Toutes les organisations, quelle que soit leur taille, sont confrontées à des enjeux de cybersécurité (résilience, protection de l’information, conformité…) ; les menaces évoluent constamment et de plus en plus rapidement, alors même que la complexité des systèmes d’information ne cesse d’augmenter.
Le volet réglementaire/conformité (RGPD, NIS, LPM) est un véritable catalyseur pour le renforcement des dispositifs de sécurité dans les organisations.
LES ENJEUX RÉGLEMENTAIRES LIÉS À LA PROTECTION DES DONNÉES PERSONNELLES ET DES SYSTÈMES D’INFORMATION ESSENTIELS (SIE)
Les obligations de sécurité du Règlement Général de Protection des Données (RGPD)
D’une part, les organisations ont l’obligation de mettre en place des mesures techniques et organisationnelles de sécurité, à savoir :
- Des moyens permettant de garantir la confidentialité, la disponibilité, l’intégrité et la résilience des systèmes et des services de traitement ;
- Des moyens permettant de rétablir la disponibilité des données ;
- Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures de sécurité.
Ensuite, ces mesures doivent être appropriées i.e. qu’elles doivent garantir un niveau de sécurité adapté aux risques sur les données personnelles.
Enfin, en cas de violations de données personnelles, les organisations doivent notifier l’autorité compétente dans les 72 h ; cette notification porte notamment sur une description des catégories et du nombre approximatif de personnes et de données personnelles concernées, sur les conséquences probables et les mesures prises pour remédier à la violation de données.
L’insuffisance des mesures de sécurité est de plus en plus systématiquement sanctionnée par les autorités européennes de protection des données comme l’illustre la toute dernière amende de 650 K€ prononcée par l’autorité polonaise de protection des données pour absence de procédure d’urgence à déclencher en cas de trafic réseau inhabituel.
Les enjeux de sécurité pour les Opérateurs de Services Essentiels (OSE)
La directive européenne (Network and Information System Security) concerne la sécurité des réseaux et systèmes d’information. Le Ier chapitre de la directive NIS prévoit la création d’un cadre réglementaire pour renforcer la cybersécurité des Opérateurs de services qui sont essentiels au fonctionnement de l’économie et de la société (OSE)[1], particulièrement la détection et la gestion des incidents de sécurité. La France devrait bientôt compter quelques centaines d’opérateurs de service essentiels (OSE).
- Les règles de sécurité portent sur les points suivants ;
- La gouvernance de la sécurité des réseaux et systèmes d’information ;
- La protection des réseaux et systèmes d’information ;
- La défense des réseaux et systèmes d’information ;
- La résilience des activités.
Les OSE doivent déclarer à l’ANSSI tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent. La notification recouvre une explication détaillée de l’incident, de ses conséquences et des mesures prises en réaction en plus d’informations techniques permettant à l’ANSSI de qualifier l’incident.
Dans ce contexte, les organisations doivent définir une stratégie de montée en puissance de leurs dispositifs de cybersurveillance et de monitoring de la sécurité du système d’information afin d’une part de détecter, d’analyser et de contenir les attaques le plus rapidement possible, d’autre part de gérer la réponse aux incidents de sécurité, notamment en cas de violation de données personnelles.
Qu’est-ce qu’un SOC ?
Le Security Operations Center (SOC), joue le rôle de centre de commandement de la sécurité des systèmes d’information. Les fonctions et composants d’un SOC peuvent varier d’une organisation à une autre, selon son niveau de maturité, son exposition, sa vision de la sécurité et les objectifs auxquels il répond.
Mais de manière générale un SOC comporte des fonctions de monitoring de la sécurité, de réponse aux incidents et de forensics. Parfois il englobe aussi la gestion des vulnérabilités et le Red teaming.
L’EFFICACITÉ D’UN SOC NE PEUT ÊTRE GARANTIE QUE VIA UNE COMBINAISON DE « PROFILS », DE « PROCESSUS » ET DE « TECHNOLOGIES »
Les « profils » : la clé de la réussite
De manière générale on peut distinguer trois types de profils avec des compétences différentes et complémentaires.
- Tier 1 (analyse) : le rôle des analystes consiste à contrôler en permanence la file d’attente des alertes, à trier les alertes de sécurité et à recueillir les données et le contexte nécessaires pour entreprendre les travaux du tier 2.
- Tier 2 (réponse aux incidents) : Cette équipe effectue une analyse approfondie des incidents en corrélant les données de diverses sources, elle détermine si un système ou un ensemble de données critiques a été impacté et propose des actions de remédiation.
- Tier 3 : Ces experts possédent une connaissance approfondie des réseaux, des Endpoints, de la Threat Intelligence (TI), du Forensic, du Reverse Engineering, ainsi que du fonctionnement des applications métier et de l’infrastructure sous-jacente. Cette équipe intervient comme « incident hunter » et elle participe à l’élaboration et à la mise en œuvre des méthodes de détection des menaces notamment au travers de cas d’usage.
Le SOC manager a quant à lui un rôle de chef d’orchestre : il est responsable de la priorisation des actions et de la bonne allocation des ressources disponibles.
Les processus
Selon les organisations et la maturité du dispositif en place, les process peuvent varier mais la gestion et la réponse aux incidents constitue le process principal. D’après le NIST (US National Institution of Standard Technologies) il se compose de quatre grandes phases et il doit s’inscrire dans une approche d’amélioration continue.
