Quelles tâches assume un SOC aujourd’hui?
Un récent rapport de l'Institut SANS montre que la gestion des alertes domine les activités prises en charge par un SOC, tandis que des fonctions comme le red-teaming et le purple-teaming sont moins courantes et typiquement externalisées.
Quelles fonctions opèrent les organisations dans leur SOC? Selon le dernier rapport sur les SOC publié par le SANS Institute, la gestions des alertes (alerting) se distingue comme l'activité la plus courante, tandis que les activités de red-teaming et de purple-teaming sont les fonctions les moins rattachées aux activités d’un SOC.
Le purple-teaming et le red-teaming sont aussi les fonctions qui sont le plus souvent externalisées, au même titre que les tests d'intrusion, l’analyse forensique , les renseignements sur les menaces et le triage initial des alertes. En revanche, les tâches d'administration et de planification, ainsi que celles dévolues à l’architecture et l’ingénierie de la sécurité sont préférentiellement prises en charge en interne.
Lire aussi >> Où en est l’automatisation des SOC?
A propos de l'étude:
L'étude «SANS 2024 SOC Survey: Facing Top Challenges in Security Operations» a été menée auprès de 403 spécialistes et responsables actifs au sein d’un SOC, dont des analystes en sécurité IT, des CISO et des directeurs de SOC. 334 des répondants sont basés en Amérique du Nord. Les autres opèrent dans le monde entier, notamment en Suisse.
