Accueil Cybersécurité Cybermenaces : toute l’expertise d’Orange dorénavant regroupée dans un nouveau quartier général parisien

Cybermenaces : toute l’expertise d’Orange dorénavant regroupée dans un nouveau quartier général parisien

nouveau siège Orange Cyberdefense
Le nouveau siège Orange Cyberdefense à La Defense vient d'être inauguré

C’est à La Défense qu’Orange Cyberdefense a installé son nouveau campus. 

SOC, CERT, salles de crise secrètes, hackers éthiques, laboratoire à haut risque manipulant des malwares encore inconnus : l’entité cybersécurité d’Orange rassemble ses forces dans un nouveau siège à La Défense, avec un esprit de conquête affiché.

C’est en présence de Mounir Mahjoubi, secrétaire d’Etat chargé du Numérique, de Thierry Delville, délégué ministériel aux Industries de Sécurité et à la Lutte contre les Cybermenaces, et de l’incontournable Guillaume Poupard, directeur général de l’ANSSI que le nouveau siège d’Orange Cyberdefense a été inauguré le 5 octobre 2017.

Nouveau siège d'Orange Cyberdéfense
Orange a installé à la Paris La Défense son activité Cyberdefense dans des locaux qui pourront abriter jusqu’à 600 personnes.

Une inauguration très officielle qui a été l’occasion pour Michel Van Den Berghe, directeur général d’Orange Cyberdefense, de faire un point d’étape sur le plan de développement de cette activité cybersécurité : “En 2014, l’activité cybersécurité d’OBS ne représentait encore que 100 millions d’euros, Aujourd’hui, nous comptons 1 200 collaborateurs pour 250 millions d’euros de chiffre d’affaires. Alors qu’en 2015 Orange Cyberdefense n’existait pas, aujourd’hui toutes les sociétés du SBF 120 sont clientes d’Orange Cyberdefense. Nous allons recruter 1 000 collaborateurs lors des trois prochaines années et atteindre un chiffre d’affaires de 350 millions d’euros pour 2020.” Après une vague d’acquisitions qui a vu Atheos et Lexsi rejoindre le pôle cybersécurité d’OBS, Michel Van Den Berghe semble vouloir désormais privilégier la croissance organique.

Michel Van Den Berghe, DG d'Orange Cyberdefense
Toutes les sociétés du SBF 120 sont clientes d’Orange Cyberdefense“, Michel Van Den Berghe, DG d’Orange Cyberdefense.

Lors de l’inauguration, Mounir Mahjoubi a souligné la participation financière d’Orange dans Acyma, la plateforme d’aide aux victimes de la cybercriminalité tandis que Guillaume Poupard a mis en exergue les efforts d’Orange Cyberdefense en matière de certification. Le prestataire est déjà certifié PASSI (Prestataire d’audit de la Sécurité des Systèmes d’Information) afin de pouvoir auditer les SI des OIV. Il est en cours de qualification PDIS (Prestataire de détection d’incidents de sécurité) et travaille sur la certification de son activité réponse à incident (PRIS).

Une concentration de moyens pour une plus grande efficacité

Outre le volet purement protocolaire de cette inauguration, Michel Van Den Berghe a livré quelques détails quant au rôle que jouent désormais ces locaux parisiens dans un dispositif de cybersécurité de dimension mondiale. Les collaborateurs de six sites existants d’Orange Cyberdefense (notamment Rueil et Bagnolet) ont été concentrés à Paris La Défense sur ce campus qui offre 6 800 m2 capable d’accueillir jusqu’à 600 personnes (environ 400 postes sont actuellement occupés). “Nous avons souhaité concentrer l’ensemble des expertises d’Orange Cyberdefense sur ce site de La Défense, l’expertise en analyse de la cybermenace, l’expertise en détection et en réaction/remédiation” a ainsi expliqué  Michel Van Den Berghe. “Nous avons souhaité faire de ce campus un endroit disruptif, avec une moyenne d’âge de 29 ans, et les conditions de travail demandées par ces nouvelles générations. Le site a été entièrement pensé en collaboration avec ces salariés qui ont choisi les meubles et l’organisation des locaux, en application des grands principes du co-working avec un minimum de pièces fermées.” Une exception toutefois à cette volonté d’ouverture, les mystérieuses salles Gamora, Groot ou Rocket Racoon (du nom des héros du film Les Gardiens de la Galaxie), les salles de crise dédiées aux clients placés sous secret défense et aux OIV. Ces salles sécurisées par lecteurs biométriques, et dont l’accès est restreint aux personnes habilitées, ont des câbles réseau mis à nu afin que le client puisse vérifier de visu qu’aucun dispositif d’écoute n’a été placé.

