Y a-t-il un SOC pour sau­ver l’en­tre­prise ?

En quelques an­nées, le SOC ou centre opé­ra­tion­nel de sé­cu­ri­té est de­ve­nu le man­tra des grandes en­tre­prises pour se for­ger une ca­ra­pace sé­cu­ri­taire. La ma­tu­ri­té des ac­teurs dé­bouche dé­sor­mais sur des offres de type SOC as a Ser­vice pour les ETI et PME.

IT for Business - - SOMMAIRE - JACQUES CHEMINAT

Tour de contrôle pour cer­tains ou élé­ment de la stra­té­gie de la sé­cu­ri­té pour d’autres, le SOC (Security Ope­ra­tion Cen­ter) a évo­lué ces der­nières an­nées, sous l’ac­tion de plu­sieurs tec­to­niques : L’IA, le big da­ta, le cloud, les ré­gle­men­ta­tions, les pro­blèmes de re­cru­te­ment…

Sur le plan tech­no­lo­gique, la mise en place d’un SOC était inexo­ra­ble­ment sy­no­nyme de l’in­té­gra­tion d’un SIEM (Security In­for­ma­tion and Event Ma­na­ge­ment). Est-ce en- core le cas ? « Le SIEM reste l’élé­ment cen­tral du SOC per­met­tant de re­gar­der et de cor­ré­ler » , constate Hu­go Ma­deux, di­rec­teur de l’ac­ti­vi­té Sé­cu­ri­té D’IBM France, tout en mo­dé­rant ses propos : « il s’agit d’une source d’in­for­ma­tion, mais ce n’est pas la seule » . Idem pour Ch­ris­tophe Au­ber­ger, di­rec­teur tech­nique de For­ti­net France : « il est un peu ré­duc­teur de dire SOC = SIEM. Il y a par­fois dif­fé­rents SIEM à prendre en consi­dé­ra­tion avec le dé­ve­lop­pe­ment de nou­veaux ter­ri­toires comme l’iot ou le cloud » .

Si le SIEM garde son rôle in­con­tour­nable, se­lon Ar­naud Cas­sagne, consul­tant en cy­ber­sé­cu­ri­té, « de ges­tion des vul­né­ra­bi­li­tés et de connais­sances dans la lo­ca­li­sa­tion des risques » , il ne peut plus agir seul en in­té­grant les flux ré­seau, les sand­box, les bas­tions d’ad­mi­nis­tra­tion, la ges­tion des ac­cès et des iden­ti­tés, etc. La ques­tion de la sur­vie du SIEM, sub­mer­gé par cet af­flux d’in­for­ma­tions, se pose. Fa­rah Ri­gal, di­rec­trice du pro­gramme SOC d’atos, plante le dé­cor d’un dé­bat qui est en train de naître : « pour les en­tre­prises se lan­çant au­jourd’hui dans le SOC, le SIEM n’est plus une case obli­ga­toire. Les clients s’orientent vers une col­lecte de don­nées ver­sées dans un da­ta­lake, qui s’ap­puie sur une ar­chi­tec­ture ma­té­rielle de type big da­ta, avec de l’ana­ly­tique pour faire les diag­nos­tics » . IBM reste plus pru­dent, mais pousse « l’idée d’in­tro­duire du cog­ni­tif via Wat­son pour trai­ter l’im­por­tant vo­lume d’in­for­ma­tions » . Une chose est sûre pour Fa­rah Ri­gal : « Ma­thé­ma­ti­que­ment, il n’y au­ra pas as­sez d’hu­mains pour trai­ter les évé­ne­ments en 2020 » .

Des SOC do­pés à la Th­reat In­tel­li­gence et à L’UBA

Il faut donc se tour­ner vers d’autres sources et ou­tils pour ren­for­cer et amé­lio­rer le SOC. Cer­tains termes re­viennent comme des an­tiennes : Th­reat In­tel­li­gence, UBA et au­to­ma­ti­sa­tion. Le pre­mier dé­signe la connais­sance des me­naces et des scé­na­rios d’at­taque ac­tuels et po­ten­tiels (me­naces ex­ternes et fuites de don­nées) par la sur­veillance de sources ou­vertes, de com­mu­nau­tés et du Dark Web. Pour Hu­go Ma­deux D’IBM, « la Th­reat In­tel­li­gence est de plus en plus om­ni­pré­sente pour ob­te­nir une dé­tec­tion plus avan­cée des me­naces » . Il constate par ailleurs l’ap­pa­ri­tion d’agré­ga­teurs de Th­reat In­tel­li­gence. L’UBA ou UBEA (User Be­ha­vior Ana­ly­tics) vise à ap­pré­hen­der les me­naces à tra­vers le com­por­te­ment des uti­li­sa­teurs. À par­tir de pro­fils, la so­lu­tion est ca­pable de dé­tec­ter les écarts (tra­vail en de­hors des heures de bu­reau, avec une vo­lu­mé­trie in­ha­bi­tuelle…) ou les ac­tions anor­males (élé­va­tions de pri­vi­lèges, ac­cès à des bases de don­nées, co­pie sur un sto­ckage cloud…) et d’aler­ter les res­pon­sables.

