Université Aube Nouvelle

PROTOCOLE DE RECHERCHE
THEME : REALISATION D’UN CENTRE DE SUPERVISION
DE LA SECURITE DU SYSTEME D’INFORMATION DANS
LES SECTEURS BANQUE ET ASSURANCE
(Cas de SUNU Assurances Burkina Faso)

Le Security Operation Center – SOC

Présenté par DENE Palmedé Ibrahim

Contact : 56 15 12 92 / 60 14 64 45
E-mail : dene2500@gmail.com

Maitre de Stage
M. Allahissem Mrangaye
DSI de SUNU Assurances IARD Siège
Contact : 77 71 41 55

Année académique : 2021-2022

Table des matières

I. Introduction ......................................................................................................................... 2
II. Problématique ..................................................................................................................... 2
III. Objectifs .......................................................................................................................... 3
IV. Hypothèses ...................................................................................................................... 4
V. Méthodologie ...................................................................................................................... 4
VI. Pertinence et retombées anticipées .................................................................................. 5
VII. Echéancier ....................................................................................................................... 5
VIII. Références et annexes ..................................................................................................... 6

1
 I. Introduction
Les systèmes d’informations informatisés sont désormais au cœur de l’activité des entreprises
et le moindre dysfonctionnement entraîne des risques cruciaux comme mécontentement des
clients, réputation négative, pertes de revenus, voire mise en péril de l’entreprise.
Les entreprises dépendent de plus en plus de l’informatique pour réaliser leurs objectifs. Elles
sont donc plus sensibles à la qualité des services informatiques fournis aux différentes
catégories d’utilisateurs et sont à la recherche de moyens et de ressources pour améliorer ces
services. Ainsi, les banques et les sociétés d’assurances collectent et traitent beaucoup
d’informations sensibles de leurs clients donc elles doivent les supporter et maintenir pendant
une durée selon l’accord du contrat. Sur les deux premiers points, des opportunités
technologiques peuvent être mises à profit. Il s’agit de l’arrivée à maturité des outils d’analyse
comportementale, de l’augmentation des capacités de traitement et de l’intégration des
briques technologiques « big-data ». Toutefois, s’il est certain que l’outillage est
indispensable, le domaine de la supervision de sécurité des S.I., pour être efficace, doit être
exigeant sur l’identification de la cible de sécurité, mais avant tout sur l’étendue des
compétences des équipes qui servent le dispositif de supervision du S.I. Il est recommandé, et
c’est généralement le cas, que la supervision SSI soit assurée par une entité spécialisée :
Le Centre Opérationnel de Sécurité COS (COS en anglais devient le SOC pour Security
Operation Center).

II. Problématique

Les cybermenaces entrent de façon pérenne dans la réalité quotidienne des entreprises.
Les cyberattaques sont et seront de plus en plus fréquentes, multiples (c’est-à-dire mettant
combinaison de plusieurs cyberattaques), discrètes et évoluées. Elles s’inscrivent dans la
durée. Elles ne ciblent plus seulement les systèmes technologiques mais aussi directement les
personnes (salariés, prestataires, partenaires, fournisseurs, clients), en leur dérobant des
informations primordiales qui accroissent ensuite considérablement leur capacité de nuisance.
L’écosystème complet de l’Entreprise s’en trouve directement menacé.
Les connaissances et compétences mises en œuvre dans le cade de ces attaques démontrent
que les acteurs malveillants n’hésitent plus à investir dans des moyens techniques et humains
importants pour atteindre leur objectifs.
L’actualité démontre que l’activité des entreprises attaquées est fortement perturbée, voire
interrompue de façon durable. Les impacts financiers, organisationnels, juridiques et d’image