Outre un showroom destiné à expliquer aux prospects les différents services délivrés par les équipes d’Orange Cyberdefense, le campus de La Défense abrite à son cinquième étage l’un des six SOC dont dispose le prestataire dans le monde, aux côtés de ceux de la Belgique, de l’Egypte, de l’Ile Maurice et indien.

CyberSOC Orange Cyberdefense
L’un des six CyberSOC que gèrent Orange Cyberdefense dans le monde.

L’ensemble de ces SOC traitent en moyenne 25 milliards d’événements par jour (ce qui représente 500 000 données à trier chaque seconde), mène 400 investigations par mois, avec environ 80 véritables incidents détectés chaque mois, dont heureusement seulement 20% sont jugés importants. Ainsi, le jour de l’inauguration, le SOC affichait 120 incidents en cours d’analyse. Ces SOC mettent en œuvre les SIEM QRadar d’IBM ainsi que ceux de Splunk et de RSA, selon les besoins du client. Au sixième étage travaillent les analystes cyber du CERT. En tout, Orange Cyberdefense emploie une cinquantaine d’analystes à Paris, mais le prestataire compte ouvrir un autre CERT à Singapour et un troisième à Montréal afin d’assurer un service “follow-the-sun” à ses clients. Ces experts assurent une réponse à incident temps réel, mais mènent aussi des tâches de Threat Intelligence et même de surveillance des réseaux sociaux.

CERT Orange Cyberdefense
Le campus Orange Cyberdefense de Paris La Défense abrite l’un des trois CERT du prestataire.

Un SOC, un CERT et une équipe d’hackers éthiques dans les mêmes locaux

Lorsqu’ils détectent une nouvelle menace, celle-ci est qualifiée et des contre-mesures sont immédiatement mises en place.il peut s’agir par exemple de la fermeture d’un site de phishing. Ce sont ainsi entre 15 000 et 20 000 sites qui sont fermés chaque année.

Il est à signaler qu’Orange Cyberdefense dispose d’une équipe d’hackers éthiques, une trentaine de personnes sur la région parisienne et autant en province qui mènent des attaques sur les systèmes d’information des clients Orange, tant sur des environnements bureautiques, industriels que mobiles. L’objectif est bien entendu d’en détecter les failles avant les véritables pirates. Cette activité n’a rien d’anecdotique pour Orange Cyberdefense puisque cette équipe mène entre 600 et 700 missions de ce type chaque année, tant auprès de grandes entreprises françaises que de PME.

Au même étage est installé l’étonnant laboratoire de Marc Blanchard, épidémiologiste d’Orange Cyberdefense qui travaille pour partie à Rennes et pour partie à Paris. Celui-ci a pour mission de débusquer les nouveaux malwares et les “fatiguer” afin d’observer leurs mutations.

 laboratoire d'épidémiologie d'Orange Cyberdefense
Le laboratoire d’épidémiologie de Marc Blanchard manipule des malwares encore inconnus des antivirus. Une activité à haut risque.

L’objectif est de définir une signature réseau qui va permettre de repérer leur activité avant même que les éditeurs d’antivirus n’aient délivré une signature de code pour leurs outils. Le travail de ce laboratoire (qui compte 4 experts) ainsi que celui du CERT permettent d’alimenter les SOC Orange Cyberdefense de nouveaux marqueurs d’attaque. Marc Blanchard n’a pas caché que cette manipulation de malwares encore inconnus des antivirus est potentiellement dangereuse pour les réseaux Wifi environnants, ce qui impose aux chercheurs d’utiliser une cage de Faraday pour manipuler les terminaux infectés. Ce sont ainsi 13 millions de marqueurs qui permettent actuellement au SOC d’Orange Cyberdefense de  détecter les attaques sur les SI de ses clients.

 

Auteur : Alain Clapaud