- La préparation : l’objectif est de limiter le nombre d’incidents par la mise en place de mesures de sécurité sur la base des résultats des analyses de risque et de la veille sur les vulnérabilités et les menaces (CERT). Cette phase permet aussi de déterminer le niveau de risque résiduel que l’organisation est prête à accepter.
- La détection et l’analyse de l’incident : cette étape permet non seulement la détection des incidents, la bonne compréhension et la priorisation de ceux-ci mais aussi la collecte des informations nécessaires à la notification aux autorités, aux partenaires et le cas échant aux personnes concernées.
- Confinement de l’incident et remédiation : cette étape consiste à maitriser l’incident pour en réduire l’impact avant d’y remédier de manière définitive.
- Les enseignements : dans le cadre d’une approche d’amélioration continue, cette phase permet de tirer les leçons de l’incident pour améliorer les dispositifs en place.
Les technologies
Le SIEM (Security Incident & Event Management) et les systèmes de ticketing sont les pièces maîtresses d’un SOC.
Le SIEM centralise et corrèle les différents événements provenant de plusieurs sources (postes de travail, serveurs, antivirus/antimalwares, VPN, firewalls, routeurs, proxys, applications, serveurs web, API, sondes réseaux…). Il remonte les alertes sur la base d’un ensemble de use cases (déclinés sous forme de règles) prédéfinis.
Afin d’optimiser la gestion des vulnérabilités, le SOC aura recours à une solution permettant d’identifier celles qui sont les plus susceptibles d’être exploitées.
DES SOC DE PLUS EN PLUS COMPLEXES ET INTELLIGENTS POUR CONTRER LA CYBERMENACE
Pour les raisons évoquées ci-avant, la mise en place d’un SOC est un élément essentiel de la stratégie de cybersurveillance des organisations mais pour être efficace, un SOC doit relever plusieurs challenges.
- Tout d’abord, le SOC doit prendre en compte le contexte de l’organisation
Les cas d’usage doivent être élaborés en fonction du secteur d’activité, de la réglementation applicable, du niveau de maturité concernant notamment la cartographie du SI, des solutions de sécurité et de collecte des logs existantes. Il faut aussi tenir compte de l’exposition de l’entreprise et notamment de la présence d’infrastructures cloud et IoT comme des menaces liées à sa flotte mobile. Les cas d’usage doivent aussi se baser sur l’analyse des risques sécurité et des risques globaux de l’entreprise.
- La nouvelle génération de SIEM comprend des briques d’intelligence artificielle
L’IA permet la détection de signaux faibles tout en réduisant les faux positifs. En effet, ce bruit est trop important pour pouvoir être réduit de manière significative avec les outils traditionnels de cybersécurité.
Grâce à l’intelligence artificielle il est possible d’anticiper les menaces. La Threat intelligence peut s’intégrer dans les systèmes de détection du SOC via les IoC (Indicateur de compromission).
En y associant du machine learning, on peut analyser en permanence les signaux faibles afin de détecter les comportements anormaux des entités et des utilisateurs (UEBA) mais aussi les comportements dynamiques post intrusion des attaquants.
Une fois corrélés à d’autres événements, les IoC fournissent aux analystes le contexte nécessaire pour identifier des menaces persistantes avancées (APT).
- Le SOC doit pouvoir être enrichi de toutes sortes de sources relatives aux actions malveillantes en cours de préparation mais aussi aux fuites d’informations sur le Web.
- Une fois détectés, les incidents doivent être rapidement traités.
En cas d’incident, les solutions SOAR (Security orchestration, automation and response) permettent de renforcer la réactivité et l’efficacité d’un SOC via l’orchestration et l’automatisation de la réponse aux incidents au travers de playbooks (qui décrivent les processus opérationnels et les techniques nécessaires pour réduire le risque).
On y ajoute généralement les outils de forensics notamment les solutions de sandboxing.
S’il est clair qu’il existe nombre de solutions sur le marché pour répondre à une partie des obligations de sécurité, d’autres facteurs seront à prendre en considération pour assurer le succès d’un SOC :
- La capacité de l’organisation à s’entourer de ressources expertes disposant de compétences adaptées et sachant interagir avec les équipes internes concernées ;
- La formation initiale et continue de l’équipe SOC ;
- La maîtrise des coûts liés à la mise en place et à la montée en puissance d’un SOC et dépendant pour partie de la quantité d’EPS (events per second) et de FPS (flows per second) et du nombre d’utilisateurs ;
- Les fonctions de reporting adaptées aux besoins des opérationnels et de l’organisation ainsi que la convivialité des interface homme/machine ;
- Et l’intégration des nombreuses solutions technologiques qui représente un réel défi.
[1] Opérateurs des secteurs suivants : Electricité, Gaz, Pétrole, Transport aérien, Transport ferroviaire, Transport guidé, Transport par voie d’eau, Transport routier, Logistique, Banque, Services financiers, Infrastructures de marchés financiers, Assurances/Mutuelles, Organismes sociaux, Opérateurs de paiement des aides à l’emploi, Etablissements de soins de santé, Produits pharmaceutiques, Fournisseurs et distributeurs d’eau, Traitement des eaux non potables, Infrastructures numériques, Parcours éducatif national et organisation d’examens nationaux, restauration collective santé/enfance/ détention