La mise en œuvre et le déploiement d’un Système d’Information nécessitent bien souvent l’acquisition d’infrastructures IT et leur mise en place dans un centre de données (Datacenter) pour en garantir le bon fonctionnement et la sécurité. Cette sécurité est articulée autour de différents axes. Elle englobe les aspects relatifs à l’environnement (climatisation, système de prévention contre l'incendie, etc.), à l’alimentation électrique (secours, redondance, etc.) et à la sécurité physique. Les enjeux d'une sécurité maximale dépendent donc aussi bien des éléments actifs que passifs.

Plusieurs entreprises mais également administrations et organismes publics ont investi dans la mise en place de Datacenters, soit pour accompagner la transition numérique et le développement de leurs systèmes d’information, soit pour consolider leurs infrastructures IT et optimiser leurs moyens. La réussite ou non de ces chantiers a nécessité de relever plusieurs défis relatifs au choix de l’emplacement, à l’architecture, à la sécurité et/ou à la continuité de service.

Par ailleurs, l’attention particulière dont ont bénéficié ces Datacenters pour les sécuriser et en faire de véritables lieux de protection a souvent conduit à des dispositifs complexes de sécurité et à des architectures difficiles à gérer et superviser. Face à la recrudescence des attaques informatiques et des incidents liés à la sécurité, les entreprises, administrations et organismes publics sont désormais contraints de se doter de structures dédiées et de capacités évoluées pour la détection et la réaction aux incidents de sécurité. Ces structures sont désignées par l’acronyme « SOC : (Security Operating Center ou Centre Opérationnel de Sécurité).

Le SOC a pour fonction de collecter et analyser les évènements émanant de différentes composantes du Système d’Information, de détecter les anomalies et définir des réactions en cas d'alerte. Le SOC permet ainsi d’assurer un suivi en temps réel des évènements de sécurité, ce qui offre une meilleure compréhension des menaces et une gestion des rapports adaptée permettant d’analyser l’historique, d’évaluer la situation actuelle et surtout d’améliorer le périmètre de défense du Système d’Information.

Le fonctionnement optimal du SOC dépend de la combinaison entre des ressources humaines qualifiées, des outils technologiques performants, des processus adaptés et une gouvernance mise en place et impliquée.

En effet, l’efficacité du SOC dépend essentiellement de l’humain, parce qu’au-delà des outils, c’est le personnel qui traite un incident qui doit posséder une bonne expérience et des connaissances techniques approfondies. Pour ce faire, il faut investir dans la formation des ressources internes.

De point de vue technologique, un SOC utilise en général un ensemble de solutions techniques qui peuvent varier en fonction de la taille du SOC et du périmètre à superviser. La plateforme principale du SOC est le système de gestion des informations et des évènements de la sécurité communément appelé SIEM (Security Information and Event Management). Il permet de consolider et de corréler les événements issus de plusieurs composantes du Système d’Information, notamment les IDS (Intrusion Detection System), IPS (Intrusion Prevention System), DAM (Database Activity Monitoring), Firewalls, Antivirus, et ce pour fournir une information compréhensible et exploitable sur l’Etat du SI supervisé. De plus, le SOC ne peut être efficace sans la mise en place de processus suffisamment réfléchis et efficients, susceptibles de couvrir les différents scénarii d'incidents possibles et de fournir des lignes directrices d’aide à la décision et les mesures d'intervention appropriées à chaque incident. Il en va de même des mécanismes de gestion du changement pour mettre à jour rapidement les processus lorsque les possibilités d'amélioration s’imposent.

Enfin, la mise en place réussie d’un SOC, nécessite une gouvernance impliquée qui aura pour rôle de définir la mission et le périmètre des actifs à superviser et être en mesure de contrôler et de réguler le fonctionnement du SOC afin d'éviter les conflits d'intérêts.

Dans ce contexte et dans la continuité de ses actions de sensibilisation et de formation en matière de cyber sécurité, la Direction Générale de la Sécurité des Systèmes d'Information (DGSSI) organise en partenariat avec l’Institut National des Postes et Télécommunications (INPT), au niveau du siège de l’INPT à Rabat, un séminaire sur les Datacenters et les Centres Opérationnels de Sécurité les 25 et 26 Octobre 2016.

Ce séminaire, qui met à contribution des experts marocains et étrangers est destiné aux responsables de la sécurité des systèmes d’information (RSSI) et aux administrateurs SI. Il a pour objectif d’informer sur les bonnes pratiques et les standards internationaux en matière de mise en œuvre et d’exploitation des Datacenter ainsi que les menaces et vulnérabilités auxquelles ils sont exposés dans un monde interconnecté. Ce séminaire est aussi l’occasion d’introduire le rôle essentiel de la mise en place des centres opérationnels de sécurité dans la gestion optimale de l’infrastructure de sécurité de tout organisme et ce à travers une formation assurée par les équipes du Centre de Veille de Détection et de Réponse aux Attaques Informatiques (maCERT).