Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Maillage de cybersécurité, le CyberSOC comme levier de réduction du coût des cyberattaques

septembre 2022 par Laurent Besset, Directeur du Pôle Cyberdéfense I-TRACING

Couplée à la digitalisation des flux financiers et aux nouveaux écosystèmes Cloud, l’évolution des menaces a mis à mal les politiques de sécurité très centralisées des organisations. Cette approche traditionnelle de la cybersécurité, très silotée et « top-down », est aujourd’hui remise en question avec l’apparition du concept de cybersecurity mesh ou maillage de la cybersécurité proposé par le cabinet Gartner, dans son rapport Top Tech Trends 2021. Du concept à la réalité opérationnelle, un CyberSOC moderne s’inscrit parfaitement dans ces nouvelles stratégies visant à limiter l’impact et le coût des cyberattaques.

La sécurité centralisée laisse entrevoir ses limites

En quelques années, les cyberattaques sont devenues l’un des principaux risques pesant sur les entreprises. S’il est difficile d’estimer leur coût global, certains indicateurs plus parcellaires donnent une idée de leur impact. A titre d’exemples la rançon moyenne est passée de 50 000 à plus de 200 000 dollars sur les 3 dernières années, et le revenu annuel dépasse (largement) la centaine de millions de dollars pour les plus gros groupes ransomware Cette tendance reflète avant tout la digitalisation de nos sociétés et de nos économies. Les cybercriminels ne font que suivre l’argent. Elle est aussi due à l’évolution des infrastructures et architectures IT qui sont plus ouvertes, complexes, distribuées, pour ne pas dire fragmentées par le move-to-Cloud et les nouveaux modes de travail. Elles offrent ainsi d’autant plus de points d’entrée aux attaquants et rendent caduques les stratégies traditionnelles de cyberdéfense, pensées pour des modèles informatiques plus centralisés et silotés.

Le maillage de la cybersécurité comme réponse

Pour s’adapter à ce nouveau contexte et apporter une réponse à ces nouveaux défis, les experts - le cabinet américain Gartner en tête - proposent aujourd’hui aux entreprises d’adopter une approche dite de maillage de la cybersécurité (ou cybersecurity mesh). Elle vise à implémenter des solutions suffisamment interopérables pour supporter une gouvernance et des processus opérationnels unifiés sur l’ensemble des actifs des environnements hybrides ou/et multi-Clouds. L’idée est de simplifier la collaboration entre les différents contrôles de sécurité autour de quatre piliers. L’analyse des cyberattaques avec un renseignement avancé sur les menaces et des informations sur celles en préparation, permettant d’ajuster les mécanismes de détection et de réponse de l’entreprise. Une couche d’abstraction IAM (Identity and Access Management) afin d’orchestrer de multiples domaines d’identité sur de multiples Clouds. Une posture de sécurité homogène, avec des règles et procédures identiques appliquées sur des environnements qui ne le sont pas d’un point de vue technique. Enfin, avec des vues unifiées sur les rapports et tableaux de bord pour surveiller les actifs ou les indicateurs alimentant la gouvernance de la cybersécurité.

Bien renseigné, le CyberSOC moderneau cœur du maillage

L’approche du Gartner se veut novatrice et l’est, mais elle remet aussi en lumière des notions déjà bien connues des spécialistes de la sécurité opérationnelle. Disposer de sources de renseignement de bonne qualité sur les menaces est par exemple devenu indispensable pour toute structure de détection et de réponse aux incidents de sécurité. Les flux et autres portails CTI (Cyber Threat Intelligence) servent aussi de support à certaines règles de détection et viennent enrichir les processus d’analyse. L’intérêt croissant pour la matrice ATT&CK de MITRE mis en place en 2013 afin de décrire et de répertorier les comportements adverses en fonction des observations réelles, illustre également bien la volonté du SOC d’aujourd’hui à apprendre des dernières attaques et, plus largement, utiliser la perspective de l’attaquant pour structurer ses activités.

Interopérabilité et orchestration comme atouts

De même, la logique d’interopérabilité est au cœur du travail d’orchestration et d’automatisation réalisé depuis plusieurs années sur les plateformes SOAR (Security Orchestration, Automation and Response). Ces dernières permettent aux SOC de mettre en œuvre une détection fondamentalement multicanal, en s’interfaçant par API, bien au-delà des SIEM et EDR, avec tous les outils capables de générer des signaux pertinents : sondes d’analyse du trafic réseau, CASB (Cloud Access Security Broker), CSPM (Cloud Security Posture Management), passerelles de sécurité de la messagerie, boutons anti-spam, etc. Elles permettent également d’automatiser des actions de mise en sécurité et de remédiation sur la plupart des infrastructures et services IT, rendant les processus de réponse indépendant des différentes technologies retenues. Une adresse IP découverte malveillante pourra par exemple être blacklistée automatiquement sur l’ensemble de la périphérie (firewalls, proxies,DNS, etc.), mais également sur les terminaux disposant d’une capacité locale de filtrage.

Dans cette logique de détection et de réponse étendue, le Extended Detection Response (XDR), cher aux éditeurs de sécurité, positionne naturellement le SOC au cœur des stratégies de maillage. Quant à savoir si le maillage de cybersécurité tient sa promesse de réduction d’impact des cyberattaques, à défaut de conclure définitivement, il est difficile d’envisager qu’un SOC qui détecte plus tôt et met en sécurité plus vite aille dans le mauvais sens.


Voir les articles précédents

    

Voir les articles suivants