Expert Cybersécurité Architecture SOC

Contexte

La prestation s’inscrit dans le cadre de la sécurité informatique d’un client. D’un point de vue fonctionnel, elle concerne l’ensemble de l’écosystème du SOC.

Le client initie une démarche globale de structuration, de déploiement et d'exploitation de sa capacité de supervision de sécurité. Elle couvre l'ensemble du cycle de vie de la visibilité data au sein du SOC : de la définition des besoins jusqu'à l'exploitation opérationnelle en passant par l'implémentation technique.

Cette prestation répond à plusieurs enjeux stratégiques et opérationnels :

• Renforcer la couverture de détection du SOC en garantissant que toutes les sources de logs sont correctement identifiées, collectées, normalisées
• Structurer et formaliser les besoins en matière de log management à travers la production de spécifications fonctionnelles rigoureuses et d'un dossier RFP permettant de mettre en compétition des fournisseurs de solutions adaptées
• Déployer une chaîne de collecte robuste et conforme aux exigences techniques, réglementaires et opérationnelles du SOC, en tenant compte des contraintes spécifiques des environnements industriels (disponibilité, segmentation réseau, protocoles propriétaires)
• Assurer la pérennité et l'évolutivité de la visibilité data à travers un accompagnement en phase run, permettant d'intégrer de manière continue et industrialisée de nouvelles sources et technologies dans la chaîne de collecte

Dans ce cadre, une expertise en cybersécurité avec une expertise dans l'opération de SOCs et son architecture est recherchée afin d’accompagner le SOC sur ce projet.

L’objet de la prestation consiste à définir une architecture cible de chaîne de collecte répondant aux besoins du SOC, en s’appuyant sur l’audit existant, les cas d’usage de détection, les contraintes d’exploitation et les standards d’architecture de l’entreprise. Le client attend une proposition solution de bout en bout couvrant notamment les mécanismes de collecte, de transport, de sécurisation, de filtrage, de parsing, de normalisation, de routage et de mise à disposition des logs vers les plateformes consommatrices.

Missions

La prestation s’articule autour de deux axes stratégiques complémentaires :

1. Définition d’architecture

• Revue critique de l’architecture cible : évaluation de la pertinence de l’architecture définie en interne au regard de l’environnement de l’entreprise, de ses flux de données, de ses contraintes réseau, de ses exigences de sécurité et de ses capacités opérationnelles. Cette analyse intégrera le changement de paradigme lié à la gestion de la télémétrie.
• Rédaction des spécifications techniques et fonctionnelles : formalisation des exigences de l’architecture cible dans un dossier de spécifications structuré.
• Élaboration du plan projet d’implémentation : définition des étapes, des jalons et des conditions de mise en œuvre.

2. Technologies & Outils

• Identification des solutions technologiques : recensement des principales technologies répondant aux besoins identifiés.
• Analyse comparative multicritères couvrant les dimensions suivantes : évaluation technique, modèles financiers et impacts organisationnels.

Livrables

Les livrables attendus du prestataire sont :

• Dossier d’architecture cible décrivant les composants, flux, rôles, interfaces et principes de fonctionnement de la chaîne de collecte
• Recommandations de mise en œuvre portant sur le filtrage, la normalisation, la qualité de données, la résilience, la supervision et la maintenabilité
• Document d’architecture cible détaillé incluant schémas de flux, composants et zones de confiance
• Dossier technique de comparaison des solutions (critères, grille de scoring, scénarios de tests)
• Feuille de route de déploiement précisant les lots, jalons, dépendances, risques, points de vigilance et conditions de réussite

Réunions spécifiques en mode Agile

Dans le cadre de prestations réalisées en mode Agile, le prestataire participera à des réunions périodiques avec l’ensemble des participants travaillant sur le même périmètre technique (tel que défini dans le cahier des charges). Ces réunions lui permettront de définir les modalités d’exécution de ses prestations et de les adapter de la manière la plus optimale en prenant en compte l’état d’avancement du projet.

Le prestataire désignera dans son offre le nom du responsable technique dédié à la réalisation de la prestation (se reporter au point 5.4).

Savoir-faire / domaines d’expertise du prestataire

Savoir-faire du prestataire / périmètre distinct
Le savoir-faire propre du prestataire, sur son périmètre distinct, devra couvrir les éléments suivants :

• Capacité à exploiter un audit existant et à en traduire les conclusions en architecture opérationnelle.
• Expertise de conception de chaînes de collecte adaptées à des environnements hétérogènes, distribués ou hybrides.
• Capacité à produire des livrables d’architecture structurés, exploitables et alignés avec les standards de l’entreprise.
• Maîtrise dans l’animation des ateliers de travail et formalisation des arbitrages.
• Capacité à proposer une trajectoire d’évolution réaliste, tenant compte des contraintes de délais, de dépendances et de capacité de mise en œuvre.

Savoir-faire nécessaire à la réalisation de la prestation / domaines d’expertise
Le savoir-faire nécessaire à la réalisation de la prestation devra inclure les domaines d’expertise suivants :

• Architecture SOC, SIEM et chaîne de collecte de logs.
• Protocoles et mécanismes de collecte, transport et sécurisation des journaux.
• Parsing, enrichissement, normalisation, filtrage, routage et optimisation des flux.
• Intégration avec les environnements systèmes, réseaux, sécurité et cloud.
• Prise en compte des enjeux de volumétrie, performance, disponibilité, résilience et supervision.
• Connaissance des contraintes liées à la qualité de la donnée, à l’exploitabilité SOC et à la maintenabilité des pipelines de collecte.
• Capacité à formaliser des choix d’architecture compatibles avec les exigences de sécurité, de conformité et d’exploitation de l’entreprise.
• Maîtrise des méthodes de conception, de documentation technique et de restitution à des publics techniques et décisionnaires.

1. Expertise en cybersécurité avec une spécialisation dans l'opération de SOCs et leur architecture
2. Capacité à exploiter un audit existant et à en traduire les conclusions en architecture opérationnelle
3. Expertise en conception de chaînes de collecte adaptées à des environnements hétérogènes, distribués ou hybrides
4. Capacité à produire des livrables d’architecture structurés, exploitables et alignés avec les standards de l’entreprise
5. Maîtrise de l’animation des ateliers de travail et formalisation des arbitrages
6. Capacité à proposer une trajectoire d’évolution réaliste, tenant compte des contraintes de délais, de dépendances et de capacité de mise en œuvre
7. Expertise en architecture SOC, SIEM et chaîne de collecte de logs
8. Connaissance des protocoles et mécanismes de collecte, transport et sécurisation des journaux
9. Compétences en parsing, enrichissement, normalisation, filtrage, routage et optimisation des flux
10. Intégration avec les environnements systèmes, réseaux, sécurité et cloud
11. Prise en compte des enjeux de volumétrie, performance, disponibilité, résilience et supervision
12. Connaissance des contraintes liées à la qualité de la donnée, à l’exploitabilité SOC et à la maintenabilité des pipelines de collecte
13. Capacité à formaliser des choix d’architecture compatibles avec les exigences de sécurité, conformité et exploitation de l’entreprise
14. Maîtrise des méthodes de conception, documentation technique et de restitution à des publics techniques et décisionnaires