• Print
  • Decrease text size
  • Reset text size
  • Larger text size
01/18/2016

Le SOC, un dispositif en pleine évolution

Après avoir longtemps été considéré comme une forteresse, le système d’information d’une entreprise s’apparente aujourd’hui à un aéroport dans lequel tout le monde peut entrer et sortir mais avec des restrictions tant au niveau des droits que des accès. Cette ouverture associée à l’évolution dynamique des menaces expose les entreprises à un risque sécurité SI permanent.
Selon les entreprises et pour faire face à ces menaces, des règlementations  (françaises et européennes) sont imposées : obligation CNIL de localisation des données à caractère personnel en Europe, réglementation sur le paiement par carte bancaire (PCI-DSS), loi de programmation militaire pour les Opérateurs d’Importance Vitale (OIV) leur imposant une sécurité et un contrôle accrus de leurs systèmes les plus critiques.
Face à la croissance constante des besoins, la sécurité SI statique n’est plus suffisante. Les entreprises doivent évoluer vers une sécurité dynamique, incarnée aujourd’hui par le Security Operation Center, le SOC.

Qu’est-ce qu’un SOC ?

Le SOC (Security Operation Center) est un dispositif de supervision et d’administration de la sécurité SI permettant de détecter, d’analyser les menaces internes et externes et de répondre aux intrusions dans le SI.

Le SOC a quatre composantes :

L’objet de cet article est de présenter pour chaque composante du SOC, les pratiques actuelles, leurs limites et proposer les meilleures pratiques tirées de notre expérience sur le sujet.

La gouvernance

La gouvernance consiste à :

  • Définir la mission et le périmètre des actifs  à mettre sous contrôle ;
  • Structurer le SOC ;
  • Définir le niveau d’autorité du SOC et ses modalités d’accès aux ressources.

Sur le marché, nous constatons un niveau global de maturité assez faible de la part des entreprises sur cette composante du SOC.

1. La mission et l’autorité du SOC ne sont pas toujours clairement définies.

Sans mission claire, le SOC ne priorise pas ses actions et échoue à protéger le périmètre des actifs sensibles de l’entreprise ; ce qui a un impact sur sa plus-value et son image. Sans autorité clairement définie, le SOC ne peut pas être réactif sur les incidents nécessitant soit des décisions radicales (arrêt ou maintien de l’activité) soit un accès étendu aux ressources.
Le périmètre, le niveau d’autorité et la mission du SOC doivent être définis (à l’initialisation du SOC) par le sponsor, le RSSI et les métiers concernés. Le SOC doit constamment communiquer sur sa mission au sein de l’entreprise afin de se positionner vis-à-vis des autres acteurs directs et indirects de la sécurité SI et de garder une bonne visibilité au sein de l’entreprise.

2. Bien qu’ayant besoin d’un SOC, certaines entreprises hésitent à le mettre en place pour des raisons économiques.

Le SOC est un sujet global qui nécessite une bonne maturité sur toutes ses composantes. Dans son étude «State of Security Operations 2015», HP montre qu’il faut en moyenne 3 ans à une entreprise avant d’atteindre un niveau de maturité acceptable. Il s’agit donc d’un investissement à moyen terme. Le RSSI peut avoir des difficultés à justifier un retour sur investissement aussi long sachant que la tendance est à la réduction des coûts informatiques. De plus, le risque auquel est exposée l’entreprise n’est pas toujours suffisamment élevé pour justifier un investissement important.
Les entreprises peuvent initier la démarche en se tournant vers une mutualisation de leur SOC avec d’autres entreprises ayant des besoins similaires ; ce qui permet notamment de réduire les barrières à l’entrée, en partageant les coûts, les compétences et leurs expériences sur le SOC.
Cette démarche peut aboutir à terme à la création d’un CERT (SOC matures labellisés produisant à destinations des entreprises et des administrations des alertes et des réactions aux attaques informatiques) par la mise en place d’une démarche d’amélioration continue sur le SOC. Le CERT-IST est par exemple parti de la création d’un SOC mutualisé par ALCATEL, ELF, CNES et France Telecom.

Les processus

Les processus du SOC sont spécifiques à la supervision et à l’administration de la sécurité SI. Ils ont pour objectif :

  • D’assurer la supervision du SI, la détection et la résolution des incidents de sécurité ;
  • D’apporter des améliorations au SOC sur la base de l’évaluation de ses processus, de l’évolution des menaces et des évolutions réglementaires.

 Une collaboration poussée et un changement de paradigme pourraient améliorer l’efficience du SOC :

1. Selon Gartner (dans son étude du marché du SIEM sortie en juillet 2015) 92% des intrusions ne sont pas détectées par les entreprises.

La détection des intrusions :
a- Débute par l’analyse des logs d’exploitation. Seule une taille critique permet d’identifier des éléments anormaux pouvant être des indices d’attaques ;
b- Se fait grâce à des ressources qualifiées ayant la capacité d’interpréter ces éléments anormaux ;
c- Est facilitée par une collaboration avec des SOC matures ayant déjà répertoriés ces éléments anormaux communément appelés « marqueurs ».

Peu de SOC disposent du niveau de maturité nécessaire à la détection effective des intrusions. Selon HP, les SOC les plus matures commencent seulement à mettre en place des équipes de recherche des intrusions dans leur SI. Toutefois, la collaboration avec des CERT permet de faciliter les travaux de détection.
Le SOC se doit de mettre en place une démarche d’amélioration continue et de tirer profit de la capitalisation des CERT et des prestataires dédiés en matière d’identification et de détection des intrusions dans le SI.

