La mise en place d'un SOC (Security Operating Center) s'avère indispensable pour lutter efficacement contre les cyberattaques. Mais faut-il internaliser ou externaliser ce SOC ? Nous présentons les avantages et inconvénients de chacun afin que les DSI, RSSI ou encore responsables de la sécurité du système d'information puissent faire un choix éclairé.
Le SOC interne, qui est aussi appelé SOC dédié, est totalement intégré à l'entreprise. Il est situé dans ses locaux et fonctionne grâce aux équipes d'exploitation et aux ressources IT et cybersécurité internes à l'entreprise.
La difficulté principale rencontrée lors de la mise en place d’un SOC interne est l’investissement nécessaire pour constituer et maintenir l’équipe interne. Par définition un SOC doit être opérationnel 24h sur 24 et 7 jours sur 7. Les attaques peuvent arriver et se déclencher à n’importe quel moment : il faut réagir vite. Ce besoin de fonctionnement permanent nécessite une rotation régulière des membres de l’équipe et par conséquent une équipe relativement large.
A cela s’ajoute qu’une équipe SOC se compose de profils spécifiques et experts dans le domaine de la sécurité informatique. Ces compétences pointues sont très recherchées et il y a pénurie dans ce domaine. Ces profils sont donc difficiles à recruter et très couteux. Une fois embauchés, ces collaborateurs doivent être régulièrement formés pour suivre les dernières évolutions en matière d’attaques informatiques, de stratégie de protection et de méthodes de défenses. Cela nécessite un budget important.
Le déploiement d’un SOC interne s’avère donc très onéreux.
Le SOC externe est installé chez un prestataire de services en sécurité informatique et fonctionne grâce aux équipes informatiques et aux outils de ce prestataire.
L’externalisation du SOC présente de nombreux avantages : il est moins cher qu’un SOC interne car il bénéficie d’une mutualisation des ressources humaines et des solutions techniques. Nul besoin de recruter et de traverser le long processus de recrutement qu’engendre un SOC interne.
Grâce au SOC externe, les entreprises s’appuient sur des experts en cybersécurité qui surveillent en permanence plusieurs environnements. Ils sont plus expérimentés et leur formation continue leur permet d’être toujours à jour sur les méthodes d’attaques et les moyens de les atténuer.
Les prestataires proposant un SOC managé externe ont accès à différentes sources d’informations pour fournir un service de Threat Intelligence : les CERTs, Mitre Att&ck, les différents éditeurs etc… La consolidation de ces données et la diversité des environnements à surveiller permet un service efficace.
Enfin le SOC externalisé est géré par un contrat mentionnant le suivi d’indicateurs chiffrés et la fourniture de rapports permettant à l’entreprise de suivre le niveau de service du prestataire. Ce niveau de service est défini en amont en fonction des besoins de l’entreprise.
Un SOC externe présente des avantages mais afin de garantir un SOC fonctionnel, une bonne communication entre les prestataires et les équipes informatiques internes est indispensable. Les prestataires doivent intégrer et appréhender correctement les problématiques métiers et de l’organisation de l’entreprise.
Enfin, un SOC externe implique parfois une analyse des données et un stockage d’information en dehors de l’entreprise. Il faut alors s’assurer que cette externalisation n’accroît pas les risques en matière de sécurité.
Faire le choix entre un SOC interne et un SOC externe demande une étude minutieuse : peser le pour et le contre, définir un budget, définir les outils et les compétences nécessaires.
Découvrez notre service de SOC externe managé Cyberguard :