Cybersecurity Team Roles and Responsibilities

Un centre d'opérations de sécurité, ou SOC, est une équipe qui lutte en permanence contre les innombrables cybermenaces potentielles qui pèsent sur une organisation. La compréhension de la structure et des processus au sein d'une équipe de cybersécurité permet une gestion beaucoup plus efficace de la sécurité - mais elle ne suit pas toujours une hiérarchie rigide.

Rapport IDC SOC SOC Demo

Cybersecurity Team Roles and Responsibilities

Introduction au cadre de cybersécurité du NIST

Le cadre de cybersécurité du NIST établit un ensemble solide de normes et de processus qui répondent de manière adéquate au risque cybernétique. Sa flexibilité signifie que, bien qu'il n'y ait pas de formule explicite pour la structure d'une équipe de cybersécurité, toute gestion des menaces doit couvrir ces cinq piliers clés :

  1. Identifier: Il s'agit d'identifier les systèmes critiques d'une organisation et les risques de sécurité auxquels ils sont confrontés. Il s'agit de comprendre les actifs, les systèmes, les données et l'environnement général de l'entreprise.
  2. Protéger: Il s'agit de déterminer l'impact des failles de sécurité potentielles et d'élaborer des stratégies pour atténuer ces risques, en veillant à ce que des mesures de sécurité soient mises en place pour protéger les services et les données critiques.
  3. Détecter: L'objectif est de permettre la détection rapide des incidents liés à la cybersécurité. Cela signifie qu'il faut mettre en place des systèmes et des processus pour surveiller en permanence les violations potentielles ou les activités suspectes.
  4. Réagir: L'accent est mis sur la préparation d'une réponse rapide et efficace aux incidents de cybersécurité, afin de limiter la propagation et l'impact de la violation.
  5. Récupération: Il s'agit de permettre à l'organisation de reprendre ses activités normales le plus rapidement possible après un incident.

La composition d'une équipe de cybersécurité : Rôles et responsabilités clés

Pour se conformer au cadre de cybersécurité du NIST, de nombreux SOC sont divisés en équipes qui utilisent au mieux l'expérience et le domaine de compétence de chaque employé :

#1 : Analystes de la sécurité

Les analystes en cybersécurité sont des membres de l'équipe de sécurité qui travaillent sur le terrain et qui, le plus souvent, ont le nez collé à l'odeur des menaces de sécurité au sein d'un réseau.

Mais compte tenu de la quantité de données de réseau, de l'éventail de systèmes à sécuriser et de la nature variable des niveaux d'alerte, il est courant que le rôle de l'analyste de sécurité soit subdivisé en trois ou quatre types principaux.

Niveau 1 : Gestionnaire d'alerte

Il s'agit généralement de la fonction la moins expérimentée, mais tout aussi essentielle.

Les analystes de sécurité de niveau 1 sont chargés de surveiller les outils de sécurité pour détecter les alertes et les mauvaises configurations. Lorsque de nouvelles alertes arrivent, ils sont les premiers à les traiter, car ils choisissent ce qui est prioritaire et la manière dont elles sont triées.

Niveau 2 : Répondant

Ce niveau reçoit les incidents identifiés par les analystes de niveau 1 et entame une analyse plus approfondie de leur origine et de leurs implications plus larges. En raison de la grande variété d'alertes propres à chaque environnement, les spécificités quotidiennes peuvent changer radicalement. Ces enquêteurs approfondis sont compétents en matière d'analyses complexes et peuvent passer plus de temps à recouper les alertes qui leur parviennent.

Ils constituent l'essentiel des capacités de réponse aux incidents d'une entreprise et, grâce à leur expérience dans la position de niveau 1, ils sont généralement très familiers avec les processus normaux du réseau d'une entreprise.

Cette capacité à comprendre rapidement et de manière concise les subtilités d'un incident potentiel signifie que les analystes de niveau 2 sont également bien placés pour réagir : ils contribuent à l'élaboration d'une stratégie de sécurité pour l'endiguement, l'assainissement et la récupération.

Niveau 3 : Expert de terrain ou chasseur de menaces

Les analystes de niveau 2 sont épaulés par leurs homologues de niveau 3 dans leurs enquêtes de grande envergure sur les incidents : il s'agit d'analystes très expérimentés qui se sont spécialisés dans certains domaines.