Fa­bien Mal­branque, fonc­tion­naire des sys­tèmes d’in­for­ma­tion ad­joint du Mi­nis­tère du tra­vail, qui a ac­com­pa­gné la créa­tion de plu­sieurs SOC pour des grandes en­tre­prises, reste mo­dé­ré : « sur la Th­reat In­tel­li­gence et l’ana­lyse com­por­te­men­tale, il faut une ma­tu­ri­té sur le tri des évé­ne­ments. Soit le sys­tème est aveugle, soit il a trop d’in­for­ma­tions » . Il cite le cas des WAF (Web Ap­pli­ca­tion Fi­re­wall) « ca­pables de

« Pour les en­tre­prises se lan­çant au­jourd’hui dans le SOC, le SIEM n’est plus une case obli­ga­toire » Fa­rah Ri­gal, di­rec­trice du pro­gramme SOC d’atos

faire de l’ana­lyse com­por­te­men­tale sur des mi­cro-sé­quences, mais aus­si de ne pas se rendre compte qu’ils ont af­faire à des ro­bots » . Cette ma­tu­ri­té est es­sen­tielle, sou­ligne Ar­naud Cas­sagne : « les SOC tra­di­tion­nels sont un peu es­souf­flés. D’autres sont plus ef­fi­caces, mais trop dis­rup­tifs car fai­sant ap­pel à l’au­to­ma­ti­sa­tion, à la Th­reat In­tel­li­gence et à L’UBA. Il y a un im­pé­ra­tif : for­mer en conti­nu les équipes SOC aux nou­veaux ou­tils » . Ten­dance à l’ex­ter­na­li­sa­tion et à l’orien­ta­tion mé­tier Ce pro­blème de com­pé­tences et de connais­sances amène les en­tre­prises à s’in­ter­ro­ger sur le choix du contrôle du SOC ou de sa dé­lé­ga­tion à un tiers. « Le mar­ché du SOC en France est mar­qué par une grande cul­ture de la co­ges­tion. Le mo­dèle MSSP (Ma­na­ged Security Ser­vice Pro­vi­der) a beau­coup évo­lué, avec une forte de­mande de ser­vices ma­na­gés, por­tés par les dif­fé­rentes ré­gle­men­ta­tions et la mise en place de ré­fé­ren­tiels » , constate Fa­rah Ri­gal. La ma­tu­ri­té de l’en­tre­prise est tou­jours un mar­queur pour dé­ci­der d’in­ter­na­li­ser ou d’ex­ter­na­li­ser un SOC, se­lon Fa­bien Mal­branque. Reste que les en­tre­prises sont plus en­clines à ex­ter­na­li­ser la dé­tec­tion d’in­ci­dents, mais « la re­mé­dia­tion est plus com­plexe à sous-trai­ter » , avoue Ar­naud Cas­sagne. À no­ter l’ap­pa­ri­tion d’offres de SOC as a Ser­vice pro­po­sées par les pres­ta­taires de cy­ber­sé­cu­ri­té, mais aus­si par les en­tre­prises elles-mêmes.

Que ce soit en in­terne ou en ex­terne, les ac­teurs du SOC orientent leurs ef­forts vers les mé­tiers. « Il faut tou­jours tra­vailler en étant proche des mé­tiers. Le lien avec les mé­tiers est obli­ga­toire » , conseille JeanCh­ris­tophe Praud, RSSI du groupe Be-ys et Be-kor­ta­lys. Les ou­tils eux-mêmes doivent s’adap­ter. « Le SIEM, par exemple, voit des in­ci­dents IT, mais pas l’im­pact mé­tier » , pré­cise Fré­dé­ric Julhes, di­rec­teur Cy­ber­se­cu­ri­ty France chez Airbus De­fence and Space. Et de ci­ter le cas d’un SOC lo­cal sur une pla­te­forme pé­tro­lière où le tra­vail sur les in­ci­dents de sé­cu­ri­té est in­ti­me­ment lié aux mé­tiers.

Se­lon Fré­dé­ric Zink, di­rec­teur so­lu­tions de confiance et contrôle sur­veillance et ré­ac­tion pour Orange Cy­ber­de­fense, « il y a beau­coup de ver­ti­ca­li­sa­tion avec une pro­blé­ma­tique de proxi­mi­té des mé­tiers » . Il faut dire que la sur­face d’at­taque s’est élar­gie avec le cloud, l’in­ter­net des ob­jets et même les sys­tèmes in­dus­triels. Sur ce der­nier point, le ca­bi­net PAC a réa­li­sé une étude pour Kaspersky mon­trant que 77% des en­tre­prises pensent qu’elles se­ront la cible d’un in­ci­dent de sé­cu­ri­té tou­chant un sys­tème in­dus­triel. Non­obs­tant, ils sont 48% à ne pas dis­po­ser de pro­gramme de ré­ponse à un in­ci­dent lié aux sys­tèmes in­dus­triels…

Au fi­nal, les SOC changent avec l’évo­lu­tion de la me­nace. Fi­ni le temps de la ges­tion sta­tique des règles de sé­cu­ri­té. Wan­na­cry, Not­pe­tya sont pas­sés par là. La dé­tec­tion doit être ra­pide, à l’écoute des si­gnaux faibles. Néan­moins, « on ne peut pas se pré­sen­ter comme un po­ly-ma­gi­cien », re­con­naît Fa­bien Mal­branque. Fi­ni aus­si le temps où il fal­lait convaincre la di­rec­tion de l’uti­li­té d’un SOC, même si « le man­dat du Co­mex est né­ces­saire pour évi­ter le pas vous/pas nous ou le pas vu/pas pris » , avoue le res­pon­sable.

« Le SIEM voit des in­ci­dents IT, mais pas l’im­pact mé­tier » Fré­dé­ric Julhes di­rec­teur Cy­ber­se­cu­ri­ty France chez Airbus De­fence and Space

Airbus Cy­ber­se­cu­ri­ty pro­pose un ser­vice de SOC

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.