Manuel du RSSI – Créer un centre d'opérations de sécurité qui fonctionne réellement

Le modèle de maturité SOC (Où en êtes-vous ?)

• Niveau 0 : Pas de SOC (réponse ad hoc aux incidents)
• Niveau 1 : Réactif (alertes → enquêter → fermer)
• Niveau 2 : Proactif (chasse aux menaces, corrélation, playbooks)
• Niveau 3 : Adaptatif (triage basé sur le ML, réponse automatisée, amélioration continue)

La pile technologique (évaluation honnête)

• SIEM : ce qu'il peut et ne peut pas faire (et pourquoi il ne suffit pas)
• SOAR : automatisation des workflows de réponse
• EDR/XDR : point final et détection étendue
• Plateformes de Threat Intelligence : contextualiser les alertes
• Pourquoi la prolifération des outils tue l'efficacité du SOC

Personnes et processus (le véritable goulot d'étranglement)

• Modèle d'analyste de niveau 1/2/3 par rapport au routage basé sur les compétences
• Élaboration d'un playbook : les 20 scénarios qui couvrent 80% des incidents
• Planification des quarts de travail et prévention de l'épuisement professionnel
• Entraînement : exercices sur table, exercices en équipe violette, compétitions CTF

Des mesures qui comptent

• MTTD (temps moyen de détection)
• MTTR (temps moyen de réponse)
• Ratio alerte/enquête
• Taux de faux positifs
• Réduction du temps de séjour

Construction ou externalisation (cadre décisionnel du MSSP)

CTA de clôture :

→ Lien vers : /solutions/cyber-security/enterprise-security/siem/

→ Lien vers : /solutions/cyber-security/it-security-assurance/managed-security-mssp/

• Quand construire en interne
• Quand utiliser un SOC/MSSP géré
• Modèle hybride : L3 interne + L1/L2 externalisés