SOC So­pra- Ste­ria : une al­chi­mie entre IA et sixième sens…

Une al­chi­mie entre l’lA et le sixième sens…

L'Informaticien - - SOMMAIRE - SYLVAINE LUCKX

Le centre opé­ra­tion­nel, construit en 2010, a sans cesse évo­lué et consti­tue le « nec plus ul­tra » en ma­tière de SOC ( Se­cu­ri­ty Ope­ra­tion Cen­ter). Son chef d’or­chestre, An­to­nin Hi­ly, un homme qui vit à 200 km/ h, a une longue ex­pé­rience de construc­tion des SOC. « 30 % des SOC dans le monde sont des échecs » , dé­clare- t- il d’em­blée. Pour une bonne et simple rai­son : c’est que la plu­part des SOC sont pen­sés et construits se­lon une vieille lo­gique mi­li­taire, qui a fait ses preuves, mais qui est au­jourd’hui to­ta­le­ment dé­pas­sée en face de la vio­lence, de la vi­ru­lence, et du pro­fes­sion­na­lisme des at­taques. En clair, la plu­part des SOC ont été pen­sés se­lon une lo­gique : dé­tec­tion- ré­ac­tion, qui reste un dis­cours do­mi­nant dans la cy­ber, et dans la ré­ponse de la plu­part des ac­teurs du mar­ché. Sauf que An­to­nin Hi­ly, avec le SOC de So­pra- Ste­ria, va plus loin, beau­coup plus loin. Il y a chez cet an­cien cher­cheur en gé­né­tique une pas­sion – le mot n’est pas trop fort –, celle d’al­ler de l’avant, de cher­cher, d’in­no­ver en per­ma­nence. Ex­pert en concep­tion de SOC, pour avoir tra­vaillé chez Orange et éla­bo­ré plu­sieurs SOC de par le monde, il a un jour dé­ci­dé de « dé­chi­rer tous les mé­mos » qu’il avait pu faire sur le su­jet et de tra­vailler au­tre­ment.

La me­nace a chan­gé de na­ture

Il faut tra­vailler au­tre­ment, parce que la me­nace a chan­gé s’est trans­for­mée : elle est de­ve­nue beau­coup plus vaste, beau­coup plus mon­nayable… et cherche, avant tout, le pro­fit. « Ce sont main­te­nant les in­for­ma­tions que les ma­fias de­mandent aux pi­rates de vo­ler » , pré­cise An­to­nin Hi­ly. Les com­man­di­taires ? De tout bord, de toute obé­dience, avec une lé­gère pré­fé­rence pour les pays d’Asie – Co­rée du Nord, sans pou­voir le prou­ver puisque les ac­cès IP sont blo­qués –, voire en lien avec le cy­ber- ter­ro­risme. Idem, res­tons pru­dents…

L’al­liance avec l’IA

Tra­vailler au­tre­ment, c’est tra­vailler sur l’an­ti­ci­pa­tion, la pré­dic­tion, et l’ana­lyse des me­naces. On peut évo­quer en sou­riant le film Mi­no­ri­ty Re­port, car on n’en est pas si loin… Parce que, comme le disent les prin­ci­paux sa­la­riés du SOC, c’est dans l’an­ti­ci­pa­tion – et non la dé­tec­tion – des me­naces que les points de vie se gagnent, ou les pertes de chances, pour re­prendre une ter­mi­no­lo­gie consa­crée en sécurité de la san­té, pour leurs clients. En clair, parce qu’il faut ren­trer dans le vif du su­jet, c’est l’al­liance avec l’In­tel­li­gence ar­ti­fi­cielle ( Watson no­tam­ment), et l’an­nonce d’un par­te­na­riat avec l’édi­teur amé­ri­cain Th­reatQuo­tient pour la Th­reat In­tel­li­gence que ce que

