Le CyberSOC, un centre opérationnel pour la détection d'incidents de sécurité

La seule protection périmétrique des réseaux et systèmes d’information des entreprises a vécu. Si la mise en place de barrières filtrantes entre l’entreprise et le monde extérieur et en particulier l’internet (avec filtrage du traffic, détection de virus ou malware, etc ...) reste un élément de protection indispensable, elles ne garantissent pas, à elles seules, l’entreprise contre l’ensemble des menaces informatiques sur la disponibilité, l’intégrité et la confidentialité des données sensibles de l’entreprise. Voici pourquoi.

1. Les attaques sont de plus en plus complexes et peuvent passer à travers les protections classiques.

2. L’ouverture croissante sur le monde extérieur est devenue inéluctable.
Avec la mobilité des employées, la nécessité d’échanger avec ses clients et ses fournisseurs, le consumérisme croissant sur internet, il devient par conséquent de plus en plus complexe de protéger son système d’information.

3. Parce que, et ce n’est pas la moindre raison, la menace peut venir de l’intérieur, notamment par l’action volontaire ou involontaire d’employées de l’entreprise.

Dans ce contexte, il est devenu impératif de compléter le dispositif de protection périphérique par un système de supervision de l’activité malveillante jusqu’à l’intérieur même du réseau de l’entreprise. Tel est précisément l’objectif du CyberSOC : superviser en temps réel les biens critiques de l’entreprise et détecter toute action pouvant compromettre leur sécurité.

Comment ça marche ?

Le CyberSOC a pour mission première de superviser le système d’information de l'entreprise et de détecter rapidement tout incident de sécurité. Pour cela, il récupère en temps réel des données (en règle générale des logs d’équipements) sur l’ensemble du Système d'Information.

L’ensemble de ces données sont corrélées entre elles (et parfois avec des données extérieures, comme par exemple des listes d’URLs malveillantes) selon des scénarios de détection pré-définis correspondant à des attaques redoutées. Cette corrélation est également faite en temps réel et si les éléments collectés correspondent à un des scénarios connus, une alerte est immédiatement envoyée au CyberSOC pour analyse et traitement. On appelle SIEM (Security Information & Event Management), l’outil permettant de réaliser ces corrélations en temps réel.

Prenons l'exemple d’un serveur contenant des informations sensibles dont l’accès est restreint à certaines personnes de l’entreprise. Dans la construction des scénarios de détection, le CyberSOC va s’intéresser non seulement aux logs du serveur concerné (l’utilisateur est-il autorisé à accéder au serveur et est-il correctement authentifié ?) mais également à l’ensemble des logs permettant de reconstituer le comportement de l’utilisateur accédant aux données.

L’utilisateur a-t-il accédé à ces informations depuis son poste de travail, par un cheminement classique ou via rebond sur d’autres équipements ? Est-il  en mobilité (depuis l’étranger ?), a-t-il essayé au préalable d’accéder à d’autres serveurs de façon répétée ?

On touche ici un point clé de l’activité du CyberSOC, car pour être efficace, le CyberSOC doit avoir une connaissance précise des biens sensibles de l’entreprise mais aussi de la façon dont ces biens sont utilisés (ou supposés l’être), c’est à dire le "qui, quoi, quand, où, comment ».

Les missions du CyberSOC

En premier lieu, le CyberSOC intervient dans la modélisation du système de détection. Ce système sera décomposé en autant de macro-scénarios (que nous appellerons use-cases) qu’il y a de risques identifiés. A cet égard, il est essentiel de procéder en amont à une analyse de risque qui permettra de définir les scénarios de menaces puis les scénarios de détection.

Une fois les use-cases modélisés, il est nécessaire de les faire « tourner » en conditions réelles pendant quelques semaines afin d’affiner les scénarios et diminuer le nombre de faux positifs (alertes ne correspond pas à un incident réel). A ce stade, seul un rapport est généré lorsqu’une détection est réalisée. Cette étape permet notamment de confirmer ou pas le comportement attendu des utilisateurs (avec souvent quelques surprises). Lorsque cette phase de « tuning » est terminée, le use case est mis en opérationnel et déclenche alors une alerte lorsque le cas modélisé est rencontré.

