Solution SOC : service SOC protect

Bénéficiez d’une surveillance proactive de votre SI contre les cybermenaces.

Pourquoi recourir à un SOC (Security Operations Center) ?

MULTIPLICATION DES CYBERATTAQUES
2 entreprises sur 3 ont subi au moins une tentative de fraude dans l’année

MANQUE DE RESSOURCES 70% des entreprises manquent de spécialistes en Cybersécurité

RANSOMWARE
90% des victimes ont perdu irrémédiablement des données

EXPOSITION AUX RISQUES
20% des violations de sécurité sont dues à un travailleur distant

Protéger votre entreprise : l’essentiel à savoir

Un SOC permet aux organisations de faire face à une exposition croissante aux risques de cybersécurité

Avec l’explosion du nombre d’attaques cyber et la complexité croissante de celles-ci, la plupart des organisations ne sont pas prêtes à y faire face. Elles doivent être en mesure d’identifier les menaces le plus tôt possible, de détecter et analyser les éventuelles attaques, avant de pouvoir les traiter de la manière la plus efficace possible. Le facteur temps est fondamental.

Une attaque de type ransomware prend en moyenne 25 jours avant son déclenchement !

Sans les services d’un SOC, la plupart des attaques peuvent passer inaperçues alors qu’elles sont déjà engagées. Il est donc essentiel d’avoir une approche proactive, notamment au travers d’audits, mais aussi de mettre en œuvre une approche réactive au travers d’un SOC.

Un SOC (Security Operations Center) est basé sur un ensemble de moyens technologiques, humains et de processus qui permettent d’assurer la sécurité de l’organisation au travers d’une surveillance en temps réel du système d’information. Il permet de détecter, d’analyser, de protéger, de lever des alertes et de lancer des actions de remédiation. Cette démarche s’inscrit par ailleurs dans un processus d’amélioration continue.

Le SOC devient ainsi le premier rempart de l’entreprise contre les incidents de cybersécurité. Il permet notamment d’identifier les intrusions, d’éviter les fuites de données et de réduire le risque d’être victime d’un rançongiciel (ransomware).

Quels modèles de SOC choisir ?

Lorsque vous souhaitez recourir à un SOC, se pose la question du choix de modèle à adopter : Faut-il opter pour un SOC traditionnel basé sur du SIEM « on premise » ou sur SOC as a Service (SOCaaS) basé sur des technologies cloud ?

Le SOCaaS (SOC as a Service) désigne un service de sécurité managé basé sur le cloud, construit sur une plateforme SaaS (Software as a Service) multi-tenant. L’objectif est d’assurer la surveillance du système d'information. Il peut reposer sur plusieurs technologies comme le SIEM cloud mais également des solutions comme l’EDR (Endpoint Detection & Response) assurant une surveillance avancée au niveau du Endpoint (poste de travail et serveur).
Le SOCaaS permet de répondre aux défis d’un SOC traditionnel tout en étant plus simple et plus rapide dans sa mise en œuvre. Il propose également des tarifications plus abordables. Cela permet de faciliter l’accès à ce type de surveillance aux ETI et PME, là où le SOC traditionnel n'est envisageable que pour les Grandes Entreprises.

La mise en place d’un SOC traditionnel est un projet d’envergure qui nécessite un lourd investissement financier et un long processus de mise en place. Pour ces raisons, le recours à un SOC (internalisé ou externalisé) a souvent été le fait de grandes entreprises ayant les moyens financiers d’y accéder.
Un SOC traditionnel s’appuie sur un SIEM (Security Information and Event Management) on premise. C’est à travers ce type de solution que les logs des différentes solutions de sécurité seront collectés et corrélés pour apporter du contexte et identifier de potentiels incidents de sécurité.

Podcast : le SOC as a service : pourquoi est-ce pertinent pour la protection des organisations ?

NXO SOC protect : l’offre SOC de NXO pour votre organisation

NXO SOC protect, c’est une offre de type SOCaaS adaptée aux besoins des ETI. Cette offre de service managé cybersécurité repose sur des solutions performantes SaaS de type EDR/XDR (Endpoint Detection & Response / eXtended Detection & Response), sur une équipe dédiée d’analystes cybersécurité et sur des process adaptés.

Avec ce service, l’ensemble des postes de travail, serveurs et firewalls de votre organisation peuvent être mis sous surveillance et sont supervisés en temps réel par les analystes du SOC de NXO.

