut se montrer parfois très ardu et peu prendre un certain temps.

Une autre problématique des SOC internes, est l’absence de partage d’informations avec d’autres SOC. En effet, à part dans de rares cas de partenariats entre entreprises, un SOC interne ne bénéficiera pas d’informations concernant des attaques menées sur d’autres cibles.

SOC externe

Dans le cadre externe, le SOC est vu comme un « SOC as a service ». Ce n’est plus l’entreprise qui met en place les ressources pour veiller sur son SI ; mais un prestataire extérieur.
En tant qu’acteur dans le domaine, il possède les effectifs, les compétences et l’expertise pour sécuriser au mieux le SI de l’entreprise cliente. Cela permet à cette dernière d’obtenir un haut niveau de sécurité à moindre coût.

En effet, l’investissement initial du projet est moindre, car il n’y a plus la nécessité de recruter ou de mettre en place un système sur mesure. Le prestataire fournit aussi son service à d’autres entreprises, ce qui lui permet de mutualiser les coûts et ainsi baisser les tarifs proposés.

Cette mutualisation des coûts n’est pas la seule, une mutualisation des connaissances est aussi effectuée. Ainsi, en cas d’attaque détectée au sein d’une entreprise cliente, l’opérateur peut, une fois la faille corrigée, en faire profiter les autres entreprises. Il y a un échange d’informations pour un gain en sécurité.
L’utilisation d’un SOC externalisé permet donc une meilleure réaction face à des attaques d’envergures, d’autant que le fournisseur fera toujours en sorte d’avoir les meilleurs experts, sa réputation (et a fortiori son fonds de commerce) est en jeu.

Mais bien qu’il recrute des experts, ces derniers ne seront jamais aussi renseignés sur l’infrastructure et les processus que des ressources internes. Cela peut amener à de faux positifs dans les premiers mois. De plus, comme certaines données internes de l’entreprise sont envoyées vers l’extérieur, une fuite de donnée ou une erreur de manipulation est possible.

Le service étant disponible pour plusieurs entités, il se doit de prendre en compte des besoins globaux valables pour les différentes entreprises. De ce fait, le système est moins paramétrable et les méthodes, bien qu’efficaces, moins précises et spécifiques aux critères métiers de l’entreprise cliente.

SOC hybride

Les SOC hybrides sont des cas spécifiques. On peut voir les deux modèles vus précédemment être implémentés dans la même entreprise. Le premier s’occupe des périmètres sensibles ou confidentiels de l’entreprise alors que tous les autres périmètres seront à la charge d’un prestataire. Cela permet de limiter, voire d’éviter certains désavantages du SOC externalisé (la fuite de données notamment) tout en limitant les coûts de mise en place de la partie SOC interne.

Un autre découpage peut être fait entre ces deux systèmes, cette fois en fonction du niveau de traitement. Il est possible d’imaginer une entreprise dans lesquels les alertes mineures seraient traitées par un prestataire et les alertes majeurs par un SOC interne. Cela limiterait les coûts du SOC interne et l’entreprise bénéficierait d’experts connaissant parfaitement son architecture (car ressources internes) afin de gérer les incidentes les plus graves.

C’est dans le cadre de grands groupes opérant en plusieurs entités quasi autonomes que l’on trouve généralement des solutions de ce type-là. Cela permet à chaque entité de choisir son modèle : interne ou externe.

Il n’existe pas de solution miracle ou de SOC compatible avec toutes les entreprises. Chaque solutions (interne, externe ou hybride) possèdent ses qualités et ses défauts.
Autant de qualités et d’inconvénients pour les trois solutions qu’il faut absolument prendre en compte lors de l’étude de faisabilité d’un SOC.

De façon générale, les SOC internes sont plus aptes à être mis en place dans les grandes entreprises, car celle-ci ont les moyens, mais aussi la maturité nécessaire (en terme de sécurité) de mettre en place un système qui demande beaucoup d’attention et représente un gros risque à son installation.
Les SOC externes eux sont plus généralement adaptés aux entreprises moins matures en sécurité où dont les moyens sont moindres, mais aussi les entreprises ne possèdent pas en interne, les expertises nécessaires à la faisabilité d’une solution interne.

Quant aux SOC hybrides, qui semblent être la solution parfaite, bénéficie des avantages des deux solutions précédentes, mais elles possèdent aussi leurs défauts. En effet, le cout de cette solution est important et la division entre deux types de SOC nécessite un travail de gestion et de séparation des rôles et processus supplémentaires.

Chaque type de solution correspond donc à des typologies différentes. Aucune n’est meilleure que l’autre, elles sont juste mieux adaptées en fonction de la typologie de l’entreprise.

Brian Nicolas-Nelson

Consultant Sécurité Opérationnelle