Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
14 novembre 2012 3 14 /11 /novembre /2012 21:47

J'entends souvent dire que la notion de Centre Opérationnel de Sécurité (COS), ou Security Operational Center (SOC), est floue et que l'on peut y être un peu tout...

 

J'ai donc eu envie de donner ma vision de ce que pourrait être une équipe opérationnelle de sécurité. Cette vision n'est pas à considérer comme un état de l'art, comparé aux publications de l'ENISA sur le sujet ou encore le "CERT in a box".

 

Tout d'abord, les activités du COS :

- veille vulnérabilités SI

- veille technologique

- veille juridique NTIC

- inventaire des actifs du parc et leur association au responsable métier

- détection des incidents de sécurité : analyse des alertes, et surtout corrélation (proxies, pare-feu, antivirus, sondes NIDS/NIPS, stats de messagerie, stats télécom, stats des sites web inter / intranet, inventaires IP / systèmes d'expoitation / logiciels)

- traitement des incidents de sécurité

- gestion des crises SSI (notamment virales)

- rédaction de tableaux de bord SSI

- audit de sécurité / conformité

- gestion de dérogations sécurité "exceptionnelles"

- gestion de déprovisionnement des annuaires et des privilèges

 

 

Ensuite les membres constituant l'équipe (les proportions pourront évidemment varier selon les contextes et les besoins)

- plusieurs opérationnels "pur sécurité" (veille, traitement des incidents, inforensique, coordination opérationnelle)

- spécialiste réseau et architecture télécom opérateur

- spécialiste système d'exploitation Windows

- spécialiste système d'exploitation linux et Unix

- spécialiste développement Java, ASP.Net, PHP

- spécialiste droit NTIC : investigation, code pénal, Code du travail, droit des marques/APP, code de propriété intellectuelle,

- spécialiste des réglementations/homologations métier (ayant un lien avec la sécurité), et des contractualisations (prestas)

- veilleur technologique et sécurité

- auditeur / spécialiste en intrusion

 

 

Cette équipe devrait à mon sens être rattachée au RSSI, en tant que "bras armé". Elle pourrait également être partie intégrante d'un pôle sécurité plus global, pilotant la PSSI.

 

Cette équipe devrait potentiellement être sous astreinte 24h/24 si l'entreprise a des contraintes fortes de continuité de production.

 

Cette équipe devrait aussi être en liaison directe avec l'entité de contrôle interne (par essence, non SI), afin de pouvoir solliciter des mandats internes d'extraction de traces et surtout, de pouvoir décliner des opérations de contrôle métier au niveau SI (le volet SSI, donc).

 

Enfin, en considérant le pilotage de la sécurité par le risque, cette équipe devrait pouvoir solliciter en direct toute hiérarchie métier quand un défaut de conformité est décelé (incident de sécurité latent), afin de faire acter au métier les risques inhérents à la situation.

  • Si les risques peuvent être maîtrisés en local, sans devenir transverses, la hiérarchie métier concernée devrait acter les risques résiduels après mise en oeuvre du plan d'action sécurité.
  • Sinon, la cellule devrait être habilitée à solliciter la hiérarchie RSSI et DSI, afin de faire prendre en compte les risques transverses liés à la non conformité sécurité détectée.

 

 

J'espère que cela donnera de l'inspiration à certains pour mettre en oeuvre ce type de structure. Dernier point, je ne pense pas que l'on puisse espérer maintenir un parc sécurisé sans une équipe dont la fonction est proche du COS tel que je l'ai précédemment décrit...

 

Partager cet article

Repost0

commentaires