Cyber Security & Intelligence Operations Center
Cyber Security & Intelligence Operations Center : Sécuriser la transformation numérique
Nul ne peut contester les avantages apportés à l'économie numérique par le Cloud sous toutes ses formes. Pourtant, en ouvrant comme jamais l'entreprise au monde extérieur, les technologies et les services cloud risquent d'exposer celle-ci à des problèmes de sécurité inédits ou d'une ampleur sans précédent. Le Cyber Security & Intelligence Operations Center (CSIOC) de Telindus permet de mettre en place une surveillance et des moyens d’action adaptés à cette nouvelle réalité, ainsi qu’une gouvernance et des processus autorisant une réaction rapide et efficace en cas d’alerte. La sécurité est au cœur de la stratégie de Telindus, ce qui se confirme par la récente certification ISO27001 de ses services de Cybersécurité. Olivier Trientz, Senior Sales Consultant CyberSecurity & SOC Services, et Frédéric Hauss, Responsable des opérations du CSIOC, nous en exposent la dynamique.
Quelles réalités se cachent derrière ces acronymes ?
Olivier Trientz : Le NOC - Network Operations Center - exerce une forme de monitoring afin de garantir la disponibilité du réseau, des systèmes et des communications. Sa principale fonction est d’assurer un service réseau ininterrompu. C’est avec le SOC – Security Operations Center, que l’on entre dans le domaine de la détection de comportements malicieux.
Frédéric Hauss : De manière plus formelle, on peut dire que si la sécurité des systèmes d'information repose sur quatre piliers - la confidentialité, l’intégrité, la disponibilité et la traçabilité- le NOC assure l'aspect disponibilité, alors que le SOC adresse ces quatre besoins à la fois. Quoi qu'il en soit, le NOC et le SOC se complètent et travaillent en tandem pour assurer les opérations et la sécurité de l’ICT.
Quant au CSIOC, il s'agit d'un SOC auquel on ajoute une dimension « Cyber », ce qui souligne qu’aujourd’hui à l’ère du Cloud, notre SOC ne se limite plus seulement au périmètre de l’entreprise. La responsabilité de la sécurité de celui-ci en revient donc au fournisseur de services cloud, comme c'est le cas pour Telindus.
Quant à l’ajout du « I » pour Intelligence, celui-ci anticipe la prochaine évolution.
Leur champ d’action semble légèrement varier, mais quel est leur point commun ?
F.H. : Derrière les machines il y a des hommes. Les SOC et leurs déclinaisons sont avant tout une affaire de spécialistes. En effet, même si ces services s'appuient sur de nombreuses solutions de sécurité, ils sont surtout constitués d’experts de haut niveau capables d’analyser une masse d’information pour en extraire des comportements inhabituels, et pour ceux jugés malicieux, de créer de nouveaux scénarios de détection accompagnés d’un plan de remédiation théorique qui par la suite, sera adapté à la situation réelle du client.
O.T. : L’objectif premier est d’assurer la continuité des activités et la survie de l’entreprise en cas d’incident. Pour cela, la clé est de raccourcir le délai entre une attaque et sa détection, afin de se laisser un temps précieux pour déployer le plan et les capacités de réaction et de remédiation adaptés à la menace.
Cette course contre la montre nécessite une bonne préparation, mais également un pilotage précis des indicateurs de sécurité depuis un SOC global, qui devient la tour de contrôle de la sécurité de toute l’entreprise.
Quelles formes les violations de sécurité prennent-elles à l'heure actuelle ?
O.T. : D’après notre expérience, 80% des violations de sécurité constatées aujourd’hui trouvent leur origine à l’intérieur de l’entreprise, soit via des pièces rapportées par des visiteurs ou des intervenants externes, soit par maladresse ou négligence – lorsqu'un développeur lance une application de scanning du réseau sans autorisation préalable, par exemple – soit encore par malveillance. Ces brèches de sécurité accidentelles ou intentionnelles peuvent se traduire par des fuites de données ou l’introduction d’un malware.
F.H. : Les attaques qui ont un impact important proviennent en effet de l’intérieur de l'organisation. Depuis l’extérieur, il s’agit le plus souvent d'opérations frauduleuses d’extorsion d’argent sous ces multiples formes, comme par exemple des versions revisitées de ransomware.
Ces attaques extérieures sont dorénavant très ciblées, jusqu'à ne viser parfois qu'une seule entreprise. Il peut s'agir d'attaques DDoS conduites à l'aide de botnets composés de machines zombies, ou d'attaques sans logiciel malveillant, comme dans le cas du phishing.
