Security Operations as Code (SOaC)

Aujourd’hui, c’est le jour des défilés, je suis en vacances… et pourtant me voilà en train d’écrire un nouvel article qui me trottait dans la tête depuis un moment. L’année dernière, lors de ma participation aux journées de cybersécurité du CCN-CERT, j’ai découvert un concept qui a particulièrement retenu mon attention, tant par son approche que par tout ce qu’il peut apporter aux centres d’opérations de cybersécurité : SOaC (Security Operations as Code). Il s’agit d’un paradigme qui transpose les pratiques DevOps au domaine des SOC, en appliquant les mêmes techniques et philosophies à la maintenance et à l’exploitation de la sécurité. 

Aujourd’hui, de nombreux SOC rencontrent des difficultés importantes à mesure qu’ils gagnent en taille et en complexité. L’un des principaux problèmes est la perte de connaissances due à la forte rotation du personnel dans le secteur de la cybersécurité. Les ingénieurs et les analystes quittent l’organisation et, avec eux, disparaissent des informations qui sont rarement correctement documentées. À cela s’ajoute le fait que les règles de détection personnalisées sont souvent créées sans un contrôle de version adéquat, ce qui les rend difficiles à maintenir, à réutiliser ou à auditer. De plus, dans de nombreux cas, les tests sont effectués directement dans les environnements de production des clients, sur le SIEM et avec des données réelles, transformant l’exploitation en un processus inutilement risqué. Pour ne rien arranger, une grande partie de la documentation repose sur des captures d’écran, difficiles à maintenir et qui font de toute audit de SOC un véritable cauchemar. 

C’est là que SOaC fait toute la différence. Cette approche propose de traiter la connaissance du SOC comme du code source. Les règles de détection, les cas d’usage et la documentation sont stockés dans des dépôts Git, ce qui permet de conserver un historique complet des changements, d’effectuer des rollbacks si nécessaire et de collaborer de manière beaucoup plus efficace. SOaC facilite également l’automatisation des tests, idéalement dans des environnements de préproduction, avant de déployer des changements en production. La documentation cesse d’être statique pour devenir une documentation vivante, versionnée en même temps que le code. En conséquence, les audits sont grandement simplifiés, car la conformité fait partie intégrante des opérations quotidiennes du SOC. 

SOaC s’adresse tout particulièrement aux ingénieurs et aux analystes ayant une mentalité orientée développement. Il s’agit d’une manière de travailler transparente, sans angles morts ni connaissances cachées. Tout est enregistré, versionné et accessible. Toute entreprise de cybersécurité souhaitant appliquer sa propre logique de détection et d’exploitation devrait sérieusement envisager d’adopter cette approche. De plus, SOaC évite le verrouillage fournisseur : il peut être appliqué indépendamment du SIEM, de l’EDR ou d’autres outils utilisés. En définitive, il permet d’exploiter un SOC comme le ferait une équipe d’ingénierie moderne. 

Si tout cela vous semble intéressant, vous pourriez demander un SOC de nouvelle génération, voire un SOC du futur. Vous pouvez trouver beaucoup plus d’informations sur SOaC sur soacframe.io. 

Je vous encourage à l’essayer et à commencer dès maintenant. Bon courage !