Security Operating Center c’est quoi ?

Deux écoles « s’affrontent » les tenants d’un SOC 2 en 1, à la fois centre de détection et réaction et les partisans d’un SOC avec comme unique fonction la détection d’attaque.

Pour le 2 en 1

  • grande réactivité dans la maitrise des attaques (traitement de bout en bout),
  • Un cout plus faible.

Contre

  • Des experts couteau « suisse »,
  • possibilité d’erreur de qualification et de mise en place de l’élément correctif.

Pour la seule fonction de détection

  • « assurance » qualité de la fonction détection,
  • Des experts plus « qualifié ».

Contre

  • Prix plus élevé,
  • intégration avec les équipes du run opérationnel plus délicat à mettre en place,
  • Une réactivité « moindre ».

Comme d’habitude il n’y a pas de solution miracle.

Peut être une piste :

  • Scope restreint (exemple : des plates formes d’hébergement) = SOC 2 en 1,
  • Scope plus large (exemple : réseau d’opérateur) SOC orienté détection.

Le débat est ouvert J

Nicolas Jacquey
Stéphane Sciacco

_