NXO SOC protect est une nouvelle approche du SOC adaptée aux ETI qui remet l’humain au coeur du dispositif

L’offre de NXO s’organise autour de 4 piliers : La veille – La détection – La réponse – L’amélioration continue

L’offre NXO proposée s’organise en 4 phases : La veille - La détection - La réponse - L’amélioration continue - schéma NXO

Pourquoi NXO ?

La valeur ajoutée des analystes et l’engagement : des différentiateurs forts de l’offre

Nous sommes conscients que rien ne peut remplacer les compétences humaines pour analyser les menaces : qualifier, gérer les faux positifs, mettre en place un plan d’actions si nécessaire…

L’offre de NXO repose principalement sur un accompagnement individualisé qui place les compétences humaines au cœur de sa solution avec l’expertise de ses analystes en cybersécurité. Ceci la différencie d’autres offres basées sur des réponses automatisées.

Les menaces étant constantes, plus nombreuses et plus complexes, NXO a fait le choix se s’engager sur des niveaux de services (SLA) exigeant dans le processus de réaction lorsque des incidents sont avérés.

Une approche basée sur des compétences humaines (qualification des incidents, gestion des faux positifs)

Une réponse à valeur ajoutée: mise en place d’un plan d’action, remédiation si nécessaire

Une forte exigence avec des engagements de service (SLA) dans le processus de réactions aux incidents

Ils nous ont fait confiance

Vos questions et nos réponses concernant le SOC

Quel est le rôle d’un SOC (Security Operations Center) ?

Le rôle d'un SOC ou Centre Opérationnel de Sécurité, est d’assurer la supervision et l’administration de la sécurité d’un Système d’Information. Il repose sur une combinaison de 3 éléments clefs :

Des technologies : il s’agit de l’ensemble des moyens technologiques utilisés afin de collecter, corréler les divers évènements remontés. Selon l’approche du SOC, il peut reposer sur des technologies de type SIEM (Security Information and Event Management) mais aussi sur des outils spécifiques comme l’EDR (Endpoint Detection & Response), XDR (eXtended Detection & Response).
Des moyens humains : il s’agit d’analystes experts en sécurité informatique dont la tâche principale est d’analyser les incidents remontés et de mettre en place des plans d’action pour y remédier.
Des processus : leur objectif est d’assurer la supervision du SI, la détection et la résolution des incidents de sécurité mais également d’apporter des améliorations au SOC sur la base de l’évaluation des processus et de l’évolution des menaces.

Comment se passe la mise en place du SOC NXO pour une organisation ?

Un projet de mise en place du SOC se déroule de 2 phases :

Déploiement (BUILD) : il démarre par une réunion de lancement suivie de la mise en place des solutions technologiques nécessaires à la production du service. Il s'agira par exemple de déployer les agents sur les postes de travail dans le cadre d'un EDR. Il y a ensuite une phase de configuration du tenant coté NXO et une validation de la phase de déploiement
Exploitation (RUN) : elle marque le début du service de surveillance, après une phase d’affinage.

Quelles sont les technologies utilisées dans un SOC ?

Il existe différentes technologies utilisées au sein d’un SOC, chacune ayant une fonction particulière.

SIEM :

Les solutions de gestion de logs permettent une centralisation des données récupérées des différentes solutions de Cybersécurité. Elles permettent également la centralisation ainsi que la corrélation, la surveillance et l’analyse des données et événements en temps réel, dans un objectif de détection. Ce type de solution permet de couvrir tous les assets (actifs) informatiques du SI et c’est un moyen de répondre à plusieurs exigences de sécurité (ex : historisation et suivi des logs, alertes, …) et de prouver sa bonne foi aux autorités de certification ou de suivi. Déployer un SIEM ne suffit pas pour autant à sécuriser complètement un SI. Les solutions SIEM présentent des limites :

Des investissements importants
Une configuration pointue
Un volume important d’alertes à traiter
Un outil multi technologique insuffisant sur le Endpoint
EDR :

Les solutions EDR (Endpoint Detection & Response) assurent la surveillance au niveau des terminaux/endpoint (poste de travail, serveur). Ces technologies sont des outils très spécifiques, qui apportent un haut niveau de détection au niveau du endpoint. Elles permettent notamment de se protéger contre les APT (Advanced Persistent Threats), qui utilisent souvent des techniques d’attaque sans malware et des failles de sécurité pour accéder au système d’information, ce que les antivirus classiques (EPP) ne sont capables de détecter car ils se reposent sur des bases de signatures. L’EDR analyse les usages des terminaux en surveillant l’exploitation de failles de sécurité et les comportements anormaux. La détection de ces menaces se fait grâce à de l’analyse comportementale qui étudie les événements systèmes du terminal (exécution de processus, appel système…) afin de détecter des comportements déviants. L’EDR est devenu un outil indispensable d’un SOC pour assurer une surveillance avancée au niveau des endpoints qui sont les premiers points d’entrée pour les cyberattaques.

