Le SOC est un sujet en plein expansion a expliqué Thierry Chiofalo du CLUSIF en introduction. Le SOC permet de maitriser les risques SI. Pour lui un SOC doit avoir 4 caractéristiques :
– Le choix des fonctionnalités incluant la prévention, la détection et la réaction
– Des moyens humains et des outils techniques
– Il doit être aussi adapté à son contexte
– Il doit être en perpétuelle évolution car les risques métiers changent, le contexte évolue....

SOC : les résultats tangibles doit prendre moins de 6 mois

Martine Guignard responsable du GT SOC du CLUSIF accompagné de Jean Olive de CGI
Consulting et de Jean-Marc Boursat de Devoteam ont dressé un panorama des travaux de leur groupe qui donnera lieu à la publication d’un livre blanc en début 2017. Ils ont rappelé que de nombreux participants ont collaboré à ce groupe de travail. La première constatation est qu’il y a peu de documents
sur le sujet si ce n’est ceux du Mitre et de l’ANSSI avec le PDIS et le PRIS.

Les résultats de leurs travaux montrent qu’un SOC doit répondre aux objectifs de l’entreprise en matière de protection du SI
avec des services variés allant de l’alerte jusqu’à la protection, aux alertes de vulnérabilités. Toutefois, il est clair qu’il n’est pas constitué que d’outils mais il y a des aussi des hommes. Le SOC doit avoir une fonction de prévention incluant même de la sensibilisation, de détection et de réaction. Le SOC doit participer à la phase de réaction et intervenir en support de cette étape. Le SOC doit aussi contribuer à l’administration de la sécurité car il est aussi nécessaire de le protéger. En effet, il peut être un point d’entrée d’une attaque cyber. Il doit aussi administrer les outils de détections les sondes, les SIEM...

Quant à son fonctionnement et à sa structure les travaux du GT du CLUSIF montre qu’il est nécessaire d’avoir trois niveaux en fonction des types d’attaques détectés, il faut aussi un pilotage et une reporting. De plus 4 grands processus ont été déterminés de l’administration au contrôle. Pour le CLUSIF, un SOC n’est pas seulement un SIEM même si ce dernier est un outil central. Il est bien entendu nécessaire d’avoir des outils de contrôle. Par ailleurs, il est important de mettre en place une équipe avec plusieurs types d’experts : des spécialistes des APT, des outils SIEM.... il est
préférable de réfléchir en amont aux catégories d’incidents que l’on souhaite remonter via le SOC. Au final le SOC est une transformation de l’organisation de l’entreprise qui évolue en permanence. Martine Guignard explique qu’un travail de justification de l’investissement auprès du COMEX, des équipes sécurités.... doit être fait au préalable. Cette évangélisation prend environ six mois. Par contre, il est nécessaire d’avoir des résultats tangibles en moins de dix mois. Puis des RSSI ont proposé leurs retours d’expérience.

Le support de la DG est nécessaire mais il faut aussi évangéliser le Middle Management

Pour cet industriel dans le domaine de l’automobile le SOC doit permettre la collecte des informations et de la détection de comportements suspects. Son SOC est externalisé. Pour lui le SOC est la tour de contrôle et le CERT serait un équivalant « des pompiers ». Dans son organisation, le CERT est complémentaire de la sécurité opérationnelle. Le SOC à des fonctions de prévention et de réaction. Par ailleurs son CERT est en relation avec d’autres
CERT et l’ANSSI. Pour lui le maître mot est la collaboration entre tous les services de l’entreprise. Au départ son SOC a mis six mois à démarrer. Il était constitué de deux personnes. Par la suite une cellule de veille a été mis en place qui a participé à différentes conférences de sécurité. Puis l’équipe a été renforcée au fil des années. Le label CERT a été obtenu afin d’être en relation avec d’autres CERT et d’obtenir des outils. Pour lui un SOC se construit au fil du temps et doit absolument recevoir le support de la DG. Il estime que le problème principal est la gestion des faux positifs. Il faut donc bien tuner les alertes de niveau 1 et 2 pour diminuer leur nombre. Le second problème est celui de la veille qui doit être quotidienne. En outre le forensic et la formation sont très importants. Il est nécessaire d’avoir des compétences internes en plus d’experts externes. Il faut bien sûr mettre en place une cellule de test et le tester
régulièrement. Il faut automatiser la gestion des vulnérabilités qui doit venir en complément du SOC et du CERT. Enfin un des points crucial reste la formation et la sensibilisation. Il considère que même SI la DG est sensibilisée, il est nécessaire d’agir surtout sur le Middle Management qui parfois fait de la résistance. Pour lui
les facteurs clé du succès sont tout d’abord de bien connaître ses risques, d’avoir des compétences, de gouvernance, de communication interne, de la visibilité interne, maîtriser les faux positif et avoir des relations avec les métiers. Il faut des messages simples et clairs pour sensibiliser les collaborateurs de l’entreprise.