Le CyberSOC assure une supervision des incidents de sécurité en 24x7. Lorsqu’une alerte est reçue, un opérateur relève l’alerte et crée un ticket d’incident. Il réalise ensuite une première qualification et analyse en s’appuyant sur des fiches réflexes définies pour chaque use-case.  

Selon les cas, le ticket d’incident pourra être traité de façon autonome par l’opérateur ou devra être transmis aux analystes sécurité pour analyse détaillée.

Les analystes sécurité travaillent en relation étroite avec les équipes qui gèrent les équipements ou le périmètre concerné. Ils apportent assistance et conseils aux équipes pour procéder aux analyses sur site ou remédiations. Ils peuvent également demander aux équipes techniques de procéder à des prélèvements pour compléter leur analyse. Ils n’interviennent généralement pas directement dans la remédiation. Ils peuvent être en relation avec des équipes techniques pour arrêter ou filtrer une attaque ou s’appuyer sur une équipe spécialisée dans la réponse à incidents (CSIRT - Computer Security Incident Response Team).

Les analystes Sécurité peuvent également s’appuyer sur des experts Sécurité pour des incidents complexes nécessitant par exemple une analyse approfondie, un rejeu en plateforme de tests ou une expertise spécifique.

La modélisation d’un système de détection doit être vue comme un système dynamique. Les menaces évoluent, le périmètre supervisé également et le système de détection doit s’affiner avec le temps. Il est donc impératif d’avoir un processus d’amélioration continue. Ce processus inclut la revue régulière des incidents passés mais également celle de l’efficacité du modèle de détection en place.

L’organisation du CyberSOC

L’organisation du CyberSOC doit permettre de répondre à ses différentes missions. Pour la phase de RUN, le CyberSOC s'organise, de façon classique, en 3 couches distinctes :

  • Le niveau 1 (opérateurs) relève les alertes et fait un premier diagnostic.
  • Le niveau 2 (analyste sécurité) réalise l’analyse détaillée des alertes, communique vers les équipes concernées, accompagne le traitement des incidents et, dans quelques cas, peut mettre en place des remédiations.
  • Le niveau 3 (experts sécurité) prend la relève du niveau 2  pour les analyses approfondies ou nécessitant une compétence pointue. Le niveau 3 est également impliqué en phase de Build pour la modélisation des use-cases. En s’appuyant sur l’analyse de risques, il va proposer et implémenter les uses-cases  en s’appuyant notamment sur un catalogue de use-cases couvrant de nombreuses menaces. Si le use-case n’est pas déjà présent dans le catalogue, il est en charge de le développer pour répondre au besoin spécifique. 

Enfin, Le Security Manager est le chef d’orchestre du processus d'amélioration, en pilotant l’efficacité du modèle de détection et en proposant des améliorations. Il peut proposer de créer de nouveaux use-cases, d’en supprimer ou de procéder à des améliorations.

Les services CyberSOC

Le cœur de l’activité du CyberSOC est la mise en œuvre et le pilotage de solutions de supervision sécurité s’appuyant sur une solution de SIEM (à base de corrélations). Toutefois, le CyberSOC s’intéresse à tout service permettant d’identifier un incident de sécurité. A ce titre, il peut ainsi intervenir de façon ciblée pour superviser les incidents remontés par des sondes de détection d’intrusion, des systèmes de filtrage applicatif, des sondes de détections d’attaques DDoS (attaques visant à rendre indisponible des serveurs, web par exemple) ou même des scanners de vulnérabilités. Le champ des possibles est très large … autant que l’imagination des attaquants eux-mêmes.

Franck

Pour aller plus loin

Computer Emergency Response Team : qu'est ce qui fait l'efficacité d'un CERT ?
Pour tout savoir sur les tendances 2016 de la cyberdéfense en 120 secondes
Orange Cyberdefense protège vos essentiels
Cloud Access Security Brokers (CASB) : le nouvel eldorado de la sécurité ?

Franck Ollivier

Ingénieur de formation, certifié CISSP, je travaille depuis plus de 15 ans dans le domaine  de la Sécurité informatique. J’ai pu en explorer différentes facettes, travaillant successivement sur l’étude de produits, la configuration et le déploiements de Solutions de Sécurité et sur la mise en place de structures opérationnelles pour opérer de telles solutions. Je suis aujourd’hui responsable des Opérations sur des services de Sécurité Managés