XDR :

Les solutions XDR (eXtended Detection & Response) sont comparables aux solutions d’EDR mais couvre plus de sources. Le Gartner définit XDR comme « une plate-forme unifiée de détection et de réponse aux incidents de sécurité, qui collecte et corrèle automatiquement les données de plusieurs composants de sécurité propriétaires ». XDR permet ainsi une détection et une réponse qui vont au-delà de l'approche cloisonnée des outils de sécurité traditionnels, tels que EDR.

Qu’est-ce que le SIEM ?

Gartner définit le SIEM (Security Information and Event Management) comme une technologie qui prend en charge la détection des menaces, la conformité et la gestion des incidents de sécurité grâce à la collecte et à l'analyse (à la fois en temps quasi réel et historique) des événements de sécurité, ainsi qu'une grande variété d'autres événements et données contextuelles sources.

Qu’est-ce que l'EDR ?

L’EDR est une solution qui assure une protection avancée au niveau des endpoints (poste de travail & serveur). A la différence des solutions antivirales traditionnelles (EPP : Endpoint Protection Platform), la solution EDR permet une analyse en temps réel contre des attaques complexes tout en apportant de la visibilité. Ce type de solution permet notamment de comprendre une attaque (Forensic) et d’agir sur les postes en cas d’attaque. Contrairement à une solution EPP, elle nécessite de disposer d’analystes cyber pour qualifier et agir sur les postes.

Qu’est-ce que XDR ?

XDR permet une détection et une réponse qui vont au-delà de l'approche cloisonnée des outils de sécurité traditionnels, tels que EDR qui se limite au endpoint. L’EDR est très puissant mais finalement limité, car seuls les points de terminaison (endpoint) gérés avec un agent EDR peuvent être protégés. Cela limite l'éventail des menaces et des attaques contre lesquelles il peut être efficace.

XDR propose ainsi les caractéristiques d’un EDR mais il est capable de collecter aussi d’autres sources tel que la partie réseau (firewall) par exemple.

Faut-il privilégier l'EDR, le XDR ou le SIEM pour assurer la surveillance de mon SI ?

L’outil traditionnel est le SIEM mais on constate que les solutions EDR/XDR sont finalement complémentaires ou peuvent être plus pertinentes dans certains cas.

Néanmoins toutes ces solutions ne répondent pas au même objectif. Ainsi un SIEM pourra remonter des logs de tous les assets d’un SI, mais les informations remontées pourront être très nombreuses. Ainsi les analystes pourront être surchargés d’alertes.

Le SIEM sert également de système d'enregistrement pour la surveillance de la conformité, la conservation et la création de rapports.

L’EDR/XDR se concentre sur l'identification, l'investigation et la prise de mesures pour résoudre les incidents aussi rapidement et efficacement que possible.

Le XDR n'est pas destiné à satisfaire les mandats de conformité comme l'est le SIEM. Les solutions EDR/ XDR n'ont généralement pas besoin de collecter des journaux pour faciliter la détection et l'investigation des menaces. Au lieu de cela, les données de réseau et de point de terminaison suffisent généralement à identifier de potentielles menaces et leurs actions de remédiation sont très efficaces.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_01CQSTSNYF	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_92794824_2	1 minute	Set by Google to distinguish users.
_gat_UA-92794824-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
ln_or	1 day	Linkedin sets this cookie to registers statistical data on users' behaviour on the website for internal analytics.
pardot	past	The pardot cookie is set while the visitor is logged in as a Pardot user. The cookie indicates an active session and is not used for tracking.

Cookie	Durée	Description
DEVICE_INFO	5 months 27 days	YouTube: Utilisé pour suivre l'interaction de l'utilisateur avec le contenu intégré.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lpv983551	30 minutes	Ce cookie empêche le suivi de chaque rechargement en tant que vue de page.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
visitor_id983551	1 year	Le cookie visiteur inclut un identifiant unique de visiteur et l'identifiant unique de notre unité commerciale.
visitor_id983551-hash	1 year	Ce cookie est une mesure de sécurité qui empêche un utilisateur malveillant de se faire passer pour un visiteur et d’accéder aux informations du prospect correspondant.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durée	Description
AnalyticsSyncHistory	1 month	No description
li_gc	2 years	No description
SGPBShowingLimitationPage65978	session	No description
SGPBShowingLimitationPage68398	session	No description

SOC as a Service NXO SOC protect