SOC Architect

Contexte

1.1.  Objet de la prestation

La Prestation s’inscrit dans le cadre de de la sécurité informatique. D’un point de vue fonctionnel, elle concerne l’ensemble de l’écosystème du SOC.

Le Groupe initie une démarche globale de structuration, de déploiement et d'exploitation de sa capacité de supervision de sécurité. Elle couvre l'ensemble du cycle de vie de la visibilité data au sein du SOC : de la définition des besoins jusqu'à l'exploitation opérationnelle en passant par l'implémentation technique.

Cette prestation répond à plusieurs enjeux stratégiques et opérationnels :

• Renforcer la couverture de détection du SOC en garantissant que toutes les sources de logs sont correctement identifiées, collectées, normalisées

• Structurer et formaliser les besoins en matière de log management à travers la production de spécifications fonctionnelles rigoureuses et d'un dossier RFP permettant de mettre en compétition des fournisseurs de solutions adaptées

• Déployer une chaîne de collecte robuste et conforme aux exigences techniques, réglementaires et opérationnelles du SOC, en tenant compte des contraintes spécifiques des environnements industriels (disponibilité, segmentation réseau, protocoles propriétaires)

• Assurer la pérennité et l'évolutivité de la visibilité data à travers un accompagnement en phase run, permettant d'intégrer de manière continue et industrialisée de nouvelles sources et technologies dans la chaîne de collecte

Missions

Dans ce cadre, nous recherchons une expertise en cybersécurité avec une expertise dans l'opération de SOCs et son architecture, afin d’accompagner le SOC sur ce projet.

L’objet de la Prestation consiste en la définition définir une architecture cible de chaîne de collecte répondant aux besoins du SOC, en s’appuyant sur l’audit existant, les cas d’usage de détection, les contraintes d’exploitation et les standards d’architecture de l’entreprise. Le groupe attend une proposition solution de bout en bout couvrant notamment les mécanismes de collecte, de transport, de sécurisation, de filtrage, de parsing, de normalisation, de routage et de mise à disposition des logs vers les plateformes consommatrices.

La prestation s’articule autour de deux axes stratégiques complémentaires :

1. Définition d’architecture

•          Revue critique de l’architecture cible : Évaluation de la pertinence de l’architecture définie en interne au regard de l’environnement de l’entreprise, de ses flux de données, de ses contraintes réseau, de ses exigences de sécurité et de ses capacités opérationnelles. Cette analyse intégrera le changement de paradigme lié à la gestion de la télémétrie.

•          Rédaction des spécifications techniques et fonctionnelles : Formalisation des exigences de l’architecture cible dans un dossier de spécifications structuré.

•          Élaboration du plan projet d’implémentation : Définition des étapes, des jalons et des conditions de mise en oeuvre.

2. Technologies & Outils

•          Identification des solutions technologiques : Recensement des principales technologies répondant aux besoins identifiés.

•          Analyse comparative multicritères couvrant les dimensions suivantes : évaluation technique, modèles financiers et impacts organisationnels.

Environnement technique et fonctionnel

Environnement cybersécurité : SOC, SIEM, log management.
Architecture IT complexe incluant systèmes, réseaux et environnements industriels.
Travail en mode agile avec coordination transverse multi-équipes.

Profil recherché

1.1.  Savoir-faire du prestataire  / périmètre  distinct

Le savoir-faire propre du prestataire, sur son périmètre distinct, devra couvrir les éléments suivants :

•          Capacité à exploiter un audit existant et à en traduire les conclusions en architecture opérationnelle.

•          Expertise de conception de chaînes de collecte adaptées à des environnements hétérogènes, distribués ou hybrides.

•          Capacité à produire des livrables d’architecture structurés, exploitables et alignés avec les standards de l’entreprise.

•          Maitrise dans l’animation des ateliers de travail et formalisation des arbitrages

•          Capacité à proposer une trajectoire d’évolution réaliste, tenant compte des contraintes de délais, de dépendances et de capacité de mise en oeuvre.

1.2.  Savoir-faire nécessaire à la réalisation de la prestation / domaines d’expertise

Le savoir-faire nécessaire à la réalisation de la prestation devra inclure les domaines d’expertise suivants :

•          Architecture SOC, SIEM et chaîne de collecte de logs.

•          Protocoles et mécanismes de collecte, transport et sécurisation des journaux.

•          Parsing, enrichissement, normalisation, filtrage, routage et optimisation des flux.

•          Intégration avec les environnements systèmes, réseaux, sécurité et cloud.

•          Prise en compte des enjeux de volumétrie, performance, disponibilité, résilience et supervision.

•          Connaissance des contraintes liées à la qualité de la donnée, à l’exploitabilité SOC et à la maintenabilité des pipelines de collecte.

•          Capacité à formaliser des choix d’architecture compatibles avec les exigences de sécurité, de conformité et d’exploitation de l’entreprise.

•          Maîtrise des méthodes de conception, de documentation technique et de restitution à des publics techniques et décisionnaires.