En cas d’incident de sécurité, notre Force d’intervention Rapide est disponible 24h/24 et 7j/7

Communication sur l’analyse de maturité d’un SOC

 


< Retour

Thématique : SOC & CERT

Type de contenu :

Le présent article est le premier d’une trilogie ciblée sur l’analyse de maturité permettant d’éclairer la vision du Comité Exécutif sur la performance du SOC (Security Operation Center) au sein d’une entreprise ou d’un Groupe.

Cette analyse de maturité s’appuie sur le recueil de la vision des clients internes sur les services d’anticipation, de détection et de réponse aux incidents cyber qui leurs sont proposés.

Les articles intégrés dans cette trilogie sont les suivants :

  1. Analyse de l’expérience utilisateurs des services SOC
  2. Etude de la couverture en détection des techniques d’attaque Mitre Att&ck
  3. Structuration d’une synthèse efficace à destination d’un Comex

Analyse de l’expérience utilisateurs des services SOC

1 – Objectifs de l’analyse

L’analyse de maturité réalisée consiste à étudier la performance des services SOC en ciblant l’expérience utilisateurs, afin de comprendre comment les utilisateurs finaux perçoivent la qualité, la réactivité et la pertinence des prestations rendues.

L’objectif est ainsi de sortir du seul cadre technique pour adopter une approche centrée client, en qualifiant et quantifiant l’expérience vécue au quotidien par les clients du SOC.

Les objectifs opérationnels de cette étude sont les suivants :

  • Mesurer la satisfaction globale des utilisateurs vis-à-vis des services SOC
  • Identifier les points de friction entre le SOC et les métiers
  • Produire un diagnostic stratégique servant de base à une feuille de route d’amélioration du SOC, alignée sur les attentes métier
  • Renforcer la crédibilité du SOC auprès de la Direction Générale, en appuyant les décisions d’évolution sur une base factuelle et orientée client

 

2- Périmètre de l’analyse

L’étude permet de collecter les retours des interlocuteurs suivants :

  • Les utilisateurs finaux directement impactés par les incidents
  • Les responsables métiers qui pilotent les activités et applications critiques
  • Les fonctions support et IT (RSSI, helpdesk…) qui interagissent régulièrement avec le SOC

L’analyse s’appuie sur quatre dimensions principales :

  1. Les services rendus aux clients du SOC : qualité perçue de la détection et de la prise en charge des incidents cyber
  2. L’organisation du SOC perçue par les utilisateurs, la visibilité sur les moyens mis en œuvre et les résultats obtenus
  3. Les processus opérationnels garantissant le bon fonctionnement du SOC et permettant la fluidité des interactions
  4. Les engagements (SLO et SLA) sur les services rendus par le SOC

3 – Méthodologie mise en œuvre

La démarche utilisée est à la fois structurée et opérationnelle afin de produire des résultats exploitables par la Direction de l’entreprise et les équipes du SOC.

En amont de la mise en œuvre de l’analyse, une identification des acteurs à solliciter est effectuée avec le sponsor de l’étude. Des entretiens individuels ciblés avec des responsables métier et des utilisateurs clés, ainsi que des groupes de travail collaboratifs par famille d’activité sont ensuite organisés afin de recueillir des retours partagés et des perceptions collectives.

Les sujets abordés portent notamment sur les expériences vécues lors d’incidents cyber préalables, la qualité de la communication, la clarté des informations fournies, le niveau de confiance dans le SOC et les suggestions d’amélioration des services rendus.

Une structuration des outils de collecte d’information est réalisée en préparation des premiers entretiens. Elle permet d’adapter le niveau de détail des éléments attendus selon les profils interrogés. L’utilisation de questionnaires partagés avec les utilisateurs finaux et les correspondants métier permet de recueillir des retours d’expérience et des précisions qualitatives, mais également d’établir des notations visant à quantifier la satisfaction des utilisateurs sur les prestations proposées par le SOC.

4 – Analyse croisée avec les données de fonctionnement du SOC

Les retours utilisateurs sont ensuite complétés par l’analyse des données internes du SOC (nombre d’incidents traités, durée de réponse, retours d’expérience sur incidents, liste des cas d’usage de détection, processus opérationnels…) afin de :

  • Identifier les écarts entre réalité vécue et réalité mesurée
  • Comprendre les éléments déterminants à l’origine des insatisfactions utilisateurs
  • Objectiver les niveaux de couverture des services SOC (détection des techniques d’attaques Mitre Att&ck notamment)
  • Produire une vue intégrée client / technique servant de socle aux recommandations d’évolutions des services SOC présentées en Comex

Le prochain article détaillera le déroulement de l’étude de la couverture en détection de l’outillage du SOC (SIEM, EDR, firewall…) par rapport aux techniques d’attaques identifiées dans la matrice Mitre Att&ck.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *