Les industriels doivent se doter d’un centre de surveillance cyber

Dossier : CybersécuritéMagazine N°753 Mars 2020
Par Gilles LÉVÊQUE

Pour tirer pleinement profit de la transformation numérique des modèles d’affaires et des processus opérationnels, les entreprises doivent ouvrir leurs systèmes d’information et les interconnecter à leur écosystème (clients, fournisseurs, prestataires…). Les bénéfices induits par la numérisation des entreprises ne sont plus à prouver ; ils ne seront pérennes que si les données sont protégées et les systèmes qui les manipulent sécurisés.

 

Dans ce contexte de menace, l’ensemble des entreprises et notamment les plus sensibles doivent continuellement progresser dans leur niveau de cyberrésilience pour faire face à l’addition du crime ordinaire, qui a été le premier à saisir le potentiel de la transformation numérique de nos modes de vie, et de l’arme cyber utilisée par des États. Pour cela elles peuvent notamment s’appuyer sur les préconisations de l’ANSSI et de l’article 22 de la loi de programmation militaire du 18 décembre 2013, qui établit un certain nombre de règles de sécurité. Les actions de protection sont évidemment primordiales, mais elles ne sont pas infaillibles et doivent être complétées par la détection au plus tôt des attaques ou des tentatives d’attaque, sachant qu’il est démontré que dans la plupart des attaques réussies l’attaquant s’était introduit depuis plusieurs semaines, voire des mois, dans le système de l’entreprise visée pour cartographier son système d’information et rendre son attaque plus efficace et même imparable.

 


REPÈRES

La cyberguerre est déclarée ! Si les attaques cyber sont assez anciennes, par exemple l’attaque Stuxnet en 2010 attribuée à la NSA en collaboration avec les services israéliens pour neutraliser les centrifugeuses iraniennes d’enrichissement d’uranium, les épisodes WannaCry et NotPetya de l’été 2017 ont marqué les esprits par leur ampleur. Au-delà des conséquences graves pour les cibles touchées, elles ont montré le risque d’une attaque large touchant l’ensemble du tissu économique. Certains parlent même de IIIe guerre mondiale, et Florence Parly, ministre des Armées, déclarait le 18 janvier 2019 que la cyberguerre avait commencé.


 

Le SOC, une tour de contrôle indispensable

Un des éléments majeurs de cette capacité de détection est le Security Operations Center (SOC). Véritable tour de contrôle cyber, ses missions principales sont la détection des anomalies, leur analyse et le déclenchement des mesures pour répondre à la menace, pour garantir la continuité de service de solutions numériques supervisées. Il s’agit d’un dispositif organisationnel mettant en œuvre des moyens humains avec des compétences spécifiques, proche de la data science, s’appuyant sur des outils et des technologies d’analyse puissants et innovants. En effet le SOC est un très grand consommateur de données (journaux, alertes, logs…) générées notamment par les composants du système à surveiller et souvent consolidées au travers d’un outil de collecte des événements de sécurité appelé SIEM (Security Information and Event Management).

Une mise en œuvre progressive

La construction d’un SOC est un projet d’envergure, transverse, avec des impacts opérationnels importants, dont la mise en place se fait progressivement. Elle nécessite premièrement de faire le choix du make or buy. Chaque entreprise apportera la réponse la plus appropriée en fonction de son contexte opérationnel, de sa taille, de ses moyens et de sa maturité, mais il me semble que, compte tenu des investissements nécessaires, la mutualisation des moyens et des compétences est un élément clé, d’où l’adossement à un partenaire de confiance. Compte tenu du côté « invasif » des outils du SOC (cartographie des systèmes, sondes pour la collection des données, droits donnés à l’opérateur…), il est conseillé de choisir un prestataire qualifié (ou en cours de qualification), notamment au travers de la démarche PDIS (prestataire de détection d’incidents de sécurité) de l’ANSSI qui vise à assurer la sécurité ainsi que la compétence des prestataires. Ce choix fait, il faut ensuite travailler en mode projet avec le prestataire retenu pour cartographier le ou les systèmes à protéger, définir les cas d’usage, collecter les données (via le SIEM), définir des seuils d’alerte et mettre en place les outils d’analyse.

Connectez-vous pour lire la suite.
Se connecter S’enregistrer