l’on pour­rait bap­ti­ser l’in­tel­li­gence du SOC de So­pra- Ste­ria s’est construite. « Th­reatQuo­tient s’est ba­sé sur des concepts liés au ren­sei­gne­ment mi­li­taire et à l’in­ci­den­to­lo­gie » , ex­plique Cy­rille Ba­deau, son di­rec­teur Eu­rope du Sud. Au­tre­ment dit, on al­lie la science du ren­sei­gne­ment avec la sta­tis­tique des in­ci­dents. Im­pa­rable. Quand on ajoute à ce­la une couche de SIEM ( RSA, IBM QRa­dar), on peut avoir un des SOC les plus per­for­mants au monde. Sauf que… Et la sou­ve­rai­ne­té pour des clients pour qui c’est une exi­gence na­tio­nale ?, no­tam­ment l’avion­neur si­tué à quelques en­câ­blures de là, à Bla­gnac. An­to­nin Hi­ly, fine mouche, ne ba­laie pas la ques­tion mais y ré­pond sans am­bi­guï­té : « Nous avons étu­dié de près les so­lu­tions hexa­go­nales et/ ou eu­ro­péennes, mais au­cun ac­teur fran­çais ou eu­ro­péen du mar­ché ne peut ac­tuel­le­ment consa­crer au­tant de moyens à sa R& D ; en ce qui concerne IBM et QRa­dar, ce sont près de 700 mil­lions de dol­lars ! » Quel ac­teur fran­co- eu­ro­péen peut ali­gner une telle somme en R& D ? La messe est dite… En ce qui concerne l’or­ga­ni­sa­tion du SOC, on tra­vaille non pas « à l’an­cienne » mais sur une or­ga­ni­sa­tion to­ta­le­ment nou­velle, inau­gu­rée par An­to­nin Hi­ly. Bien sûr, le SOC pa­raît pe­tit : une ving­taine de sa­la­riés pour six clients mu­tua­li­sés. En­suite, et c’est le seul centre de cy­ber­sé­cu­ri­té que nous avons vu mettre ce­ci en place, le SOC de So­pra- Ste­ria bé­né­fi­cie d’une cel­lule ex­perte en Cy­ber­lé­gal avec cinq ju­ristes pour, d’une part, sur­veiller les at­taques sur les don­nées confi­den­tielles, sou­mises au RGDP ; et d’autre part, pour ai­der les clients lors de cas d’ac­ci­dent qui pour­rait avoir des ré­per­cus­sions ju­ri­diques ( ges­tion de la preuve, etc.).

Un turn over amoin­dri de 60 %

Et c’est là où le gé­nie d’An­to­nin Hi­ly et de ses équipes in­ter­vient : « On n’est plus dans des postes clas­siques de SOC avec des fiches de poste opé­ra­teur de ni­veau 1 et 2… » Tout le monde est mé­lan­gé sur le même pla­teau – clas­sique dans le cadre d’un SOC –, mais un prof en re­con­ver­sion voi­sine avec un in­gé­nieur et un au­to­di­dacte. Les pro­fils re­cher­chés sont tel­le­ment rares, il faut une telle tour­nure d’es­prit pour pis­ter des me­naces toute la jour­née, que l’on ne peut pas re­cru­ter des gens trop for­ma­tés. « J’ai fait chu­ter le turn- over de 60 % » , se fé­li­cite ain­si An­to­nin Hi­ly. Ce sont, en réa­li­té, au­tant l’ex­pé­rience et le sixième sens qui comptent, que les ou­tils d’ana­lyse et d’IA ul­tra- so­phis­ti­qués. « Ils font ga­gner un temps in­fi­ni, des heures et des mi­nutes ul­tra- pré­cieuses en cas d’at­taque » , pré­cise An­to­nin Hi­ly, « Mais l’alerte, c’est tou­jours l’in­di­vi­du qui la traite, avec son fee­ling » , et son sixième sens ! Quelque part, c’est plu­tôt ras­su­rant. ❍

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.