Les industriels doivent se doter d’un centre de surveillance cyber

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Gilles LÉVÊQUE

Pour tir­er pleine­ment prof­it de la trans­for­ma­tion numérique des mod­èles d’affaires et des proces­sus opéra­tionnels, les entre­pris­es doivent ouvrir leurs sys­tèmes d’information et les inter­con­necter à leur écosys­tème (clients, four­nisseurs, prestataires…). Les béné­fices induits par la numéri­sa­tion des entre­pris­es ne sont plus à prou­ver ; ils ne seront pérennes que si les don­nées sont pro­tégées et les sys­tèmes qui les manip­u­lent sécurisés.

Dans ce con­texte de men­ace, l’ensemble des entre­pris­es et notam­ment les plus sen­si­bles doivent con­tin­uelle­ment pro­gress­er dans leur niveau de cyber­résilience pour faire face à l’addition du crime ordi­naire, qui a été le pre­mier à saisir le poten­tiel de la trans­for­ma­tion numérique de nos modes de vie, et de l’arme cyber util­isée par des États. Pour cela elles peu­vent notam­ment s’appuyer sur les pré­con­i­sa­tions de l’ANSSI et de l’article 22 de la loi de pro­gram­ma­tion mil­i­taire du 18 décem­bre 2013, qui établit un cer­tain nom­bre de règles de sécu­rité. Les actions de pro­tec­tion sont évidem­ment pri­mor­diales, mais elles ne sont pas infail­li­bles et doivent être com­plétées par la détec­tion au plus tôt des attaques ou des ten­ta­tives d’attaque, sachant qu’il est démon­tré que dans la plu­part des attaques réussies l’attaquant s’était intro­duit depuis plusieurs semaines, voire des mois, dans le sys­tème de l’entreprise visée pour car­togra­phi­er son sys­tème d’information et ren­dre son attaque plus effi­cace et même imparable.


REPÈRES

La cyber­guerre est déclarée ! Si les attaques cyber sont assez anci­ennes, par exem­ple l’attaque Stuxnet en 2010 attribuée à la NSA en col­lab­o­ra­tion avec les ser­vices israéliens pour neu­tralis­er les cen­trifugeuses irani­ennes d’enrichissement d’uranium, les épisodes Wan­naCry et Not­Petya de l’été 2017 ont mar­qué les esprits par leur ampleur. Au-delà des con­séquences graves pour les cibles touchées, elles ont mon­tré le risque d’une attaque large touchant l’ensemble du tis­su économique. Cer­tains par­lent même de IIIe guerre mon­di­ale, et Flo­rence Par­ly, min­istre des Armées, déclarait le 18 jan­vi­er 2019 que la cyber­guerre avait commencé. 


Le SOC, une tour de contrôle indispensable

Un des élé­ments majeurs de cette capac­ité de détec­tion est le Secu­ri­ty Oper­a­tions Cen­ter (SOC). Véri­ta­ble tour de con­trôle cyber, ses mis­sions prin­ci­pales sont la détec­tion des anom­alies, leur analyse et le déclenche­ment des mesures pour répon­dre à la men­ace, pour garan­tir la con­ti­nu­ité de ser­vice de solu­tions numériques super­visées. Il s’agit d’un dis­posi­tif organ­i­sa­tion­nel met­tant en œuvre des moyens humains avec des com­pé­tences spé­ci­fiques, proche de la data sci­ence, s’appuyant sur des out­ils et des tech­nolo­gies d’analyse puis­sants et inno­vants. En effet le SOC est un très grand con­som­ma­teur de don­nées (jour­naux, alertes, logs…) générées notam­ment par les com­posants du sys­tème à sur­veiller et sou­vent con­solidées au tra­vers d’un out­il de col­lecte des événe­ments de sécu­rité appelé SIEM (Secu­ri­ty Infor­ma­tion and Event Man­age­ment).

Une mise en œuvre progressive

La con­struc­tion d’un SOC est un pro­jet d’envergure, trans­verse, avec des impacts opéra­tionnels impor­tants, dont la mise en place se fait pro­gres­sive­ment. Elle néces­site pre­mière­ment de faire le choix du make or buy. Chaque entre­prise apportera la réponse la plus appro­priée en fonc­tion de son con­texte opéra­tionnel, de sa taille, de ses moyens et de sa matu­rité, mais il me sem­ble que, compte tenu des investisse­ments néces­saires, la mutu­al­i­sa­tion des moyens et des com­pé­tences est un élé­ment clé, d’où l’adossement à un parte­naire de con­fi­ance. Compte tenu du côté « invasif » des out­ils du SOC (car­togra­phie des sys­tèmes, son­des pour la col­lec­tion des don­nées, droits don­nés à l’opérateur…), il est con­seil­lé de choisir un prestataire qual­i­fié (ou en cours de qual­i­fi­ca­tion), notam­ment au tra­vers de la démarche PDIS (prestataire de détec­tion d’incidents de sécu­rité) de l’ANSSI qui vise à assur­er la sécu­rité ain­si que la com­pé­tence des prestataires. Ce choix fait, il faut ensuite tra­vailler en mode pro­jet avec le prestataire retenu pour car­togra­phi­er le ou les sys­tèmes à pro­téger, définir les cas d’usage, col­lecter les don­nées (via le SIEM), définir des seuils d’alerte et met­tre en place les out­ils d’analyse.

“Un SOC, c’est d’abord des moyens humains.

Une organisation en mouvement

Un SOC, c’est d’abord des moyens humains (opéra­teurs, data sci­en­tists, experts en sécu­rité infor­ma­tique…) qui super­visent le com­porte­ment du sys­tème d’information, mènent des analy­ses de lev­ée de doute ou d’investigation à la suite des alertes internes ou externes provenant par exem­ple de CERT (Com­put­er Emer­gency Response Team) ou d’institutions comme l’ANSSI, détectent les anom­alies et aler­tent les équipes gérant les sys­tèmes impactés, répon­dent aux inci­dents de sécu­rité et admin­istrent les out­ils pour les adapter en fonc­tion de l’évolution de la men­ace et des sys­tèmes à pro­téger. L’apport des nou­velles tech­nolo­gies de ges­tion de don­nées mas­sives (big data) et d’apprentissage (machine learn­ing) est pri­mor­dial. Le SOC doit en effet absorber et analyser une très grande quan­tité de don­nées pour définir le com­porte­ment nor­mal d’un sys­tème et détecter des anom­alies aus­si petites soient-elles. Les attaques malveil­lantes sont très sou­vent précédées du dépôt, par les attaquants, de codes ou scripts de faible taille cachés dans l’immensité des don­nées échangées et stock­ées dans les SI des entre­pris­es. Il est donc cri­tique de détecter au plus tôt ces sig­naux faibles et de les cor­réler avec la vie du sys­tème sur­veil­lé. Les tech­niques de type machine learn­ing, proches de l’intelligence arti­fi­cielle, sont néces­saires pour mod­élis­er le com­porte­ment « nor­mal » du sys­tème et détecter les anom­alies (con­nex­ion anor­male d’un sys­tème (IP), accès à des ressources spé­ci­fiques, flux de don­nées, horaires d’activité du sys­tème…) pou­vant faire sus­pecter une attaque. L’anomalie est ensuite analysée et cor­rélée avec des événe­ments de fonc­tion­nement du sys­tème (panne, main­te­nance, activ­ité méti­er…) pour déter­min­er s’il s’agit d’une action malveil­lante qu’il faut éradi­quer immé­di­ate­ment ou d’un fait de la vie courante du sys­tème qui vien­dra enrichir la base d’apprentissage du logi­ciel de surveillance.

Une extension de l’organisation interne

Le SOC doit réa­gir dans des délais très courts. Pour apporter l’expertise et la méthodolo­gie req­ui­s­es au moment où l’organisation en a le plus besoin, même s’il est exter­nal­isé à un prestataire qual­i­fié et cer­ti­fié, le SOC doit être forte­ment lié avec les équipes internes et imbriqué avec les proces­sus d’opération et de ges­tion du SI. C’est pourquoi, au-delà des com­pé­tences et de la capac­ité du prestataire, il est impor­tant de s’assurer que celui-ci saura adapter son organ­i­sa­tion et ses ser­vices à la spé­ci­ficité de son client en ter­mes de risques cyber mais aus­si son organ­i­sa­tion, son périmètre tech­nique et géo­graphique ou encore son mode de fonc­tion­nement. La mise en place d’un SOC requiert donc une impli­ca­tion forte des équipes internes et un sou­tien explicite de la direc­tion pour accom­pa­g­n­er le change­ment et assumer les dépens­es récur­rentes induites. Même si elles sont à met­tre en per­spec­tive avec l’impact sou­vent destruc­teur d’une attaque cyber, la mise en place et l’opération d’un SOC peu­vent être com­plex­es et coûteuses.

Poster un commentaire