Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Détecter et réagir : oui mais comment ?

octobre 2014 par Emmanuelle Lamandé

Détection et Réaction sont au cœur des nouvelles stratégies de cybersécurité des grandes organisations. Si l’ensemble de la communauté s’accorde sur l’importance de ces actions, il est aujourd’hui encore difficile de savoir comment se structurer et s’outiller efficacement. Dans ce contexte, quelles tâches peut accomplir le SOC ? Comment doivent-elles s’articuler avec les activités du CERT ? Qui doit réagir et en mobilisant quelles forces vives ? Gérôme Billois, Senior Manager, Risk Management et Sécurité, et Matthieu Garin, Manager au sein de la practice Sécurité & Risk Management, Solucom, répondent à ces interrogations à l’occasion de la 14ème édition des Assises de la Sécurité.

Les SOC et les CERT sont les deux piliers de la tour de contrôle du modèle de sécurité « aéroportuaire » désormais privilégié (vs modèle du château fort). Pourtant, le SOC se retrouve encore trop souvent isolé et désarmé. Son périmètre de surveillance est généralement trop large et mal ciblé, sans compter le manque de compétences ou de sponsoring qui peut venir encadrer ce type d’activités. Un CERT, quant à lui, s’il n’a pas les moyens d’agir est synonyme d’une mauvaise visibilité du SI…

De nombreuses questions se posent alors. Mais la question majeure que doivent se poser les entreprises est : « Contre quelles menaces je veux lutter ? ». C’est cette interrogation et la réponse associée qui doivent venir driver la stratégie de détection et de réaction de l’entreprise. Il faut, de plus, que le service de détection et de réaction soit adapté aux différents types de menaces : diffuses, opportunistes et ciblées.

Cinq principaux défis se posent, selon eux, en la matière :

Premier défi : comment définir et déterminer ce service de détection et de réaction ?

La question est de savoir quelles activités on veut inclure dans ce service ? Vient ensuite le moment de l’organisation et de la détermination de « Qui fait quoi ? ». Cependant, l’entreprise ne doit pas tomber dans le piège de la cartographie, qui serait de créer deux structures, SOC et CERT, ne collaborant pas suffisamment ensemble. Le but est de mettre sur pied une structure commune et complémentaire : par exemple, c’est au CERT de guider le SOC. Ce dernier a, quant à lui, un rôle de relai de communication, d’indicateurs auprès du CERT…

Deuxième défi : savoir légitimer le service dans l’organisation

Il s’agit ici de montrer la pertinence du service, mais aussi d’éviter la dégradation de la qualité de ce dernier dans le temps. Pour ce faire, il convient entre autres de maintenir à jour les règles de détection, de se tester régulièrement via des audits intrusifs et d’effectuer des exercices de crise en conditions réelles avec les métiers et la DSI. L’objectif est également de créer une marque forte, et de montrer les apports du service en communiquant largement et en ancrant ce service dans l’organisation.

Troisième défi : comment mieux surveiller ?

Afin d’améliorer le processus de surveillance, l’entreprise peut y intégrer un certain nombre de catégories d’outils, permettant par exemple de systématiser la collecte des journaux, d’investiguer a posteriori… Elle peut également définir un top 10 des applications les plus exposées ou les plus sensibles. Pour être efficients, les efforts de surveillance doivent, de plus, être concentrés.

Quatrième défi : comment bien réagir en cas d’incident ?

En cas d’attaque, il faut avant toute chose déterminer un plan de défense. Toutefois, l’entreprise doit aussi savoir rester discrète lors de la détection de l’attaque afin que l’attaquant ne sache pas systématiquement qu’elle a été identifiée.
L’entreprise peut également agir sur les moyens utilisés pour l’attaque (demande de fermeture du site à l’hébergeur ou des noms de domaines, filtrage en amont…), analyser les actions des attaquants (observation des attaques réalisées, utilisation de faux serveurs…), les duper ou les ralentir (envoi de fausses informations…). Il convient, en outre, de neutraliser l’attaquant en respectant le cadre juridique, et ne pas le faire de sa propre initiative.

Cinquième défi : comment rendre le service compréhensible pour le métier ?

Sur cet aspect, Gérôme Billois et Matthieu Garin conseillent la création de la CBAT (Cybersecurity Business Analysts Team). Il s’agit d’une équipe, de 1 à 3 personnes selon la maturité du service, en charge de faire le lien entre le business (la direction et les métiers) et le service de détection et de réaction. C’est également le CBAT qui fera le liant en cas de crise, la coordination des plans d’action transverses, mais aussi la définition des nouveaux comportements à surveiller…

Pour les entreprises n’ayant pas les ressources nécessaires à la mise en œuvre de ce type de service, l’externalisation peut avoir un réel intérêt pour tout ou partie de ces activités. Il existe d’ailleurs en la matière de nombreux prestataires MSSP fournissant ce genre de services.

PDIS et PRIS : deux référentiels de qualification des prestataires de l’ANSSI

Afin d’accompagner les entreprises dans ce choix, l’ANSSI a développé deux référentiels de qualification des prestataires : PDIS (Prestataires de Détection des Incidents de sécurité) et PRIS (Prestataires de Réponse aux Incidents de Sécurité), explique Yann Tourdot, du Bureau Qualifications et Agréments de l’ANSSI.

Chaque référentiel d’exigences de l’ANSSI est publié, dans un premier temps, pour appel public à commentaires, puis testé en conditions réelles lors d’une phase expérimentale. PRIS est actuellement publié pour appel à commentaires, et le sera jusqu’au 31 octobre. La publication du référentiel PDIS se fera, quant à elle, au mois de décembre prochain pour appel à commentaires, puis appel à participation lors d’une phase expérimentale.

Enfin, l’ANSSI recommande aux entreprises de demander à ses prestataires de s’engager dans un processus de qualification, de consulter le catalogue de prestataires certifiés sur le site de l’ANSSI, mais aussi d’exiger dans les contrats et appels d’offres que leurs prestataires soient qualifiés…


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants