Je ne suis qu’un modeste juriste à qui l’on reconnait gentiment des compétences en matière de sécurité informatique, donc que les lecteurs avertis me pardonnent quelques raccourcis …

SOC ou pas SOC est une bonne question… et même une question assez « tendance ».
S’agit-il d’une offre purement marketing ou d’une offre à laquelle il faut prêter attention ?

La première question est

« Qu’est-ce qu’un SOC » ?

Un SOC (acronyme de Security Operations system) est un « service ».

Ce service peut être interne ou externe. Il peut porter sur tout ou partie du SI notamment sur des parties critiques.

Ce service est dédié à la sécurité et son objectif est triple D.R.A.: Détection – Remédiation – Analyse.

Certains diraient que l’analyse a lieu après la détection et avant la remédiation mais en réalité la plus-value du SOC est la remédiation immédiate (prise de risque minimum) et l’analyse – post problème – pour procéder le cas échéant à des ajustements (on appelle aussi REX).

Le SOC est aussi une « combinaison » : la rencontre entre la technique et l’humain. Entre des outils dont le fameux SIEM (Security event information management) mais aussi des experts qui savent décrypter les alertes et prendre les bonnes décisions la plupart du temps urgentes et pour lesquelles ils ne peuvent pas attendre le « GO » du client.

Quant à opter pour un SOC externe ou interne c’est assez simple elle dépend de la capacité de l’entreprise (ou acteur public) à disposer en interne des compétences nécessaires et surtout à assurer du h24 7/7 et de pouvoir dimensionner les équipes en fonction des menaces.

C’est la raison pour laquelle bon nombre d’entreprises optent pour une externalisation totale ou partielle de leur SOC.

Mais pour le juriste que je suis la bonne question est :

Faut-il mettre en œuvre un SOC ?

Il existe en pratique deux cas : le cas où le SOC est obligatoire et les cas, beaucoup plus nombreux, ou le SOC ne l’est pas.

Quand le SOC sera-t-il obligatoire ?

Quand un régulateur, une autorité de contrôle, une autorité dédiée à la sécurité imposent à tel ou tel acteur la mise en place d’un SOC. On peut penser notamment aux OIV (opérateur d’importance vitale) ou aux prestataires de service de confiance particulièrement les PSCOq.

Mais l’immense majorité les entreprises et les acteurs publics n’ont pas d’obligations ni légale, ni normative, ni même contractuelle de mettre en œuvre un SOC.

De fait dans ce cas la question de la mise en œuvre d’un SOC se pose.

Deux raisons imposent la réflexion : les obligations liées au RGPD d’une part et celles fixées par la jurisprudence dominante dans le domaine de la fraude informatique.

Dans les textes juridiques

Le RGPD qui touche quasiment tous les acteurs publics ou privés impose la mise en œuvre de mesures techniques et organisationnelles « appropriées » pour protéger (article 24) ou sécuriser (article 32) les données personnelles.

L’article 32 évoque même clairement la mise en œuvre de « moyens permettant de garantir la disponibilité et la résilience » mais aussi des moyens permettant de rétablir la disponibilité ».

A n’en pas douter la mise en œuvre d’un SOC permettra de démontrer que l’entreprise respecte ces engagements.

Ce point est d’importance puisque l’article 83 du RGPD qui fixe les règles que la Cnil doit prendre en compte pour sanctionner une entreprise tient compte notamment de la « durée de la violation » et de la mise en œuvre de mesures appropriées pour atténuer le dommage.

Dans la jurisprudence

Enfin on rappellera une position assez classique des tribunaux qui considère qu’une entreprise, pour bénéficier pleinement de la protection des dispositions relatives à la fraude informatique doit mettre en œuvre les mesures – là aussi « appropriées » – pour démontrer à la fois l’élément matériel et