2. Les SOC doivent améliorer significativement leur réactivité.

Les processus de gestion des incidents de sécurité ne sont pas toujours documentés et partagés à l’échelle de l’entreprise. L’hétérogénéité des pratiques qui en résulte, impacte négativement les performances du SOC.
Un changement de paradigme est par ailleurs observé au niveau des SOC les plus matures. Les équipes SOC en front office ne sont plus uniquement limitées à la détection des incidents, elles ont désormais la capacité de circonscrire les incidents dès leur détection. Le Big Data et les outils UBA (User Behaviour Analysis) permettent désormais de réaliser des analyses précises sur un volume important de données dans des délais courts. Ces analyses s’appuient sur des processus bien documentés et les alertes du CERT. Cette évolution du SOC augmente significativement son ROI. Toutefois, les activités de détection étant chronophages, cette évolution doit être encadrée.
Le SOC doit avoir des processus formalisés et partagés à l’échelle de l’entreprise.  La responsabilisation accrue des équipes front office doit se limiter au SOC matures.

La Technologie

La technologie regroupe l’ensemble des moyens techniques utilisés pour rassembler, harmoniser, corréler, stocker et faire un reporting sur les événements de sécurité. La plateforme logicielle principale du SOC est le SIEM (Software Information Event Management). C’est un outil de gestion des évènements du système d’information.

Les UBA sont de nouveaux outils complémentaires du SIEM qui permettent de détecter des comportements malveillants des utilisateurs. Le marché du SIEM est un marché mature et très compétitif qui a affiché une croissance de 14% en 2014. Il a été estimé à 1,69 Milliards $ (Gartner).

La technologie est la composante du SOC la plus mature, toutefois l’utilisation des outils peut être optimisée :

Les outils du SOC ne sont pas utilisés au maximum de leur capacité.

Au-delà de l’alignement des besoins avec les fonctionnalités de l’outil, se posent 3 questions principales :

1. Intégration des outils dans l’architecture SSI :
Le SOC fonctionne à partir de données éparses collectées, rassemblées et harmonisées. Il est un révélateur de la maturité du SI de l’entreprise.  Etant un dispositif spécifique, il permet de mettre en évidence des incohérences au niveau des référentiels ou des problèmes de configuration invisibles auparavant.
Après la mise en place du SOC, les entreprises peuvent être amenées à réaliser un gros travail d’homogénéisation des référentiels pour pouvoir utiliser au mieux la capacité de leurs outils SOC.

2. Enrichissement des cas d’utilisation :
Une fois mis en place, le SIEM génère des « faux positifs » qui ne peuvent être traités automatiquement. Le temps de traitement (manuel) de ses faux positifs peut être très important, empêchant  ainsi de détecter de vrais incidents de sécurité.
Les entreprises doivent enrichir les cas d’utilisation des éditeurs afin d’adapter les outils à leur réalité.

3. La compétence technique et outil des équipes :
Plus les équipes ont une bonne connaissance de l’architecture SSI et des outils plus elles sont productives. Cette productivité peut être renforcée par une collaborative effective avec un CERT et facilitée par un nombre limité d’outils.
L’entreprise doit investir dans la formation de ses analystes SOC et disposer d’un abonnement CERT.

L’équipe

L’équipe SOC est constituée d’experts hautement qualifiés qui définissent et mettent en place des processus et procédures permettant de faire face et de réduire le risque sécurité SI. Ils sont également responsables de la gestion des incidents de sécurité SI.

Les entreprises peinent à trouver et conserver des ressources qualifiées :

Le sujet du SOC est encore nouveau et n’est pas encore largement adopté par les entreprises. En conséquence, les compétences sont rares.

En outre, selon HP, les équipes les plus performantes sont celles qui disposent de ressources polyvalentes. En effet, les analystes outre les problématiques du SOC sont au contact des autres équipes sécurité SI de l’entreprise et des équipes risques et conformité notamment. Ils doivent donc disposer des connaissances nécessaires afin d’interagir efficacement avec elles.

Les entreprises sont amenées à développer leurs compétences internes par la mise en place d’un dispositif de formation. Celui-ci ne doit pas se limiter aux aspects techniques et aux équipes du SOC. Il doit aussi permettre de sensibiliser les autres équipes aux problématiques SI.

Pour garder les ressources, les entreprises doivent les faire progresser en développant leur polyvalence et en mettant en place un plan de formation et de certification.

Conclusion

La loi de programmation militaire qui s’applique surtout aux OIV va permettre de rehausser globalement le niveau de maturité des SOC français. En effet, les besoins induits par cette réglementation font déjà évoluer l’écosystème du SOC par la création, par l’ANSSI de deux nouveaux référentiels destinés aux prestataires : « PDIS » (Prestataire de détection des incidents de sécurité) et « PRIS » (Prestataire de réponse aux Incidents de sécurité). Compte tenu de la criticité des prestations, les exigences portées par ces référentiels s’appliquent à la fois au prestataire, à ses analystes et aux processus.

L’ANSSI devient moteur dans le développement de normes et de procédures de sécurité qui s’imposeront aux prestataires et donc aux entreprises et va mener à terme vers une nouvelle génération de SOC.

 

Koffi Tanoh - Senior Consultant -

0 comment
Post a comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
Image CAPTCHA
Enter the characters shown in the image.
Back to Top