C’est quoi ?
On parle souvent de SOC (Security Operation Center), mais qu’est ce que c’est ?
Un SOC est considéré comme la première ligne de défense, il possède de nombreuses fonctions :
- l’identification, caractérisation et traitement des incidents
- la fourniture d’une assistance à la gestion des incidents
- la diffusion des informations relatives aux incidents
- la coordination des incidents
- la détection de comportements caractéristiques à un mode opératoire donné
- threat hunting
À cela, ajoutons des actions d’évaluations de vulnérabilités ou la réalisation de simulations d’attaques telles que les tests d’intrusions. Une liste complète des fonctions proposées par le SOC est disponible aux pages 14-16 de l’ouvrage 11 Strategies of a World-Class Cybersecurity Operations Center, que vous retrouverez à l’adresse suivante : https://www.mitre.org/sites/default/files/2022-04/11-strategies-of-a-world-class-cybersecurity-operations-center.pdf
L’identification et la caractérisation d’une menace apportent un contexte induisant la conduite à tenir. Si la menace est considérée comme valide, le CSIRT prendra le relais.