2
peuvent être très importants, voire fatidiques lorsqu’ils font vaciller la confiance entre
l’entreprise et ses clients, ses partenaires ou ses salariés dans le cas de vol ou divulgation de
données personnelles, stratégiques ou critiques. Les dispositifs existants de gestion de crise et
de continuité d’activité doivent être renforcés pour répondre aux risques associés.
Ces observations s’inscrivent dans une ère de transformation numérique de l’Entreprise sous-
tendue par l’apparition de nouvelles technologies comme la mobilité, le Cloud et l’ouverture
des données de l’Entreprise à ses clients et partenaires via ses propres systèmes et/ou les
réseaux sociaux. La multiplication et la diversification des systèmes techniques mis en œuvre
induit une augmentation sans précédent du nombre de vulnérabilités. La surface d’attaque de
l’Entreprise tend ainsi à croitre de façon très importante.
La cybercriminalité est désormais agile, industrialisée, structurée et professionnelle. Elle
exploite toutes les vulnérabilités et failles techniques, organisationnelles et humaines. Quel
que soit le secteur d’activité, plus aucune Entreprise n’est épargnée.
Au-delà de la collecte pertinente des évènements de sécurité dans les journaux (i.e. les
logs) et de la corrélation de ceux-ci, les attentes et les exigences grandissent ; de nombreuses
questions émergent:
 Qu’est-ce qu’un SOC, quelles sont ses missions ?
 Comment s’intègre-t-il dans la stratégie de défense de l’Entreprise ?
 Comment s’organisent les interactions entre les missions d’un CSIRT et celles d’un
SOC ?
 Quelles sont les fonctions d’un SOC ?
 Existe-t-il diverses générations de SOC ?
 Quels sont les modèles organisationnels applicables ?
 Quels sont les modèles économiques et technologiques (MSSP, SOC dédié, mutualisé,
hybride) ?
 Quelles sont les spécificités d’une mise en œuvre en milieu banque-assurance ?
 Quid de la gestion de crise cyber ?

III. Objectifs
Dans le cadre d’amélioration de sa qualité de service, SUNU Assurances souhaite
mettre en place un centre de supervision de la sécurité du système d’information moderne
basé sur le security operation center (SOC). Actuellement, les moyens utilisés par SUNU

3
Assurances pour la résolution des incidents ne sont pas efficace et présentent beaucoup des
failles.
En plus de cela, le nouveau système va permettre de :
1. Mieux traiter la masse et la diversité des informations;
2. Une meilleur gestion de l’identification des d’évènements précurseurs d’alertes de
sécurité ;
3. l’appropriation du sujet et la réunion des compétences requises pour un projet
d’envergure

IV. Hypothèses

Sur les deux premiers points, des opportunités technologiques peuvent être mises à
profit. Il s’agit de l’arrivée à maturité des outils d’analyse comportementale, de
l’augmentation des capacités de traitement et de l’intégration des briques technologiques «
big-data ».
Toutefois, s’il est certain que l’outillage est indispensable, le domaine de la supervision de
sécurité des S.I., pour être efficace, doit être exigeant sur l’identification de la cible de
sécurité, mais avant tout sur l’étendue des compétences des équipes qui servent le dispositif
de supervision du S.I. Il est recommandé, et c’est généralement le cas, que la supervision SSI
soit assurée par une entité spécialisée.

V. Méthodologie
Tout travail bien défini d’un système d’information nécessite une méthode de travail claire.
Cette méthode s’articulera autour des points suivants :
 L’analyse de l’existant qui consiste à critiquer le système actuel pour ressortir ses
limites ;
 La conception du nouveau système qui s’appuiera non seulement sur l’analyse de
l’existant mais aussi sur les futures orientations du besoin de SUNU Assurances. Pour
ce faire, nous allons interviewer les différents acteurs au sein de la société mais aussi
les processus métiers. Cette conception sera réalisée en utilisant les différentes entités
du SOC et devra suivre la démarche qualité générique de la roue de Deming.
 Quant à la réalisation, la mise en place d'un SOC est un projet d'envergure (donc
généralement visible et suivi par les instances de direction) sur lequel viennent donc
s’ajouter des contraintes de planning relativement fortes. Le SOC doit être mis en
place, rendu opérationnel et efficace dès que possible pour pouvoir justifier les

4
 investissements (CAPEX/OPEX) et les changements d'organisation. Ces contraintes
de planning rendent difficile l'adoption d'une méthodologie réfléchie et partagée en
termes de conception, de choix des outils, de recrutement des compétences ad-hoc
pour construire et exécuter les services de SOC. La construction se concentre dans un
premier temps sur la collecte et le traitement des événements existant. Il s’agit du
socle primaire. Sa construction est séquentielle, dans ces cas-là, il convient également
de déterminer, la localisation du stockage des événements, l’entité qui porte les
consoles de gestion des alarmes, et, plus globalement, de distribuer les rôles et les
responsabilités
De prime à bord, le projet sera géré en s’appuyant sur les normes de la méthodologie agile.

VI. Pertinence et retombées anticipées

L’attente du responsable de SUNU Assurances à travers ce projet c’est d’avoir un
système de gestion d’incident efficace et facile à gérer avec la possibilité de garder tous les
incidents clients gérés et leur méthode de gestion pendant une longue durée.
La mise en oeuvre d’un centre opérationnel de sécurité est elle-même soumise à un
ensemble de règlements et de contraintes notamment liées à la gestion des événements et
informations collectées sur le système d’information de l’Entreprise comme le stockage et
archivage des informations et la collecte et l’utilisation de données à caractère personnel.

VII. Echéancier
Pour une telle mise en place, l’échéancier que nous prévoyons est déroulé ci-dessous :
Tache Durée
Etude préliminaire 5 jours
Spécification des besoins 5 jours
Analyse 15 jours
Conception 15 jours
Réalisation 60 jours
Tests 7 jours
Déploiement 7 jours
Formation des utilisateurs 15 jours

5
VIII. Références et annexes
https://www.mitre.org/publications/all/ten-strategies-of-a-world-class-cybersecurity-
operations-center
https://www.cerfi.ch/fr/Actualites/Mise-en-place-du-Centre-de-Services-facteurs-cles.html
Mémoire : la gestion des problèmes et des incidents avec ITIL écrit par Nathalie Sorel pour
l’obtention du D.E.S.S. en technologie de l’information en 2007. 153 P

MODELE DE SOMMAIRE

SOMMAIRE
DEDICACE............................................................................................................................................................ II
REMERCIEMENTS .................................................................................................... ........................................ III
SIGLES ET ABREVIATIONS ................................................................................................ ............................ IV
LISTE DES FIGURES .......................................................................................................................................... V
LISTE DES TABLEAUX .......................................................................................................... .......................... VI
RESUME ..................................................................................................................................... ....................... VII
INTRODUCTION GÉNÉRALE .......................................................................................................................... 1
PARTIE I : ETUDE PRELIMINAIRE ................................................................................................................. 3
CHAPITRE 1 : PRESENTATION DES STRUCTURES DE FORMATION ET D’ACCUEIL ......................... 4
CHAPITRE 2 : GESTION DE PROJET .............................................................................................................. 11
PARTIE II : LE CENTRE OPERATIONNEL DE SECURITE COS.......................................................... 17
CHAPITRE 1 : GESTION DES SERVICES INFORMATIQUES ...................................................................... 18
CHAPITRE 2 : GESTION D’INCIDENT AVEC LE SOC................................................................................... 31
PARTIE III. ANALYSE ET IMPLEMENTATION D’UN CENTRE OPERATIONNEL DE
SECURITE................................................................................................................................ ........................... 48
CHAPITRE 1 : ANALYSE DE L’EXISTANT ET CHOIX DU SYSTEME ...................................................... 49
CHAPITRE 2 : DEPLOIEMENT ET TEST DE FONCTIONNEMENT ............................................................. 60
REMARQUES ET SUGGESTIONS .................................................................................................................... 78
CONCLUSION GENERALE ............................................................................................................................... 79
BIBLIOGRAPHIE ............................................................................................................................................. VIII
WEBOGRAPHIE ................................................................................................................................................. IX
TABLES DES MATIERES .................................................................................................................................. X
ANNEXE .......................................................................................................................................................... XIII