SOC (Supervision des incidents de sécurité)

Qu’est ce qu’un SOC ?

Le SOC est composé d’une équipe d’expert cybersécurité de différent niveau, de logiciels de sécurité et d’équipements informatique (postes de travail, serveurs…). Cet ensemble permet de détecter, analyser et répondre aux incidents lié à la cybersécurité dans une entreprise 24 heures sur 24 et 7 jours sur 7.

Fort de notre expérience et de notre polyvalence, nous proposons d’accompagner les entreprises de la création du SOC à sa mise en production, mais également reprendre un SOC déjà en production et apporter des améliorations.

Offres

Construction du SOC (BUILD)

  • Évaluation du périmètre à couvrir (nombre d’équipements, plan d’architecture, CMDB…).
  • Définition des équipements critiques et non critiques.
  • Mise en place de la collecte des évènements après validation du client.

En option : Assistance sur la configuration des équipements pour l’envoi des évènements dans le SIEM

  • Vérification des évènements et mise en place du parsing 1dans le SIEM.
  • Création des règles de détection, rapports et dashbord.

Supports :

  • Présentation et explication des règles de détection (technique et non technique).
  • Mise à disposition de fiches réflexes et documentations associées.
  • Création de rapport / dashboard avec remonté des KPI.

Mise en production du SOC (RUN)

La phase de construction est désormais validée et la période d’observation passée, c’est alors le moment de passer sur la phase de mise en service du SOC.

Tâches récurrentes Tool team :

  • Ajout de nouveaux équipements/périmètres (au besoin)
  • Parsing custom des logs
  • MCO/MCS2 sur les outils du SOC

Tâches récurrentes Blue team :

  • Levée de doute et analyse des alertes déclenchées
  • Mise à jour des règles existantes
  • Recommandation et assistance sur la configuration des équipements

Tâches récurrentes Purple team :

  • Étude des vulnérabilités en cours
  • Patch management et suivi des patchs

Tâches récurrentes Red team :

  • Test d’intrusion
  • Campagne de phishing
  • Recommandation et assistance suite aux rapports de la campagne

Tâches récurrentes ACD (Amélioration Continue de la Détection) :

  • Création de nouvelles alertes suite aux scans de vulnérabilités, des actualités liées à la cybersécurité et aux remontées de la CTI

Tâches récurrentes CTI (Threat Intelligence) :

  • Collecte et organisation du renseignement sur les différentes attaques, techniques utilisées par les attaquants pour être le plus à jour possible sur les menaces, les techniques et les outils que l’on peut rencontrer

Livrables :

  • Accès au SIEM en lecture (Facultatif)
  • Tableau de bord avec les KPI souhaités
  • Comité de pilotage
  • Comité de stratégie

  1. Parsing : Découpage des évènements pour récupérer des informations utiles (adresse IP, nom d’utilisateur, nom de machine) ↩︎
  2. MCO/MCS : Maintien en Condition Opérationnelle est un ensemble de stratégies nécessaires pour garantir que les outils du SOC soient disponible à tout moment.
    Maintien en Condition de Sécurité est complémentaire du MCO, son objectif est de suivre l’évolution des menaces et vulnérabilités au sein du système informatique. ↩︎
Retour en haut