Deux écoles « s’affrontent » les tenants d’un SOC 2 en 1, à la fois centre de détection et réaction et les partisans d’un SOC avec comme unique fonction la détection d’attaque.
Pour le 2 en 1
- grande réactivité dans la maitrise des attaques (traitement de bout en bout),
- Un cout plus faible.
Contre
- Des experts couteau « suisse »,
- possibilité d’erreur de qualification et de mise en place de l’élément correctif.
Pour la seule fonction de détection
- « assurance » qualité de la fonction détection,
- Des experts plus « qualifié ».
Contre
- Prix plus élevé,
- intégration avec les équipes du run opérationnel plus délicat à mettre en place,
- Une réactivité « moindre ».
Comme d’habitude il n’y a pas de solution miracle.
Peut être une piste :
- Scope restreint (exemple : des plates formes d’hébergement) = SOC 2 en 1,
- Scope plus large (exemple : réseau d’opérateur) SOC orienté détection.
Le débat est ouvert J
_