CSIRT et CSOC

Qu'est-ce que le CSIRT

CSIRT est l'acronyme de Computer Security Incident Response Team. C'est-à-dire, l'équipe de réponse aux incidents de sécurité informatique. Si nous nous référons à la définition fournie par le Software Engineering Institute de l'Université Carnegie Mellon, un CSIRT est “une entité organisationnelle spécifique (c'est-à-dire, un ou plusieurs membres du personnel) à qui est assignée la responsabilité de coordonner et de soutenir la réponse à un événement ou incident de sécurité informatique”. Son objectif, par conséquent, est de contrôler et minimiser les dommages potentiels qu'un incident de sécurité pourrait causer. De plus, il est chargé de fournir une orientation efficace pour les activités de réponse et de récupération, et travaille pour éviter que de futurs incidents ne se produisent.

Pour pouvoir accomplir cette tâche, le National Institute of Standards and Technology du gouvernement des États-Unis donne une série de recommandations, telles que

• Créer et mettre à jour des plans de réponse aux incidents
• Maintenir et communiquer l'information aux entités internes et externes
• Identifier, évaluer et analyser les incidents
• Coordonner et communiquer les efforts de réponse
• Remédier aux incidents
• Informer sur les incidents
• Gérer les audits
• Réviser les politiques de sécurité et
• Recommander des changements pour prévenir de futurs incidents.

Il convient de noter que les CSIRT peuvent être dans n'importe quelle organisation, indépendamment de sa taille et de son objectif. Par conséquent, il peut y avoir des CSIRT dans les pays eux-mêmes, mais aussi dans des entreprises ou même dans des organisations à but non lucratif.

Qu'est-ce que le CSOC

CSOC est la même chose qu'un SOC. Ce dernier acronyme correspond aux initiales de Security Operations Center, ou centre d'opérations de sécurité. D'autres préfèrent ajouter le terme “Cyber” à tout cela pour parler de Cyber Security Operations Center ou CSOC.

Le CSOC est généralement composé d'une équipe d'analystes de sécurité réseau organisée pour détecter, analyser, répondre, signaler et prévenir les incidents de sécurité réseau 24 heures sur 24 et 365 jours par an. Autrement dit, sa mission est plus large, car elle couvre toutes les phases et étapes de la sécurité, tandis que le CSIRT serait plus limité aux domaines de réponse à un incident.

Bien qu'ils puissent travailler avec d'autres équipes ou départements, les professionnels du CSOC travaillent généralement de manière indépendante. Ils peuvent être au sein des entreprises ou chez des prestataires de services externes qui emploient des personnes ayant de solides connaissances en TI et en cybersécurité.

Une des particularités des CSOC est qu'ils fonctionnent 24 heures sur 24 (les employés travaillent par roulement) pour enregistrer constamment l'activité et atténuer les menaces. Dans le CSOC, le trafic Internet, les réseaux, les ordinateurs de bureau, les serveurs, les dispositifs de point final, les bases de données, les applications et d'autres systèmes sont continuellement examinés à la recherche de signes d'un incident de sécurité.

Les CSOC sont une partie intégrante pour minimiser les coûts d'une éventuelle violation de données, car ils aident non seulement les organisations à répondre rapidement aux intrusions, mais ils améliorent également constamment les processus de détection et de prévention.

Types de CSOC

Il existe différents types de CSOC qui se définissent par leur modèle organisationnel et opérationnel plutôt que par leurs ensembles de capacités de base. Évidemment, le CSOC peut (et doit) également envisager cette réaction face à d'éventuels incidents, mais sans négliger d'autres fonctions.

Ainsi, et bien que l'offre soit de plus en plus large, en fonction du type de CSOC que chaque entreprise décide, nous pouvons parler de.

• CSOC dédié ou autogéré (dans l'organisation elle-même)

• CSOC géré (un fournisseur de services externe offre la sécurité)

• CSOC distribué (une combinaison des deux précédents)

• CSOC multifonction (où les professionnels et leurs responsabilités s'étendent à d'autres domaines de gestion informatique, tels que les réseaux)

• CSOC virtuel (dans lequel il n'y a pas d'installations dédiées sur site)

• CSOCaaS (offert comme un service, implique généralement un abonnement, généralement mensuel ou annuel, pour recevoir ces services)

Conclusion

En conclusion, nous pouvons dire que les deux équipes sont importantes pour la sécurité de toute entreprise. Alors que le CSIRT a pour mission de répondre aux incidents potentiels, le CSOC doit être le surveillant qui suit et analyse les comportements anormaux possibles pour éviter un incident.

Les deux responsabilités sont importantes et complémentaires pour l'activité de toute entreprise et organisation.