Il peut s'agir de l'un ou l'autre :

  • Spécialistes des infrastructures
  • Spécialistes des techniques de cybersécurité,

Ils sont souvent chargés des éléments les plus proactifs de la cybersécurité, comme la chasse aux menaces. Lorsqu'un test de pénétration est en cours, ce sont les niveaux 1 et 2 qui jouent le rôle de l 'équipe bleue, et les niveaux 3 qui jouent généralement le rôle des faux attaquants - ce qui permet à l'ensemble du dispositif de sécurité de l'organisation de bénéficier de leur expérience avancée.

Quel que soit le niveau, la plupart des analystes commencent leur travail de la même manière : 

La première tâche consiste à évaluer les informations recueillies au cours de l'équipe précédente, en particulier dans un SOC fonctionnant 24 heures sur 24 et 7 jours sur 7, et à commencer par un briefing sur les incidents en cours ou les événements qui nécessitent une surveillance accrue.

Analyste de niveau 4 : Gestionnaire SOC

Le SOC manager est responsable des analystes ; comme ils représentent essentiellement la dernière évolution de la carrière traditionnelle d'analyste, on parle parfois d'analyste de niveau 4. Ils dirigent les opérations du SOC et sont chargés de synchroniser les analystes avec le DevOps et la stratégie au sens large par le biais de politiques de sécurité.

C'est ainsi qu'ils élaborent et contribuent à l'exécution de la stratégie de cybersécurité.

Les responsabilités quotidiennes d'un responsable SOC consistent à soutenir l'équipe et à veiller à ce que tout se passe bien :

  • Organiser des sessions de formation
  • Recrutement de nouveaux membres
  • Contracter des services et des outils externes dont l'équipe a besoin

#2 : Ingénieurs en sécurité

Bien qu'ils ne fassent pas toujours partie intégrante du SOC, les ingénieurs en sécurité méritent d'être mentionnés en raison de leur rôle dans la gestion des risques de l'organisation. Ils disposent généralement d'une expérience approfondie en matière de logiciels ou de matériel et sont généralement chargés de concevoir des systèmes d'information sécurisés.

Cela signifie souvent qu'ils ont un pied dans le SOC et un autre dans l'équipe. DevOps Ils sont également responsables de la documentation des protocoles de sécurité de application.

#3 : Directeur de la réponse aux incidents

Le directeur de la réponse aux incidents prend en charge l'ensemble du processus de réponse aux incidents - il coordonne et dirige toutes les facettes de l'effort de réponse.

Le directeur des RI assume l'entière responsabilité de tous les rôles au sein de l'équipe d'intervention et est habilité à créer et à attribuer des rôles supplémentaires si nécessaire pour répondre aux exigences d'un incident, par exemple en affectant plusieurs analystes au traitement de flux d'informations particuliers.

Cette approche dynamique leur permet d'adapter la structure de l'équipe en temps réel.

#N°4 : CISO

Le responsable de la sécurité de l'information (CISO) se situe un cran au-dessus du responsable du SOC. Sans les distractions liées à la gestion des analystes individuels, ils sont libres de se concentrer presque exclusivement sur les décisions stratégiques qui éloignent l'organisation des menaces qui pèsent sur l'ensemble du secteur.

Sous la responsabilité du directeur général, ils équilibrent les exigences en matière de sécurité avec les objectifs et les budgets de l'entreprise au sens large.

Vous ne disposez pas d'une équipe interne complète ? Check Point peut vous aider

Lorsque vous dépendez d'une équipe réduite, voire entièrement externalisée, il peut être difficile de se sentir totalement en phase avec votre posture de sécurité. Avec un modèle de sécurité natif de cloud, Check Point offre une vue entièrement centralisée de chaque composant de l'infrastructure application.

Sur l'ensemble du trafic, des configurations et des composants, identifiez vos actifs et sécurisez-les grâce à des fonctionnalités avancées telles que la macro et la micro-segmentation, le pare-feu Next-Gen, la protection des API et l'inspection SSL\TLS. Cette visibilité de nouvelle génération constitue la base du service Check Point Infinity. Si vous avez besoin d'une protection plus poussée, découvrez les services gérés complets qui en font bon usage. Il s'agit notamment de

  • Surveillance de la pile complète
  • Un réglage serré de la politique
  • Gestion des incidents

Tout cela s'intègre parfaitement à vos opérations informatiques et de sécurité. Pour en savoir plus, découvrez la gamme complète des services Check Point Infinity ici.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK