SOC

Focus métier : Analyste SOC, celui qui trouve l'aiguille dans la botte de foin

3 min. lecture
Placeholder for Adobe Stock 598538455Adobe Stock 598538455

Share

Ils décortiquent les événements suspects et veillent sur le comportement des systèmes d'information. Un travail avant tout de coordination avec le client expliquent Louka Tanguy et Luis Delabarre, du SOC de Nomios.

Article de Louis Adam, publié dans le ZDNET, faisant suite à un entretien avec Louka Tanguy, Analyste SOC et Luis Delabarre, Responsable européen des activités SOC, tous les deux chez Nomios.

Chez Nomios, l'activité SOC (Security Operation Center) est assez récente : cela ne fait que deux ans que la société, dont l'activité principale est l'intégration, a lancé cette nouvelle activité "suite aux nombreuses demandes" explique Luis.

Les logs, le nerf de la guerre

La matière première des SOC, ce sont les "logs" générés par les différentes solutions de sécurité installées par le client. Les clients déploient en effet de nombreux produits de sécurité (firewall, EDR et autres) qui produisent des alertes d'importances variables. Pour déterminer quelles alertes méritent l'attention des équipes de sécurité, il faut donc trier.

"Soit le client est relativement mature, et il sait dès le départ qu'il n'aura ni les compétences ni la volonté d'internaliser cette fonction, soit il commence à le faire en interne et se rend compte assez vite que c'est compliqué et fait alors appel à un partenaire" résume Luis.

Centralisés et normalisés au sein d'un logiciel SIEM, les logs sont ensuite épluchés par les analystes SOC. "Le premier travail avec les clients, c'est de déterminer quels logs ils vont envoyer en fonction de leurs équipements, des solutions installées mais aussi de leur budget. A partir de ces logs, on peut établir des règles de corrélation, qui génèrent des incidents de sécurité lorsqu'ils répondent à certaines conditions" explique Louka.

Une équipe SOC pour 8 clients

La question de la nature des logs est un sujet abordé dès les premiers contacts avec le client, avant d'être affiné, via des réunions parfois hebdomadaires. Loin d'un travail solitaire donc, les analystes de Nomios passent un temps non négligeable en réunion ou en contact avec les équipes des clients pour débriefer les incidents ou effectuer des levées de doute suite à la détection d'un comportement étrange.

Et le travail se répartit également par équipe entre les analystes : "Nous allons passer sur des équipes de trois analystes et un leader plus expérimenté, qui peuvent gérer chacune entre sept et huit clients" précise Luis.

Outre les réunions avec le client, les analystes font aussi des points internes ou chaque analyste présente ses cas de figure, incidents ou technologies rencontrées aux autres membres de l'équipe. Un bon moyen d'apprendre des uns et des autres et de se familiariser avec des environnements différents.

Le bon grain de l'ivraie

Le cœur du métier des analystes SOC reste la capacité à identifier les incidents les plus importants afin de remonter au client les informations nécessaires à la résolution du problème. Pour y parvenir, l'analyste peut compter sur sa connaissance du contexte client et sur son instinct.

"On a besoin des deux. Les anomalies ça n'arrive pas souvent. Quand on observe quelque chose d'inhabituel sur une machine, on peut aller voir si par le passé ça s'est déjà produit, et comprendre si quelque chose est anormal. Mais on peut aussi définir les choses en amont : par exemple chez un de mes clients, si un nouvel utilisateur est ajouté à l'Active Directory, il faut faire un ticket quoiqu'il arrive et les alerter. C'est une opération qu'ils font très rarement, donc on peut se le permettre" raconte Louka.

Si les doutes persistent, le meilleur moyen d'éclaircir reste évidemment de contacter le client. Mais là aussi, un travail en amont est nécessaire pour éviter que l'analyste SOC ne "spamme" le client de demande.

L'automatisation arrive dans les SOC

"Ce qui nous aide vraiment, c'est d'avoir un maximum d'information sur l'environnement, et de préférence sous forme écrite, afin de pouvoir s'y référer au besoin et éviter de contacter le client pour le moindre problème. Plus on a d'informations, plus on est pertinent" explique Louka Tanguy.

Pour faciliter le travail des analystes, Nomios compte également sur les outils d'automatisation pour réduire ses besoins en analyste dit "de niveau 1"; c'est-à-dire ceux chargés du premier tri des alertes.

Une automatisation qui vise à faciliter le travail des analystes tout en réduisant la taille des équipes nécessaires à la fonction de SOC. Bien évidemment, le risque de faux positif ou de faux négatif reste une inquiétude : "On est vigilants sur ce type de technologies. Mais l'automatisation chez nous est utilisée uniquement pour des choses évidentes. Et il y a toujours un humain au bout du processus" précise Luis.

Placeholder for Arrow rightArrow right
En savoir plus

Inscrivez-vous à notre newsletter

Recevez dans votre boîte aux lettres électronique les dernières nouvelles sur la sécurité, des informations et les tendances du marché.

À la une

Plus de nouveautés