Avec l'augmentation de la cybercriminalité, il est important pour les organisations de pouvoir répondre rapidement et efficacement aux incidents de sécurité. Nous avons demandé à Mark Van Tiggel, Directeur de la sécurité et de la cyber-résilience chez Telenet, quel rôle joue un Security Operations Center (SOC) à cet égard et comment Telenet déploie son propre SOC pour protéger les systèmes internes et les applications des clients.
Qu’est-ce qu’un Security Operations Center (SOC) exactement ?
“SOC signifie Security Operations Center. Il s'agit d'une équipe de personnes qui assument les tâches quotidiennes de sécurité dans une organisation. Elles surveillent, détectent et analysent les menaces et les incidents de sécurité, et prennent des mesures si nécessaire.”
"Notre SOC est responsable de la sécurité de tous les logiciels et matériels utilisés chez Telenet. Il s'agit de nos pare-feu, des ordinateurs portables de nos employés, de nos applications de gestion de la relation client, etc., mais aussi des applications clients telles que MyTelenet et Telenet TV. Notre équipe se compose d'une vingtaine de personnes qui surveillent tout 24h/24 et 7j/7. Si quelque chose de suspect se produit quelque part - une tentative de connexion étrange, par exemple - nous passons à l'action".
“Les personnes du SOC surveillent, detectent et analysent les menaces et les incidents de sécurité, et prennent des mesures si nécessaire.”
Mark van Tiggel
Directeur de la sécurité et de la cyber-résilience chez Telenet
Comment la surveillance est-elle assurée au sein du SOC ?
"Notre SOC dispose de son propre SIEM (outil de gestion des informations et des événements de sécurité) qui permet de rassembler toutes les informations des journaux en un seul endroit. Toutes les règles de détection sont également définies dans ce SIEM : si nous voyons ceci, une notification doit être générée et nous devons prendre cette mesure. Nous travaillons selon l'approche SOAR (Security Orchestration, Automation & Response). Tout ce que nous pouvons automatiser, nous l'automatisons. Supposons qu'une adresse IP malveillante connue tente de se connecter, elle est automatiquement bloquée.
Comment gérez-vous une menace ?
Nous travaillons avec un système en cascade : il y a trois ‘niveaux’ ou couches d'expertise. À chaque niveau, les compétences des experts augmentent. La majeure partie de notre équipe est composée d'employés de niveau 1. Ce sont eux qui sont assis devant les écrans et qui surveillent tout. Ils enquêtent sur les alertes, les rapports de menaces éventuelles. Ils détectent les faux positifs (fausses alertes) et résolvent les vrais positifs s'il existe une procédure à cet effet.
"S'il n'existe pas encore de procédure, ils transmettent l'incident au niveau 2. Ce sont nos analystes. Ils vont au-delà de l'incident initial : ils examinent également les autres activités de l'utilisateur, vérifient si un comportement suspect peut également être observé dans d'autres applications, etc. Ils peuvent faire remonter les incidents aux experts de niveau 3. Ceux-ci sont alors responsables de la réponse à l'incident et communiqueront également en interne et en externe si nécessaire. Le niveau 3 étend également notre SIEM : il développe des cas d'utilisation, ce qui nous permet d'améliorer et d'étendre nos règles de détection, par exemple en établissant des connexions entre les incidents qui n'existaient pas auparavant".
“Les hackers planifient leurs attaques la nuit. Ils savent que beaucoup d’entreprises ne surveillent pas leurs systèmes 24h/24 et 7j/7 et que le temps de réponse est beaucoup plus long.”
- Mark van Tiggel, Directeur de la sécurité et de la cyber-résilience chez Telenet
Pourquoi le SOC est-il si important pour Telenet ?
"Les hackers sont de plus en plus efficaces : les vulnérabilités sont exploitées immédiatement, les attaques DDoS sont de plus en plus lourdes, les courriels d'hameçonnage sont presque impossibles à distinguer... Ils planifient aussi souvent leur attaque la nuit ou pendant les week-ends prolongés et les jours fériés. Ils savent que beaucoup d'entreprises ne surveillent pas leurs systèmes 24h/24 et 7j/7, et que le temps de réponse est beaucoup plus long à ces moments-là. Une entreprise comme Telenet ne peut pas se permettre de ne pas réagir immédiatement, d'autant plus que nous sommes un acteur du secteur des télécommunications. Un SOC est donc vraiment indispensable pour nous. En combinant toute l'expertise dans un tel centre, il est également facile de maintenir à jour nos connaissances en matière de cybersécurité."
Que faire en tant qu’entreprise si vous souhaitez également un SOC ?
"Mettre un SOC en place soi-même n'est pas si évident. Seules les très grandes entreprises investissent dans leur propre SOC. Il est plus réaliste d'externaliser cette surveillance. Telenet Business, par exemple, offre ce type de service à ses clients. Si, en tant qu'entreprise, vous souscrivez au service ‘Managed Detection & Response’, le SOC de Telenet Business surveillera votre réseau, vos pare-feu, vos applications, etc. 24h/24 et 7j/7, et réagira de manière appropriée en cas d’incident.
