Fonctions SecOps (opérations de sécurité)

L’objectif principal d’une fonction SecOps est de détecter des attaques actives dirigées contre des ressources d’entreprise, d’y répondre, puis d’orchestrer la récupération.

À mesure que le SecOps mûrit, les opérations de sécurité doivent :

• Répondre de manière réactive aux attaques détectées par les outils
• Pourchasser de manière proactive des attaques qui ont échappé aux détections réactives

Modernisation

La détection des menaces et la réponse à celles-ci font actuellement l’objet d’une modernisation importante à tous les niveaux.

• Élévation à la gestion des risques métier : le centre des opérations de sécurité du cloud devient un composant clé de la gestion des risques pour l’organisation.
• Métriques et objectifs : le suivi de l’efficacité du centre des opérations de sécurité du cloud évolue, passant du « temps de détection » aux indicateurs clés suivants :
  • Réactivité via un temps moyen d’accusé de réception (MTTA).
  • Vitesse de correction via un temps moyen de correction (MTTR).
• Évolution de la technologie : la technologie du centre des opérations de sécurité du cloud évolue, passant de l’utilisation exclusive de l’analyse statique des journaux dans les Informations de sécurité et gestion d’événements (SIEM) pour ajouter le recours à des outils spécialisés et des techniques d’analyse sophistiquées. Cela permet de recueillir des informations approfondies sur des ressources qui fournissent des alertes de haute qualité et une expérience d’investigation qui complètent la vue élargie des Informations de sécurité et gestion d’événements. Les deux types d’outils se servent de plus en plus de l’intelligence artificielle et de l’apprentissage automatique, de l’analyse du comportement et du renseignement intégré sur les menaces pour aider à épingler et à hiérarchiser des actions anormales susceptibles d’émaner d’un agresseur malveillant.
• Chasse aux menaces : les centres des opérations de sécurité du cloud ajoutent la chasse aux menaces fondée sur des hypothèses afin d’identifier de manière proactive des attaques avancées et d’écarter les alertes bruyantes des files d’attente d’analyses en première ligne.
• Gestion des incidents : la discipline est de plus en plus formalisée afin de coordonner les éléments non techniques des incidents avec des équipes en charge des aspects juridiques, de communications et autres. Intégration du contexte interne : pour faciliter la hiérarchisation des activités du centre des opérations de sécurité du cloud telles que les scores de risque relatifs des comptes utilisateurs et des appareils, la sensibilité des données et des applications, et les principales limites d’isolement de sécurité à défendre de près.

Pour plus d'informations, consultez les pages suivantes :

• Discipline des opérations de sécurité
• Vidéos et diapositives relatives aux meilleures pratiques en lien avec les opérations de sécurité
• Module de l’atelier CISO 4b : stratégie de protection contre les menaces
• Série de blogs du Centre d’opérations de cyberdéfense (CDOC) :partie 1, partie 2a, partie 2b, partie 3a, partie 3b, partie 3c, partie 3d
• Guide de gestion des incidents de sécurité informatique du NIST
• Guide du NIST pour la récupération d’événements de cybersécurité

Composition d’équipe et relations clés

Le centre des opérations de sécurité du cloud est généralement constitué des types de rôles suivants.

• Opérations informatiques (contact régulier proche)
• Informations sur les menaces
• Architecture de la sécurité
• Programme des risques internes
• Ressources juridiques et humaines
• Équipes de communication
• Organisation des risques (le cas échéant)
• Associations, communautés et fournisseurs spécifiques du secteur (avant qu’incident se produise)

Étapes suivantes

Examinez la fonction d’architecture de sécurité.