Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
Du SOC au SOC-as-a-S. Evolution de la sécurité
Du SOC au SOC-as-a-S. Evolution de la sécurité
CSM Advens prône le SOC-as-a-Service. Du coup, le Security Operations Center se démocratise. Explications d’Arnaud Hess, Head of Business Development, CSM Advens.
Qui dit SOC, dit détection et remédiation. Aujourd’hui, grâce au Machine Learning, on aborde l’anticipation. Le Security Operations Center va donc connaitre un nouvel essor. Notamment sur base du modèle SOC-as-a-Service, estime Arnaud Hess, Head of Business Development, CSM Advens.
Le principe de base du SOC n’a pas changé : l’amélioration de la détection des incidents de sécurité grâce à une surveillance et une analyse continue de l’activité du réseau tout en s’appuyant sur des données de cyber-intelligence. En analysant les activités sur les réseaux de l’entreprise en permanence, les équipes du SOC peuvent détecter et réagir rapidement face aux incidents de sécurité. Cette possibilité est devenue cruciale. Le temps est l’un des éléments les plus critiques lorsqu’il est question de répondre efficacement aux incidents de cybersécurité.
Un système d’information sans frontières
La crise sanitaire a accéléré le phénomène. Beaucoup d’entreprises très impactées par des cyberattaques n’avaient pas de SOC ou ceux-ci étaient à l’état embryonnaire. Ce n’est plus tenable, commentait récemment Arnaud Hess au cours d’un événement axé sur les services de Cyber Security Management au Queens Brussels (*). « Avec des données éparpillées dans de multiples clouds, des utilisateurs dispersés et, désormais, de plus en plus en télétravail, la surface d’exposition aux cyber-risques n’en est que plus vaste. Si le clic de trop déclenche une crise, c’est que l’environnement était vulnérable ! »
Les frontières du système d’information disparaissent ou ont disparu, lesassets et les datas ont explosé. Ils sont de plus en plus exposés à des menaces toujours plus avancées et organisées. Les solutions et approches historiques doivent se réinventer pour s’adapter à ce nouveau paradigme, qui n’est pas lié à l’informatique, mais au numérique.
Le nouveau SOC est né
Pour y parvenir, le SOC de l’ère numérique doit :
- Adresser aussi bien les enjeux opérationnels que stratégiques, en ciblant les actifs les plus sensibles et les scénarios redoutés.
- Etre capable de protéger tous les actifs (IT, IoT, OT, …), de les contextualiser et de corréler les données entre elles.
- S’adapter à l’organisation et aux cas d’usage, et non l’inverse.
- Comprendre les applications et intégrer les données métiers pour identifier les usages à risques et les comportements malveillants.
- Etre simple et rapide à mettre en place -accessible à tout type d’organisation, de taille et de maturité
- Etre agile pour s’adapter en permanence aux évolutions technologiques et aux nouvelles menaces.
- Intégrer toutes les fonctions nécessaires à la gestion opérationnelle de la sécurité et fournir une solution « tout-en-un ».
- Permettre une approche collaborative pour interagir en permanence avec les équipes et les accompagner dans l’amélioration continue de la sécurité et la résolution des incidents.
- Restituer une information de qualité, contextualisée et compréhensible à toutes les parties prenantes (équipes opérationnelles, CISO, CEO…)
- Etre agile et innover en permanence !
Pyramide inversée
S’il existe de nombreux SOC, CSM Advens investit la question de façon avant-gardiste. Dans un SOC classique, une armée d’analystes de niveau 1 trie les alertes afin d’éliminer les faux positifs, puis transmet les incidents dignes d’intérêt aux analystes de niveau 2 et 3. Face aux limites de cette approche, CSM Advens a adopté une stratégie radicalement différente, sur base d’une pyramide inversée, avec peu d’analystes de niveau 1, mais bien plus d’experts de haut niveau.
