Les industriels doivent se doter d’un centre de surveillance cyber

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Gilles LÉVÊQUE

Pour tirer plei­ne­ment pro­fit de la trans­for­ma­tion numé­rique des modèles d’affaires et des pro­ces­sus opé­ra­tion­nels, les entre­prises doivent ouvrir leurs sys­tèmes d’information et les inter­con­nec­ter à leur éco­sys­tème (clients, four­nis­seurs, pres­ta­taires…). Les béné­fices induits par la numé­ri­sa­tion des entre­prises ne sont plus à prou­ver ; ils ne seront pérennes que si les don­nées sont pro­té­gées et les sys­tèmes qui les mani­pulent sécurisés.

Dans ce contexte de menace, l’ensemble des entre­prises et notam­ment les plus sen­sibles doivent conti­nuel­le­ment pro­gres­ser dans leur niveau de cyber­ré­si­lience pour faire face à l’addition du crime ordi­naire, qui a été le pre­mier à sai­sir le poten­tiel de la trans­for­ma­tion numé­rique de nos modes de vie, et de l’arme cyber uti­li­sée par des États. Pour cela elles peuvent notam­ment s’appuyer sur les pré­co­ni­sa­tions de l’ANSSI et de l’article 22 de la loi de pro­gram­ma­tion mili­taire du 18 décembre 2013, qui éta­blit un cer­tain nombre de règles de sécu­ri­té. Les actions de pro­tec­tion sont évi­dem­ment pri­mor­diales, mais elles ne sont pas infaillibles et doivent être com­plé­tées par la détec­tion au plus tôt des attaques ou des ten­ta­tives d’attaque, sachant qu’il est démon­tré que dans la plu­part des attaques réus­sies l’attaquant s’était intro­duit depuis plu­sieurs semaines, voire des mois, dans le sys­tème de l’entreprise visée pour car­to­gra­phier son sys­tème d’information et rendre son attaque plus effi­cace et même imparable.


REPÈRES

La cyber­guerre est décla­rée ! Si les attaques cyber sont assez anciennes, par exemple l’attaque Stux­net en 2010 attri­buée à la NSA en col­la­bo­ra­tion avec les ser­vices israé­liens pour neu­tra­li­ser les cen­tri­fu­geuses ira­niennes d’enrichissement d’uranium, les épi­sodes Wan­na­Cry et Not­Pe­tya de l’été 2017 ont mar­qué les esprits par leur ampleur. Au-delà des consé­quences graves pour les cibles tou­chées, elles ont mon­tré le risque d’une attaque large tou­chant l’ensemble du tis­su éco­no­mique. Cer­tains parlent même de IIIe guerre mon­diale, et Flo­rence Par­ly, ministre des Armées, décla­rait le 18 jan­vier 2019 que la cyber­guerre avait commencé. 


Le SOC, une tour de contrôle indispensable

Un des élé­ments majeurs de cette capa­ci­té de détec­tion est le Secu­ri­ty Ope­ra­tions Cen­ter (SOC). Véri­table tour de contrôle cyber, ses mis­sions prin­ci­pales sont la détec­tion des ano­ma­lies, leur ana­lyse et le déclen­che­ment des mesures pour répondre à la menace, pour garan­tir la conti­nui­té de ser­vice de solu­tions numé­riques super­vi­sées. Il s’agit d’un dis­po­si­tif orga­ni­sa­tion­nel met­tant en œuvre des moyens humains avec des com­pé­tences spé­ci­fiques, proche de la data science, s’appuyant sur des outils et des tech­no­lo­gies d’analyse puis­sants et inno­vants. En effet le SOC est un très grand consom­ma­teur de don­nées (jour­naux, alertes, logs…) géné­rées notam­ment par les com­po­sants du sys­tème à sur­veiller et sou­vent conso­li­dées au tra­vers d’un outil de col­lecte des évé­ne­ments de sécu­ri­té appe­lé SIEM (Secu­ri­ty Infor­ma­tion and Event Mana­ge­ment).