Sur quelles bases le CSIOC de Telindus a-t-il été créé ?
F.H. : Le CSIOC de Telindus trouve son origine dans la nécessité d’adapter la protection actuelle de notre cloud aux nouvelles cyber-menaces et aux vulnérabilités croissantes de par l’augmentation constante du nombre des équipements à couvrir. Ainsi pour améliorer notre proactivité et réactivité nous avons décidé de centraliser sous une coupole unique diverses compétences, expertises et sources d’informations disséminées jusque-là dans toute l’entreprise.
C'est là que le « I » de CSIOC - pour Intelligence, au sens renseignement du terme - prend tout son sens puisqu’il désigne notre volonté de proactivité vis-à-vis des menaces, à travers une veille continue du monde de la cybercriminalité, un univers très actif et en évolution permanente. Nous adaptons sans cesse nos scénarios de détection en fonction de cette évolution et, surtout, nous les adaptons aux activités de nos clients. Ce dernier est un élément différenciateur propre à notre approche qui est primordial pour assurer la sécurité de nos clients.
O.T. : Les entreprises qui s’adressent à nous ont déjà dépassé la question de savoir s’il est opportun de développer un SOC en interne. Cette option nécessite en effet de mettre en place toute une série d’outils qui représente un investissement conséquent en matériels comme en logiciels. De plus, il faut disposer de ressources nécessaires pour opérer une telle structure, des experts et une organisation prête à réagir 24 heures sur 24. Nos clients sont donc conscients qu’ils doivent se tourner vers un acteur externe pour assurer la sécurité de leurs infrastructures et de leurs données pour concentrer leurs ressources sur leurs activités core-business.
Telindus dispose de moyens nécessaires pour faire face à ce type de demande. Ces moyens se traduisent par la mise à disposition d’une équipe d’experts et, d’une infrastructure soit mutualisée, soit dédiée, selon les besoins des clients. C’est ce qui rend notre offre attrayante : nous sommes capables d'assurer la mise à disposition des infrastructures - hébergées dans nos centres de données de niveau Tier IV - comme des spécialistes indispensables pour garantir à nos clients la haute disponibilité de leurs systèmes d'information.
A quels types d’entreprises vos services s'adressent-ils ?
O.T. : Nos services s’adressent à des organisations de toutes tailles et de tous secteurs: assurance, finance, commerce, service, ou encore industrie.
Les premiers dossiers sur lesquels nous sommes intervenus nous ont d'ailleurs été confiés par des entreprises industrielles déterminées à se prémunir contre tout arrêt de production mais aussi contre l'espionnage industriel et le vol de secrets commerciaux.
Dans le secteur de la finance, le régulateur augmente progressivement les exigences en matière de sécurité. Dans ce contexte, quelle que soit la taille des banques, toutes doivent se conformer aux mêmes contraintes réglementaires, comme par exemple les contraintes PSF, SWIFT ou GDPR. Le caractère évolutif de l’offre de Telindus permet de dimensionner au mieux la solution à mettre en place en fonction du profil de l'institution et de ses risques métier. Nous préconisons généralement d'établir d'abord une supervision périmétrique, pour s’assurer une surveillance des communications entre l’infrastructure et le monde extérieur, et de cibler ensuite certaines applications spécifiques et/ou critiques pour l'activité de celle-ci.
Quelle est votre approche concrète sur la mise en place d'une solution de sécurité ?
F.H. : Chacune de nos missions débute par l’identification des scénarios à risque auxquels doivent faire face les clients, de l’analyse des communications réseaux et de l’architecture de l’infrastructures. Au final, l’objectif est d'établir une « Baseline » des comportements réseaux et business, qui permettra par la suite de déceler la présence éventuelle d'une anomalie. Au fil du temps, nous développons une connaissance approfondie de l'environnement de nos clients qui nous permet d'identifier tout comportement inhabituel : communications vers d'autres parties du monde ou communications internes de machine à machine, par exemple. Chaque événement est analysé pour différencier le normal de l’anormal. C'est d'ailleurs la marque de fabrique du CSIOC de Telindus.
O.T. : L'effort de proactivité qui précède toute détection éventuelle d'une anomalie est très important chez Telindus. Cela implique de comprendre les activités de nos clients ainsi que les flux de communication, d'être en relation constante avec eux et d'accompagner l'évolution de leur infrastructure et de leur parc applicatif afin d'être dans les bonnes conditions pour réagir de manière appropriée lorsqu'une alerte survient.