SOC : le financement reste complexe

Pour ce RSSI issu d’un groupe dans le domaine de l’énergie présent dans plus de 70 pays la mise en place d’un SOC a fait suite en 2010 suite au piratage d’un de ces confrères. Au départ, il s’agissait de déployer un SIEM et un scan de
vulnérabilités. Le SOC a été financé par une refacturation des coûts aux business units. Au final, il note un problème sur les refacturation car les résultats du SOC sont difficiles à évaluer. Par ailleurs, suite à une analyse des autres SI du groupe avait montré que des SOC avaient été déployés comme en Belgique, au Royaume-Uni. Ils étaient
opérés par des sociétés de services comme Thales, Airbus… ou encore exploités en interne. Ainsi, il a été proposé de mettre en place un SOC transverse en Top-down avec une approche par les risques. Par la suite une adaptation des risques en fonction des BU a été réalisée. Des scénarios d’attaques ont été conçus afin de définir des règles de protection. Dans cette nouvelle version le système de
financement a été changé avec une redevance par BU. Différents modèles de SOC ont été défini : un hyper SOC, un inter SOC pour les filiales et quelques entités spécifiques du groupe, un SOC externe pour les partenaires, les clients...

Quant à la réponse à incident les systèmes de détections et réponses sont liées. Un outil a été conçu le SIRP qui permet d’évaluer les risques. Pour lui, un SOC c’est la réponse aux risques, la difficulté reste de marier les coûts et de trouver des compétences. Le groupe ayant des compétences en provenance de diverses entités le problème est de les unifier.

SOC : outil de sensibilisation

Pour cet autre industriel un SOC met en œuvre de nombreuses parties prenantes, l’équipes SOC, l’exploitation, les responsables des services rendus, les RSSI et les équipes sécurité, les responsables métiers, les centres de support... Pour lui, le pilotage doit être assuré par le RSSI et la DSI. Dans tous les cas le COMEX doit voir des résultats rapides.

La première question qui se pose est la détermination du périmètre du SOC en fonction des objectifs de l’entreprise. Puis vient le choix des équipements nécessaires à la détection en prenant en compte les indications sur SI, les règles de conformité...

En outre, il faut déterminer les menaces que l’on veut prendre en compte. Quels sont les impacts des menaces ? Comment les détecter ? Qu’elles sont les réponses à ces menaces ?… sont les questions à se poser avant la mise en place du SOC. Il doit préparer à la gestion des incidents. Selon lui un SOC est un outil pour détecter les APT mais ces attaques sont plutôt occasionnelle comparer à ceux lié à
l’hygiène informatique. Il doit être une aide à la sensibilisation de l’hygiène informatique. Puis. Il a cité des exemples de détections d’incidents récents.

Dans le premier cas des administrateurs lançaient des scans réguliers pour découvrir le réseau. Cette action gênerait beaucoup de bruit ce qui provoquait des faux positifs. Des utilisateurs se servaient d’outils de prises en mains à distance de type Goto Webinar, Webex… qui étaient interdits. Des administrateurs généraient de nouveaux mots de passe pour se connecter.

Dans un autre cas, suite à une première attaque de ransomwares il y avait eu 22000 utilisateurs immobilisés. Après la mise en place du SOC le même genre d’attaque n’a eu que peu d’effet.

SOC : outil de sécurité indispensable aujourdhui

Lors de la table ronde animée par Jean-Marc Gremy, Martine Guignard a insisté sur le nombre de faux positifs détectés par le SOC au début de sa mise en place. Par contre, par la suite ce nombre a été tellement réduit, qu’il a pu dans certains cas remettre en cause la pertinence du SOC. Pour ce RSSI d’un groupe financier, il est sûr que lorsque l’on prend un prestataire externe, il faut mettre en interne des personnes qualifiées qui connaissent bien le SI. Pour cet autre RSSI du domaine de la santé qui a un SOC interne du côté contexte on gagne du temps, par contre du côté réponses aux incidents tout dépend de la charge de travail.

Mathieu Hentzien de
l’ANSSI estime que le SOC est le seul outil qui permet de détecter le plus en avant possible des attaques. C’est pour cela que l’ANSSI a émis le PDIS, a qualifié des prestataires de confiance. Ainsi, l’agence partage des informations avec ces prestataire, les OIV....

Quant au Cloud, cette technologie complique la protection. Pour cette autres RSSI il estime qu’il y a des utilisateurs qui louent des services Cloud, mais il ne l’administre pas... ce qui génère bien entendu des risques. Ce troisième RSSI a sa messagerie dans le Cloud qui est à l’origine de nombreux problèmes. Il a donc mis des outils internes de surveillance.

Selon Mathieu Hentzien, il faudrait former des opérateurs de SOC car c’est un métier à part entière.

Au final, tous les experts présents estiment qu’un SOC est un outil de sécurité indispensable aujourd’hui.