« Si la cybersécurité était un groupe musical, le SOC serait le chef d'orchestre »
Alors que les technologies transforment notre manière de vivre, de travailler et de communiquer, elles apportent également un lot de défis en matière de sécurité informatique. Tout comme le reste du monde, l'Afrique est confrontée à des menaces cyber, exigeant des stratégies et des initiatives adaptées pour protéger les infrastructures et les données sensibles. Afin de bien détecter ces menaces, les Security Operations Center (SOC) ou Centre d’Opération de Sécurité sont extrêmement essentiels. Les SOC sont des centres opérationnels spécialisés dans la surveillance, la détection et la réponse aux menaces cybernétiques. En Afrique, où la connectivité numérique connaît une croissance rapide, ces centres sont importants dans la préservation de la sécurité des infrastructures critiques, des données sensibles et des systèmes d'information.
Africa CyberSecurity Mag a le plaisir de recevoir aujourd’hui monsieur Moussa Koita, Pre-sales manager sur la région nord-ouest et centrale Africa chez Kaspersky. Il est donc en charge principalement de tout ce qui est question d'avant-vente, tout ce qui est questions techniques liées aux technologies et aux services chez Kaspersky.
Nous aborderons avec lui les spécificités du SOC et comment ils apportent une réponse dans la surveillance et la détection des menaces sophistiquées tout en s’intégrant dans une stratégie globale de lutte contre les cybercrimes.
Africa CyberSecurity Mag: Dites-nous ce qu’est le Security Operations Center (SOC) et comment fonctionne-t-il ?
Moussa Koita: Très concrètement, un SOC ou Cybersecurity Operation Center, est un centre de services opérationnels constitué d'humains, de technologies et de process dont l'objectif principal est la détection des cyberattaques pouvant viser une entreprise et bien évidemment l'assistance à la réponse à ces cybermenaces.
Africa CyberSecurity Mag: L’Afrique fait face aujourd’hui à une transformation digitale très rapide, entraînant par la même occasion des menaces cyber et des risques. Quel est le rôle fondamental du SOC dans la protection contre les cyberattaques et comment l’Afrique peut l’intégrer dans sa stratégie de lutte contre les menaces ?
Moussa Koita: Si la cybersécurité était un groupe musical, le SOC serait le chef d'orchestre. En réalité, une entreprise met en place beaucoup de choses pour pouvoir se sécuriser, notamment sur le plan humain à travers la compétence, sur le plan technologique à travers les solutions de cybersécurité, mais également à travers des processus opérationnels et de la gouvernance pour pouvoir améliorer au maximum sa posture de sécurité. Une fois ces actions effectuées, la question principale de gérer tout ce dispositif et d'être proactif dans la détection se pose naturellement.
Je vous donne un exemple : c'est comme si vous disposiez aujourd'hui d'une maison connectée avec toutes les dernières technologies de sécurité du monde, mais vous n'aviez pas d’agent de sécurité pour veiller sur tout cela. Le SOC se positionne comme étant l'entité humaine à valeur ajoutée au sein d'une entreprise qui se chargera de veiller sur l'ensemble des outils de sécurité mis en place au sein de celle-ci avec un objectif précis, se baser sur ces outillages pour détecter ce qu'on va appeler des signaux faibles.
Vous avez parlé tout à l'heure d'attaques avancées, de menaces avancées. Il s'avère aujourd'hui que les attaques avancées font très peu de bruit au moment de leur action et l'objectif du SOC est justement d'identifier ces menaces en temps réel et de pouvoir augmenter les capacités de réponse de l'entreprise en faisant face avec des réponses adaptées.
Africa CyberSecurity Mag: Quelles sont les principales tendances ou évolutions que vous observez dans le rôle des SOC en Afrique face aux cybermenaces émergentes ?
Moussa Koita: La bonne nouvelle, c'est qu'on prend de plus en plus conscience de l'importance du SOC, ce qui n'était pas le cas il y a 5 ou 6 ans. Aujourd'hui, cela devient obligatoire selon la réglementation dans certains pays, donc les entreprises à importance vitales sont maintenant contraintes de se faire monitorer par un SOC. Quand on parle de SOC, on parle naturellement de monitoring sécurité et cette prise de conscience fait qu'aujourd'hui, il y a de plus en plus d'entreprises de prestations de services. Il y a également des sociétés qui décident de mettre en place leur SOC en interne ou d'externaliser ce service auprès d'experts. Tout compte fait, que ça soit en interne, en externe ou en hybride, le besoin d'un SOC est incontournable pour la protection de toute entreprise.
Africa CyberSecurity Mag: Kaspersky est un leader mondial en matière de cybersécurité, comment le service de SOC de Kaspersky répond aujourd’hui aux défis et spécificités des cybermenaces en Afrique ?