En plus des connaissances techniques attendues, de quelles compétences générales les membres de l’équipe CSIOC doivent-ils faire preuve ?
F.H. : La qualité primordiale que nous recherchons chez un analyste, c'est une grande capacité de communication, indispensable pour entretenir l'interactivité entre les équipes. Nos collaborateurs doivent également être capables de gérer une situation dans le stress : chez Telindus, il faut réagir à un incident en l'espace d'une demi-heure. Tel est notre engagement vis-à-vis de nos clients.
Nous avons mis en place trois niveaux d'expertise parmi nos analystes. Le SOC regroupe les spécialistes de niveaux 1 et 2. C'est l'équipe du CSIRT (Cyber Security Incident Response Team) de Telindus qui fournit nos spécialistes de niveau 3, lorsque cela s'avère nécessaire :
- Un spécialiste de niveau 1 doit être capable d'analyser une situation très rapidement afin d'effectuer un premier tri parmi les alertes. A ce niveau, les capacités que nous recherchons sont la résistance au stress, l’exactitude dans l’analyse et le sens de la communication. Un analyste de niveau 1 doit être capable de travailler rapidement et savoir quand passer la main à un niveau supérieur.
- Le spécialiste de niveau 2 a pour rôle d'analyser en profondeur les incidents qui lui sont remontés afin d'en déterminer la cause, de communiquer cette information au client et d'aider à mitiger les effets.
- Par la suite, l'équipe de forensics de Telindus, qui relève du niveau 3, peut être appelée à rechercher la root cause de l'incident de sécurité, à savoir la "cause derrière la cause".
Une équipe d'une dizaine de personnes assure ainsi une couverture à 360°, à travers les trois niveaux d'expertise, en assurant un service 24/7.
O.T. : En tant qu'intégrateur, Telindus dispose également d'une équipe d’ingénieurs réseau et sécurité bénéficiant d'une grande expérience sur le terrain et d’un large éventail de certifications techniques. Cette équipe est prête à intervenir à tout moment, de jour comme de nuit, pour aider nos clients à mettre en œuvre les mesures préconisées, qu'il s'agisse de modifier certaines configurations, de mettre en place une règle de firewall ou d'appliquer des patchs de sécurité pour contenir et réagir aux incidents chez nos clients.
F.H. : En complément de notre offre, nous proposons des services à valeur ajoutée tels que des analyses périodiques comparatives de vulnérabilités, des tests d'intrusion et Red Team, des actions de Threat Hunting destinées à identifier les attaques persistantes avancées ou les tentatives d'exfiltration de données, ou encore des campagnes de phishing, ces dernières portant plus particulièrement sur le maillon humain de la chaîne de sécurité.
A ce niveau, nous pouvons mettre en œuvre certaines tactiques de Threat Intelligence qui consiste à attirer des adversaires déclarés ou potentiels sur des ressources spécifiques sous contrôle afin d’identifier ces attaques avancées. Le but de ce leurre est de faire croire aux attaquants qu’ils peuvent prendre le contrôle d'une véritable machine de production, ce qui permet à nos experts d'observer les moyens de compromission utilisés et de prémunir l'infrastructure de nos clients contre de nouvelles attaques.
La complexité accrue qui sous-tend l'approche multicloud est-elle susceptible d'entraîner davantage de problèmes de sécurité ?
O.T. : En dispersant les infrastructures, le multicloud contribue en effet à les complexifier, ce qui accroît la difficulté d'en garder le contrôle. Les grands fournisseurs de cloud public consacrent des moyens très importants à la sécurisation de leurs services et proposent des solutions de sécurité à leurs clients. Néanmoins, ils ne sont pas là pour assurer le respect de conditions indispensables telles que l'hygiène des infrastructures, la gouvernance et les processus de sécurité ou les services de proximité. C'est là que Telindus, fort de ses capacités en matière de services managés et d'intégration, a un rôle essentiel à jouer.
F.H. : Parmi les Responsables de la Sécurité que je suis amené à rencontrer, beaucoup me disent ne pas savoir à quoi s'attendre avec l'avènement du multicloud et s'inquiètent de ne plus être capables de maîtriser toute la chaîne de sécurité de bout-en-bout. A cet égard, un acteur de confiance comme Telindus est d'autant plus précieux. En effet, en plus d'être un partenaire de proximité pour nos clients, nous entretenons depuis longtemps une relation étroite avec les grands fournisseurs de cloud public, ce qui nous donne une longueur d’avance pour protéger nos clients souhaitant faire le pas vers ce type d’infrastructure.