Une mise en œuvre progressive

La construc­tion d’un SOC est un pro­jet d’envergure, trans­verse, avec des impacts opé­ra­tion­nels impor­tants, dont la mise en place se fait pro­gres­si­ve­ment. Elle néces­site pre­miè­re­ment de faire le choix du make or buy. Chaque entre­prise appor­te­ra la réponse la plus appro­priée en fonc­tion de son contexte opé­ra­tion­nel, de sa taille, de ses moyens et de sa matu­ri­té, mais il me semble que, compte tenu des inves­tis­se­ments néces­saires, la mutua­li­sa­tion des moyens et des com­pé­tences est un élé­ment clé, d’où l’adossement à un par­te­naire de confiance. Compte tenu du côté « inva­sif » des outils du SOC (car­to­gra­phie des sys­tèmes, sondes pour la col­lec­tion des don­nées, droits don­nés à l’opérateur…), il est conseillé de choi­sir un pres­ta­taire qua­li­fié (ou en cours de qua­li­fi­ca­tion), notam­ment au tra­vers de la démarche PDIS (pres­ta­taire de détec­tion d’incidents de sécu­ri­té) de l’ANSSI qui vise à assu­rer la sécu­ri­té ain­si que la com­pé­tence des pres­ta­taires. Ce choix fait, il faut ensuite tra­vailler en mode pro­jet avec le pres­ta­taire rete­nu pour car­to­gra­phier le ou les sys­tèmes à pro­té­ger, défi­nir les cas d’usage, col­lec­ter les don­nées (via le SIEM), défi­nir des seuils d’alerte et mettre en place les outils d’analyse.

“Un SOC, c’est d’abord des moyens humains.

Une organisation en mouvement

Un SOC, c’est d’abord des moyens humains (opé­ra­teurs, data scien­tists, experts en sécu­ri­té infor­ma­tique…) qui super­visent le com­por­te­ment du sys­tème d’information, mènent des ana­lyses de levée de doute ou d’investigation à la suite des alertes internes ou externes pro­ve­nant par exemple de CERT (Com­pu­ter Emer­gen­cy Res­ponse Team) ou d’institutions comme l’ANSSI, détectent les ano­ma­lies et alertent les équipes gérant les sys­tèmes impac­tés, répondent aux inci­dents de sécu­ri­té et admi­nistrent les outils pour les adap­ter en fonc­tion de l’évolution de la menace et des sys­tèmes à pro­té­ger. L’apport des nou­velles tech­no­lo­gies de ges­tion de don­nées mas­sives (big data) et d’apprentissage (machine lear­ning) est pri­mor­dial. Le SOC doit en effet absor­ber et ana­ly­ser une très grande quan­ti­té de don­nées pour défi­nir le com­por­te­ment nor­mal d’un sys­tème et détec­ter des ano­ma­lies aus­si petites soient-elles. Les attaques mal­veillantes sont très sou­vent pré­cé­dées du dépôt, par les atta­quants, de codes ou scripts de faible taille cachés dans l’immensité des don­nées échan­gées et sto­ckées dans les SI des entre­prises. Il est donc cri­tique de détec­ter au plus tôt ces signaux faibles et de les cor­ré­ler avec la vie du sys­tème sur­veillé. Les tech­niques de type machine lear­ning, proches de l’intelligence arti­fi­cielle, sont néces­saires pour modé­li­ser le com­por­te­ment « nor­mal » du sys­tème et détec­ter les ano­ma­lies (connexion anor­male d’un sys­tème (IP), accès à des res­sources spé­ci­fiques, flux de don­nées, horaires d’activité du sys­tème…) pou­vant faire sus­pec­ter une attaque. L’anomalie est ensuite ana­ly­sée et cor­ré­lée avec des évé­ne­ments de fonc­tion­ne­ment du sys­tème (panne, main­te­nance, acti­vi­té métier…) pour déter­mi­ner s’il s’agit d’une action mal­veillante qu’il faut éra­di­quer immé­dia­te­ment ou d’un fait de la vie cou­rante du sys­tème qui vien­dra enri­chir la base d’apprentissage du logi­ciel de surveillance.

Une extension de l’organisation interne

Le SOC doit réagir dans des délais très courts. Pour appor­ter l’expertise et la métho­do­lo­gie requises au moment où l’organisation en a le plus besoin, même s’il est exter­na­li­sé à un pres­ta­taire qua­li­fié et cer­ti­fié, le SOC doit être for­te­ment lié avec les équipes internes et imbri­qué avec les pro­ces­sus d’opération et de ges­tion du SI. C’est pour­quoi, au-delà des com­pé­tences et de la capa­ci­té du pres­ta­taire, il est impor­tant de s’assurer que celui-ci sau­ra adap­ter son orga­ni­sa­tion et ses ser­vices à la spé­ci­fi­ci­té de son client en termes de risques cyber mais aus­si son orga­ni­sa­tion, son péri­mètre tech­nique et géo­gra­phique ou encore son mode de fonc­tion­ne­ment. La mise en place d’un SOC requiert donc une impli­ca­tion forte des équipes internes et un sou­tien expli­cite de la direc­tion pour accom­pa­gner le chan­ge­ment et assu­mer les dépenses récur­rentes induites. Même si elles sont à mettre en pers­pec­tive avec l’impact sou­vent des­truc­teur d’une attaque cyber, la mise en place et l’opération d’un SOC peuvent être com­plexes et coûteuses.

Poster un commentaire