Moussa Koita: Je vous remercie pour la question. Le SOC de Kaspersky est constitué d'experts ayant une vingtaine d'années d'expérience dans la détection, le traitement, l'analyse et la réponse aux incidents. Ce qui fait qu'aujourd'hui, à travers nos technologies de détection, on va collecter ce qu'on appelle LOG, autrement dit des traces numériques qui vont être remontées au niveau de notre SOC. Ces traces numériques ne contiennent pas de données sur le fonctionnement de l'entreprise. Elles indiquent simplement s'il y a eu telle violation de politique de sécurité ou tel scénario d'attaque au sein d'un système d'information. Sur la base de l'analyse de ces événements de sécurité, nos experts sont en mesure de savoir si l'entreprise supervisée est sous attaque ou s'il y a des préparatifs d'attaque en cours. En fonction des éléments détectés dans cette supervision, nos experts informent le client qui est sous attaque ou qui se fera attaquer sur la base des analyses effectuées et lui donne tous les outils et les moyens nécessaires pour qu'il puisse répondre efficacement à ces menaces. Voilà comment fonctionne brièvement le SOC de Kaspersky.
Africa CyberSecurity Mag: On dit souvent que le SOC est complexe et très onéreux, que c’est pour les grandes entreprises. Que pensez-vous de cette perception qu'ont les PME et TPE ? Peuvent-ils aujourd’hui avoir raisonnablement des services de SOC ?
Moussa Koita: Effectivement, ce mythe a été assez répandu pendant de longues années. J'avoue que c'est peut-être une ancienne vérité, mais ce n'est plus le cas de nos jours. Et il faut se demander pourquoi ce mythe existe. Pour mettre en place un SOC, il fallait disposer de beaucoup de ressources humaines, de beaucoup de technologies initiales et bien évidemment, il fallait que l'entreprise soit structurée d'un point de vue sécurité. Prenons un exemple d’une entreprise qui souhaite mettre en place un SOC interne effectuant une supervision 24/7.
Dans une journée, il y a 3 fois 8 heures de travail, et dans une semaine d'un SOC, il y a 7 jours de travail et non 5, ça veut dire qu'il nous faut en moyenne un minimum de 9 à 12 ressources humaines qualifiées pour mettre en place son propre SOC en interne. Sauf que ça, c'était effectivement ce qui se passait depuis plusieurs années. De nos jours, il y a l'émergence de nouveaux types de SOC qu'on va appeler Micro SOC ou Opti SOC ou peu importe la terminologie. Mais qui sont des services de supervision basés sur ce qu'on va appeler du MDR dans la terminologie, ça veut dire tout simplement Manager Detection and Response, c'est-à-dire un service managé de détection et de réponse aux incidents. Donc à travers le MDR, que vous soyez une petite entreprise ou une multinationale, on va pouvoir monitorer le système d'information quelle qu'en soit sa taille, et être efficace dans la réponse aux incidents. Voilà le changement majeur qu'il y a aujourd'hui dans l'écosystème des SOC, puisque la définition SOC, qui est tout simplement le monitoring et la réponse aux incidents, va pouvoir s'appliquer tant pour les petites entreprises, que pour les grandes structures.
Africa CyberSecurity Mag: Avez-vous un conseil ou des recommandations à formuler aux entreprises et organisations pour améliorer leur posture en matière de cybersécurité ?
Moussa Koita: Chaque entreprise a son niveau de maturité sécurité, chaque entreprise a son budget, ses compétences, ses procédures, ses réalités et ses difficultés. Le conseil que je peux donner, c'est de ne pas partir du principe qu’en étant une petite entreprise, on ne sera pas attaqué ou en étant une très grande entreprise, notre système d'information sera trop complexe pour que cela soit attaqué. Quelle que soit la taille de l'entreprise, sachez que vous pouvez de façon très intelligente mettre en place l'ensemble des outils et des moyens de sécurité. Aujourd'hui, chez Kaspersky, nous avons des offres spécifiques pour les petites entreprises. Notre technologie Cloud Pro permet aux toutes petites structures, notamment les TPE, d'implémenter tout ce qui est filtrage web, e-mail, firewall, gestion de vulnérabilité. Tous ces composants que se permettent aujourd'hui que les grandes structures. Si on prend le cas des entreprises à grande taille avec des équipes d'experts cybersécurité, on a également des technologies et des services à tous les niveaux qui permettent d'améliorer également leur posture de sécurité.
Ce que je recommande pour résumer, c’est d'un, mettez en place une stratégie de gouvernance sécurité, car c'est la base, et c'est ce qui permettra de savoir où on mettra les pieds, ce qu’il nous manque et ce qu’il nous faudrait.
2ᵉ chose, recrutez des ressources compétentes en cybersécurité et formez-les, peu importe que la ressource reste ou pas. La formation est essentielle pour qu'ils puissent assurer le minimum en termes de protection de votre système d'information.
Et en 3ᵉ lieu, mettez en place les bonnes technologies, peu importe votre budget. Si vous adoptez la bonne stratégie, nous pourrons effectivement trouver une solution pour vous sécuriser.
Propos recueillis par Christelle HOUETO, Journaliste digital
