SOC Sopra- Steria : une alchimie entre IA et sixième sens…
Une alchimie entre l’lA et le sixième sens…
Le centre opérationnel, construit en 2010, a sans cesse évolué et constitue le « nec plus ultra » en matière de SOC ( Security Operation Center). Son chef d’orchestre, Antonin Hily, un homme qui vit à 200 km/ h, a une longue expérience de construction des SOC. « 30 % des SOC dans le monde sont des échecs » , déclare- t- il d’emblée. Pour une bonne et simple raison : c’est que la plupart des SOC sont pensés et construits selon une vieille logique militaire, qui a fait ses preuves, mais qui est aujourd’hui totalement dépassée en face de la violence, de la virulence, et du professionnalisme des attaques. En clair, la plupart des SOC ont été pensés selon une logique : détection- réaction, qui reste un discours dominant dans la cyber, et dans la réponse de la plupart des acteurs du marché. Sauf que Antonin Hily, avec le SOC de Sopra- Steria, va plus loin, beaucoup plus loin. Il y a chez cet ancien chercheur en génétique une passion – le mot n’est pas trop fort –, celle d’aller de l’avant, de chercher, d’innover en permanence. Expert en conception de SOC, pour avoir travaillé chez Orange et élaboré plusieurs SOC de par le monde, il a un jour décidé de « déchirer tous les mémos » qu’il avait pu faire sur le sujet et de travailler autrement.
La menace a changé de nature
Il faut travailler autrement, parce que la menace a changé s’est transformée : elle est devenue beaucoup plus vaste, beaucoup plus monnayable… et cherche, avant tout, le profit. « Ce sont maintenant les informations que les mafias demandent aux pirates de voler » , précise Antonin Hily. Les commanditaires ? De tout bord, de toute obédience, avec une légère préférence pour les pays d’Asie – Corée du Nord, sans pouvoir le prouver puisque les accès IP sont bloqués –, voire en lien avec le cyber- terrorisme. Idem, restons prudents…
L’alliance avec l’IA
Travailler autrement, c’est travailler sur l’anticipation, la prédiction, et l’analyse des menaces. On peut évoquer en souriant le film Minority Report, car on n’en est pas si loin… Parce que, comme le disent les principaux salariés du SOC, c’est dans l’anticipation – et non la détection – des menaces que les points de vie se gagnent, ou les pertes de chances, pour reprendre une terminologie consacrée en sécurité de la santé, pour leurs clients. En clair, parce qu’il faut rentrer dans le vif du sujet, c’est l’alliance avec l’Intelligence artificielle ( Watson notamment), et l’annonce d’un partenariat avec l’éditeur américain ThreatQuotient pour la Threat Intelligence que ce que
l’on pourrait baptiser l’intelligence du SOC de Sopra- Steria s’est construite. « ThreatQuotient s’est basé sur des concepts liés au renseignement militaire et à l’incidentologie » , explique Cyrille Badeau, son directeur Europe du Sud. Autrement dit, on allie la science du renseignement avec la statistique des incidents. Imparable. Quand on ajoute à cela une couche de SIEM ( RSA, IBM QRadar), on peut avoir un des SOC les plus performants au monde. Sauf que… Et la souveraineté pour des clients pour qui c’est une exigence nationale ?, notamment l’avionneur situé à quelques encâblures de là, à Blagnac. Antonin Hily, fine mouche, ne balaie pas la question mais y répond sans ambiguïté : « Nous avons étudié de près les solutions hexagonales et/ ou européennes, mais aucun acteur français ou européen du marché ne peut actuellement consacrer autant de moyens à sa R& D ; en ce qui concerne IBM et QRadar, ce sont près de 700 millions de dollars ! » Quel acteur franco- européen peut aligner une telle somme en R& D ? La messe est dite… En ce qui concerne l’organisation du SOC, on travaille non pas « à l’ancienne » mais sur une organisation totalement nouvelle, inaugurée par Antonin Hily. Bien sûr, le SOC paraît petit : une vingtaine de salariés pour six clients mutualisés. Ensuite, et c’est le seul centre de cybersécurité que nous avons vu mettre ceci en place, le SOC de Sopra- Steria bénéficie d’une cellule experte en Cyberlégal avec cinq juristes pour, d’une part, surveiller les attaques sur les données confidentielles, soumises au RGDP ; et d’autre part, pour aider les clients lors de cas d’accident qui pourrait avoir des répercussions juridiques ( gestion de la preuve, etc.).
Un turn over amoindri de 60 %
Et c’est là où le génie d’Antonin Hily et de ses équipes intervient : « On n’est plus dans des postes classiques de SOC avec des fiches de poste opérateur de niveau 1 et 2… » Tout le monde est mélangé sur le même plateau – classique dans le cadre d’un SOC –, mais un prof en reconversion voisine avec un ingénieur et un autodidacte. Les profils recherchés sont tellement rares, il faut une telle tournure d’esprit pour pister des menaces toute la journée, que l’on ne peut pas recruter des gens trop formatés. « J’ai fait chuter le turn- over de 60 % » , se félicite ainsi Antonin Hily. Ce sont, en réalité, autant l’expérience et le sixième sens qui comptent, que les outils d’analyse et d’IA ultra- sophistiqués. « Ils font gagner un temps infini, des heures et des minutes ultra- précieuses en cas d’attaque » , précise Antonin Hily, « Mais l’alerte, c’est toujours l’individu qui la traite, avec son feeling » , et son sixième sens ! Quelque part, c’est plutôt rassurant. ❍