Le SOC, de plus en plus répandu mais difficile à réaliser
Sans surprise, plus les organisations sont grandes, plus elles sont susceptibles de disposer d’un centre opérationnel de sécurité (SOC). Mais isoler les alertes importantes des autres reste un défi.
Pour l’édition de décembre de son rapport sur les menaces, McAfee a interrogé près de 400 professionnels de la sécurité dans différents pays et divers secteurs d’activité. Il en ressort qu’une bonne partie des entreprises semble disposer d’un centre opérationnel de sécurité (SOC), interne ou externe.
Les grands comptes sont les mieux lotis : plus de 65 % d’entre eux sont dotés d’un SOC depuis plus de 12 mois, et près de 30 % depuis un an. Les entreprises comptant entre 5.000 et 20.000 collaborateurs y sont venues plus tardivement : plus de 12 mois pour un peu plus de 50 %, et moins pour près de 40 %.
Une vaste majorité des autres prévoient de mettre un SOC en place au cours des 12 prochains mois.
Les entreprises affichant de 1.000 à 5.000 employés confirment la tendance suivant laquelle la maturité des SOC semble venir avec la taille : près de 45 % en ont un depuis plus de 12 mois, et près de 40 % depuis moins d’un an. Mais plus de 5 % de ces entreprises n’ont pas de projet dans leurs cartons. Dans une large majorité des cas, le SOC se confond avec centre opérationnel réseau (NOC).
Les grands comptes sont-ils pour autant les mieux lotis ? Pas sûr.
Seulement 45 % d’entre eux ont indiqué avoir constaté un recul de l’occurrence d’incidents de sécurité, contre 73 % pour les entreprises de moins de 5000 collaborateurs. C’est une petite frange de l’échantillon qui constate un tel recul : 7 %. Mais pour 96 % d’entre eux, cette situation est due à une prévention et des processus améliorés.
Reste que pour retirer les bénéfices d’un SOC, encore faut-il pouvoir traiter efficacement les incidents qu’il permet de mettre en lumière. Et leur nombre ne va pas en décroissant.
Plus de la moitié des sondés estiment que la quantité d’incidents de sécurité rencontré a légèrement progressé au cours des 12 derniers mois ; considérablement pour 15 %. L’amélioration des capacités de détection joue là un rôle non négligeable, mais les attaques apparaissent également plus nombreuses. Parmi les 67 % de sondés qui estiment que les incidents de sécurité surviennent plus souvent, 57 % estiment que c’est parce qu’ils sont plus attaqués et 73 % parce qu’ils sont capables de mieux débusquer les activités malicieuses.
Pour autant, faire le tri parmi toute les alertes reste un défi : 93 % des sondés indiquent ne pas être capable de tout passer au tamis.
En moyenne, les organisations ne seraient pas capables d’enquêter suffisamment sur rien de moins qu’un quart des alertes remontées au SOC. Et plus de 50 % indiquent avoir souffert d’un impact métier mineur en raison d’alertes non traitées ; plus de 20 % d’un impact modéré.
Mais les SOC sont-ils utilisés au maximum de leur potentiel ?
Les chiffres de McAfee laissent imaginer le contraire. Le système de gestion des informations et des événements de sécurité (SIEM) et ses règles de corrélation n’est cité comme point de départ d’une enquête sur un incident que par un peu plus de 10 % des sondés.
La chasse active aux menaces n’est pas mieux lotie et les systèmes analytiques experts ne sont cités que par environ 17 % des sondés.
Les indicateurs de compromission font un peu mieux : ils sont mentionnés par un peu plus de 20 % de l’échantillon.
Ce sont en fait les contrôles de sécurité ponctuels qui continuent de piloter la gestion de la sécurité : environ 38 % des sondés indiquent que ce sont eux qui déclenchent les enquêtes.
Et l’approche de la collecte de données susceptibles de trahir une activité malicieuse apparaît encore très traditionnelle : 55 % des sondés mentionnent les logs de pare-feu, près de 35 % les systèmes de protection des postes de travail, un peu plus de 30 % les journaux d’activité systèmes.
En revanche des sources telles que les logs des proxy Web ne sont mentionnés que par 20 % des sondés, légèrement devant ceux des DNS, les traces des postes de travail, ou encore les logs Netflow. Quant aux technologies de leurre, comme celles de Cymmetria ou d’Illusive Networks, elles ne sont citées que par 15 % des sondés.