Organisation et évolution du SOC SNS Security

Chez SNS Security, nous avons à cœur de proposer à nos clients un service de surveillance et de protection avancé. Aujourd’hui, notre BU SOC fédère plus de 40 analystes certifiés, mobilisés 24/7 pour nos clients.

Pour vous permettre de découvrir les coulisses de cette organisation, nous avons décidé de donner la parole à Christian Milan, Directeur SOC.

Il s’est prêté à l’exercice et a choisi de détailler l’organisation actuelle de son équipe, les événements marquants de ce début d’année liés aux menaces, ainsi que les évolutions à venir au sein de la BU SOC.

Comment s’organise l’équipe SNS Security pour répondre aux enjeux cyber de nos clients ?

Notre SOC est composé de plus de 40 analystes organisés en 3 couches en fonction du niveau d’alerte. Cela nous permet de maximiser l’efficacité de nos réponses et de réduire le phénomène d’alert fatigue (ou désensibilisation aux alertes de sécurité).

De plus, nous avons investi dans un écosystème d’outils : un SOAR pour automatiser les scénarios de réponse, des solutions de Threat Intelligence, ainsi que des outils d’analyse réseau et de forensic.

L’industrialisation, la contextualisation et l’automatisation forment le socle de notre approche.

Comment est-ce que tu analyserais la cybermenace au regard des alertes traitées depuis le début d’année par nos équipes ?

Depuis le début de l’année, nous constatons une hausse continue des alertes, avec une accentuation sur les attaques par compromission de comptes (phishing, credential stuffing, MFA fatigue). Les menaces deviennent plus ciblées, mais elles tendent également à persister dans le temps.

Le vecteur dominant reste l’email, mais les attaques sur les applications exposées (VPN, RDP, SaaS) et les services cloud mal configurés sont en forte augmentation. Parallèlement, nous assistons à un retour des campagnes de malware classiques, comme LokiBot ou RedLine, qui ciblent la collecte d’informations d’authentification.

Ces évolutions traduisent une professionnalisation accrue des attaquants, souvent affiliés à des groupes de ransomware ou à des campagnes de double extorsion. La généralisation du télétravail et du cloud élargit la surface d’attaque et complexifie encore davantage le monitoring. Ces tendances renforcent la nécessité d’adapter en permanence nos outils et nos processus.

Comment a évolué l’outillage du SOC pour faire face aux dernières menaces ?

Nous avons fait évoluer notre outillage dans trois directions majeures :

1. D’abord, l’automatisation avec l’intégration de notre SOAR, qui nous permet de traiter certaines alertes à faible criticité ou à haut volume grâce à des playbooks.
2. Ensuite, le renforcement de la visibilité via des outils EDR/XDR et l’exploitation des logs cloud (Azure, AWS, Google) pour une couverture plus complète du périmètre de nos clients.
3. L’intelligence contextuelle : nous enrichissons les alertes avec des sources CTI en temps réel pour hiérarchiser les menaces et mieux prioriser les investigations.

Nous travaillons également à intégrer des modèles d’IA et de machine learning pour détecter des comportements anormaux, tout en maintenant une validation humaine indispensable. Nos nouveaux tableaux de bord facilitent par ailleurs le pilotage des risques et la communication avec les clients.

Quelle est ta vision sur l’évolution du SOC dans les années à venir ?

Le SOC de demain ne sera plus un simple centre de supervision, mais un véritable hub de cyber résilience, capable d’anticiper et de contrer les menaces de manière proactive.

Il intégrera des capacités renforcées de threat hunting, de simulation d’attaques (BAS) et de red teaming défensif. Nous allons vers des modèles hybrides, capables de superviser des environnements multi-cloud, des systèmes OT/IoT, tout en s’appuyant sur la détection comportementale et contextuelle.

L’automatisation et l’IA continueront à monter en puissance, mais toujours au service de l’humain.

Enfin, le SOC devra de plus en plus démontrer sa valeur métier : parler en risques business, produire des indicateurs de performance clairs, et s’intégrer dans les processus de gouvernance IT et cybersécurité.

L’enjeu sera aussi de gérer la pénurie de talents en misant sur la formation continue, la montée en compétence interne et l’industrialisation.

Vous avez un besoin de surveiller vos actifs informatiques ?

Contactez-nous pour échanger sur votre projet et découvrir comment nos offres d’accompagnement SOC peuvent vous aider à sécuriser vos postes de travail, votre réseau, messagerie… Le tout 24h sur 24, 7j sur 7.