« Disposer de notre propre plateforme nous permet de renverser la problématique du SOC, confirme Arnaud Hess. Nous n’avons que peu d’analystes de niveau 1, mais ceux-ci sont des ingénieurs spécialisés. En raisonnant en termes de plan de surveillance avec une bonne gestion des risques acceptés, on ne gère que très peu de faux positifs. Les alertes générées sont parfaitement adaptées au contexte de l’entreprise. Cela permet d’appuyer le travail des analystes sur des workflows métiers très intégrés. »
Autonomie, démocratie
Si CSM Advens a pu renverser la problématique du SOC traditionnel, c’est en s’appuyant sur une technologie exclusive, entièrement développée en interne. Concrètement, des appliances chez les clients remontent les données de fonctionnement. Ces ressources « edge » assurent la normalisation des données brutes, mais aussi un premier enrichissement avec des informations contextuelles issues de l’entreprise et des informations de réputation. « S’appuyer sur notre propre plateforme signifie aussi, pour le client, qu’on ne lui facturera pas les coûts de licences généralement très élevés des plateformes SIEM souvent liés au nombre d’événements ou à celui des sources de données. »
Démocratisation du SOC ? La question reste sensible tant on voit des écarts importants entre les prestataires. A entendre CSM Advens, le modèle « as-a-service » offre une véritable visibilité. Soit des services clé en main prédictibles et donc une maîtrise des coûts dans la durée. « Cette approche n’est pas pour autant un carcan. Si on prend le domaine de la détection, il n’y a pas de limite supérieure dans nos contrats quant au nombre d’incidents traités. Si l’entreprise fait face à une attaque majeure, les incidents sont bien évidemment tous traités. »
IA, abstraction, orchestration…
L’idée est bien de mettre en place un catalogue de services dans lequel l’entreprise peut choisir d’activer des services complémentaires si elle juge utile de le faire, mais l’activité forfaitaire suit quant à elle les évolutions même si volume d’attaque augmente. Ainsi, 100% des contrats de SOC signés avec les clients n’ont aucun avenant sur toute leur durée pour un même service et un même périmètre. L’entreprise a toujours la possibilité de faire évoluer le périmètre couvert par une extension de services au travers du catalogue.
CSM Advens met encore en avant vingt ans d’expérience et le développement d’une suite complète de services outillés et industrialisés « L’objectif est d’être le plus agnostique possible vis-à-vis des données qu’il est possible de collecter dans le système d’information. Notre plateforme doit être capable de ‘comprendre’ n’importe quel système d’information car chacun d’eux est différent, stipule encore Arnaud Hess. La normalisation et l’enrichissement des données permettent de créer une couche d’abstraction unifiée sur laquelle faire tourner nos modèles d’IA et nos orchestrations. »
Bien évidemment, cette normalisation est essentielle si on veut ensuite exécuter des modèles de Machine Learning. Elle permet aussi d’être beaucoup plus réactif lorsqu’il s’agit de faire face à de nouvelles menaces et mettre en place de nouvelles règles très rapidement.
Ne pas perdre la notion de « projet »
« L’enrichissement est une phase clé pour l’efficacité d’une plateforme de sécurité car l’information de base est souvent insuffisante. Une adresse IP seule ne signifie rien en termes de détection. Il est indispensable d’enrichir cette information et indiquer si cette IP correspond à l’un des serveurs de l’ERP de l’entreprise, par exemple, ou s’il s’agit d’une simple machine de test. Le niveau de criticité n’est pas du tout le même. De même, si l’entreprise met en oeuvre des ressources externes, il faut être capable d’évaluer le niveau de dangerosité de ces ressources. »
En conclusion dans « projet de mise en place d’un SOC », il y a le mot « projet » : il est essentiel de l’aborder comme tous les autres, avec une méthode et un accompagnement adaptés au contexte. Un tel projet ne s’improvise pas : c’est une étape structurante de la démarche de sécurité !
(*) Cet article est le deuxième d’une série de trois sur les services proposés par Cyber Security Management. Voir aussi :