Les entreprises sont exposées aujourd’hui à un problème en cybersécurité ; Il est certain que l’incident cyber aura lieu. Le tout est de savoir si l’organisation sera en mesure de réagir afin de limiter les conséquences – d’où l’enjeu de la capacité de détection et de réponse très souvent absente en entreprise.
Malgré l’importance de ce type de dispositif, beaucoup échouent à mettre en place cette tour de contrôle communément dénommée Security Operation Center ou SOC. Ce dispositif SOC à souvent deux objectifs principaux pour les organisations: répondre aux exigences réglementaires comme le GDPR et implémenter une capacité de détection et de réponse.
La récente directive NIS renforce au niveau des états le besoin de resilience des organisations critiques et va instaurer un besoin accru de tel dispositifs.
Pour commencer, Il y a souvent une confusion entre un projet d’implémentation de technologie de centralisation de log (SIEM) et un projet SOC. La technologie de centralisation n’est qu’une brique mais elle ne représente rien sans la mise en place des processus et des personnes compétentes pour la mise en œuvre et la gestion au quotidien.
Un SOC c’est en premier lieu, une équipe composée d’experts en sécurité qui effectuent une surveillance continue des différents aspects du système d’information afin de détecter les incidents et aider l’entreprise à mieux réagir pour un retour en production au plus tôt. C’est ainsi que l’on parle plutôt de dispositifs SOC, qui comprend bien évidemment une équipe en charge du monitoring en 24*7, une équipe en charge de la réaction aux incident et de la veille sécurité, une équipe en charge des techniques d’intrusion et enfin une équipe d’ingénieurs et de gouvernance pour accompagner le dispositif. En chiffre : plus de 30 à 35 personnes.
Il est aujourd’hui inimaginable de bloquer toutes les intrusions. Penser que le SOC pourra gérer tous les incidents sans une connaissance précise du système d‘information et son historique est également une erreur. Il est important de considérer les équipes du SOC comme une extension de des équipes opérationnelles. Elle doit avoir un maximum d’informations pour augmenter son efficience. Les premières tâches du SOC doivent être d’ajouter de la cyber-résilience dans la cyber-sécurité, c’est-à-dire préparer à l’incident et mesurer les risques de l’entreprise au travers d’une vérification du niveau de sécurité.
Une fois la mise en place du SOC réalisée, le projet ne s’arrête pas. En effet, le SOC entre dans un processus d’amélioration continue qui se décompose en plusieurs activités clés :
– La recherche et le développement constituent un élément essentiel. Elle permet d’améliorer les outils de détection et la réaction, d’avoir des informations sur les dernières menaces, créer des nouveaux scénarios de détection, et bien plus encore. Cette capacité d’«Intelligence » du SOC permet en outre de transformer des flux d’information provenant de différentes sources comme les Certs pouvant aider à réagir plus efficacement à des situations non encore détectées.
- L’activité de « threat hunting » est une autre composante de l’amélioration continue des services. Les analystes n’attendent pas qu’une règle de corrélation détecte une anomalie mais ils fouillent les logs afin d’identifier des déviances qui ne sont pas encore modélisées via un scénario de détection.
- La formation de l’équipe SOC est un élément crucial pour augmenter le niveau de compréhension et de détection des analystes. Elle permet de découvrir et d’approfondir les connaissances sur les différentes méthodes utilisées par les attaquants pour compromettre un système, et permet de créer de nouveaux scénario de détection.
- Le contrôle de la maturité est à prendre en compte dans un processus d’amélioration continue afin de vérifier l’efficacité des actions entreprises et de mesurer l’amélioration obtenue. Ce cycle d’amélioration continue est soutenu par une équipe de test d’intrusion ainsi qu’au travers de son CSIRT qui développe des outils d’analyse permettant aux SOC d’être plus pertinents sur l’analyse lors de leurs opérations.
Une attaque peut réduire à néant la confiance des utilisateurs, entrainer de lourdes pertes financières et mettre à mal une image de marque que l’on a mis de longues années à construire. Il n’existe aucune solution miracle pour empêcher les attaques. Néanmoins, l’un des rôles principaux du SOC est d’aider au retour à la production en cas d’incident. Le SOC est présent pour la gestion de la crise et pas seulement au niveau technique. En ayant une approche intelligente et agile de la sécurité, l’entreprise mettra toutes les possibilités pour gérer, et minimiser les risques auxquels elle est confrontée, ainsi que leurs conséquences tant technologiques que financières.
Si le sujet vous intéresse, rejoignez nous lors de notre matinée expertise le 13 décembre, autour d’un retour d’expériences sur la détection et la réaction aux incidents cyber, de la gestion de crise et des contextes réglementaires comme la directive NIS : https://www.eventbrite.fr/e/billets-matinee-expertise-detection-et-reaction-a-lincident-cyber-et-contexte-reglementaire-nis-52053647862