- Le SOC, tour de contrôle de la cybersécurité
- ouverture-teletravail-1
- Les contraintes du 100 % télétravail levées le 9 juin
- ouverture-teletravail-1
Véritable tour de contrôle qui veille sur la cybersécurité des entreprises, le centre opérationnel de sécurité ou SOC, l’environnement où sont supervisés les systèmes d’information, était un moyen de défense réservé aux plus grandes organisations. Le Cloud et l’intelligence artificielle sont en train de pousser vers sa démocratisation.
Du 5 au 21 août 2016, l’attention de tous les médias mondiaux était tournée vers Rio où se tenaient alors les Jeux Olympiques. Un événement mondial qui a tout autant attiré l’attention des pirates informatiques du monde entier, motivés par l’idée de faire tomber les serveurs de l’événement. Lors d’un tel événement, l’activité du SOC (Security Operating Center), d’Atos, en charge de l’informatique des jeux, a été capitale. On a compté 500 millions d’incidents de sécurité. Beaucoup ont été contrés automatiquement, mais 23 000 événements ont été classés comme sérieux. 20 attaques critiques ont pu être déjouées, sans jamais que les serveurs de l’événement n’aient été affectés par les pirates. Une telle situation peut sembler exceptionnelle, et pourtant toutes les entreprises sont aujourd’hui soumises à de telles menaces. Les secteurs de la banque, ou de la défense s’y étaient préparés de longue date, mais aujourd’hui les dernières attaques WannaCry, Petya, ou encore Cash Overwrite et Industroyer ont montré que plus aucune entreprise, plus aucun secteur d’activité n’est à l’abri.
L’essor des MSSP s’affirme
Si quelques grands comptes comme les opérateurs de télécommunications, les grandes banques françaises ou encore EDF ont mis en place ces dernières années un SOC interne, de plus en plus de grandes entreprises ont recours à l’externalisation auprès d’un MSSP (Managed Security Service Provider). Zeina Zakhour, CTO d’Atos Cybersecurity souligne « Nous avons noté une croissance de la demande de la part des OIV [opérateurs d’importance vitale, NDLR] suite à la Loi de programmation militaire, mais aussi d’entreprises qui n’investissaient pas nécessairement beaucoup sur la cybersécurité, notamment les médias, la grande distribution, l’industrie. Ce sont des acteurs qui sont allés vers des SOC managés car ils ne disposaient pas alors des ressources pour se constituer des SOC internes. » En outre, même les entreprises qui disposent d’un SOC interne délèguent certaines tâches : « Nous voyons de plus en plus d’entreprises adopter une approche de SOC hybride. Celles qui disposent de leur propre SOC, en assurant elles-mêmes le support de niveau 3. Nos équipes réalisent les analyses forensic et les tâches de threat intelligence qu’elles ne peuvent réaliser elles-mêmes. »
Autre acteur de poids du marché français des SOC, Thales dont le centre de cybersécurité est en production depuis 2001. « Nous sommes clairement positionnés sur la supervision de systèmes de sécurité des clients les plus exigeants en matière de prévention, détection et réaction », explique Stanislas de Maupeou, vice-président Stratégie et Marketing, Systèmes d’Information Critiques et Cybersécurité chez Thales, qui ajoute : « Nous ne faisons pas d’offre de SOC low-cost basés sur des règles préétablies. Nous privilégions une approche partenariale avec nos clients dans un système global de détection et pas dans un système d’alerting. » Le SOC de Thales compte une trentaine de clients avec des entreprises, telles qu’Engie par exemple, parmi les plus grandes entreprises françaises. « Nous avons des SOC à Hong-Kong, au Royaume-Uni, en France, aux Pays-Bas et au Canada mais, de par notre positionnement vis-à-vis des OIV, nous ne faisons pas ce que l’on nomme du “follow the sun”. Nous n’interconnectons pas les données clients entre nos SOC et privilégions la proximité du SOC avec nos clients, notamment avec des équipes N3 déportées auprès d’eux. »
Des spécialistes dans la place
Le marché des SOC est occupé par les grandes ESN et les opérateurs, mais aussi par quelques spécialistes, dont Conix. Le français emploie environ 18 personnes dans son SOC pour une dizaine de clients, dont la moitié est constituée d’entreprises du CAC 40. Le Français bénéficie aujourd’hui de sa sélection sur la liste des PDIS (prestataires de détection d’incidents de sécurité) de l’ANSSI. « Notre antériorité sur le marché français a été reconnue et nous avons été sélectionnés dans la liste des PDIS de l’ANSSI » se félicite Sylvain Conchon, responsable de l’activité cybersécurité de Conix. « Nous faisons la différence de par notre agilité, mais aussi par le fait que, pour nous, chaque nouveau client sera un gros client, alors que pour les gros opérateurs, ce même client ne sera qu’un client de plus. » Conix gère un SOC réparti entre la région parisienne et Pau. Même si la liste officielle des SOC qualifiées par l’ANSSI n’a pas encore été publiée, ce référencement de facto par l’ANSSI va structurer le marché français. « J’estime que notre activité SOC va doubler au cours des deux années à venir » affirme Sylvain Conchon. « Le label ANSSI nous a donné un coup de fouet et la réglementation, que ce soit la LPM (Loi de programmation militaire) et la RGPD [règlement européen sur la protection des données, NDLR] vont inciter des entreprises à y aller. »
« Le Big Data nous permet de passer la cybersécurité dans un mode préventif. »
Zeina Zakhour, CTO d’Atos Cybersecurity
« Notre offre SOC évolue, notamment pour aller vers ce que nous avons appelé le Prescriptive SOC. Le Big Data permet de ne plus être dans un mode de réaction à un incident mais de se placer dans un mode préventif. Lorsqu’on analyse aujourd’hui la « kill-chain » d’une attaque, il n’est possible de détecter l’attaque qu’au moment où celle-ci survient. Les entreprises ne parviennent pas à détecter pour l’instant toutes les phases amont qui précèdent l’attaque ciblée. Avec une Threat Intelligence qui inclut non seulement les vulnérabilités et les « exploits » publiés, mais aussi des informations qui ont commencé à fuiter dans le Dark Web, ces informations alimentent un data lake où nous accumulons autant de données issues de sources externes que les données internes. Le Machine Learning et les Data Vizualisation permettent aujourd’hui de réaliser de l’analyse comportementale et du prédictif dans nos SOC. »