Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Paris Tech For Cyber 2019 par Advens : le SOC a le vent en poupe !

septembre 2019 par Marc Jacob

Cette nouvelle édition des Tech For Cyber a réuni plus d’une centaine d’utilisateurs RSSI, DSI… venu découvrir de nouvelles technologies autour du SOC. L’événement a été aussi l’occasion pour Advens d’annoncer le lancement du bateau Advens For Cybersecurity de Thomas Ruyant en vue du prochain Vendée Globe.

David Buhan DG d´Advens a introduit cette journée en rappelant la signification d’Advens qui vient du latin Avancer ensemble. Le choix de ce nom a plusieurs raisons : aider les entreprises à avancer dans la protection de leurs Asset, mais aussi de faire découvrir de nouvelles technologies en étant au côté des starts up innovantes... les Tech for Cyber ont été organisées avec le concours de Vectra IA,Proofpoint,Yogosha, Cybereason, Rapid7 Alsid, Ilex, Pablo Alto avec la marque Prisma.

Advenus est aujourd’hui fort de 200 collaborateurs en France avec des présences à Lille, Paris, Lyon... et prochainement à Nantes. L’objectif est d’atteindre 500 personnes dans trois ans. Advens a été récompensée par Silicon pour sa solution de SOC. En outre Advens a passé le jalon J1 de l’ANSSI pour certifier son SOC. Advens est aussi référencé par le C.A.I.H. dans le domaine de la santé pour son SOC et sa Security-As-a-Service Factory et a été retenu par le Ministère de La Défense via le groupement ACARO.

IGA Dominique Luzeaux Ministère des Armées a témoigné de son expérience en tant que client d’Advens. Pour lui, la cyber est une affaire de défense et maintenant d’attaque. On a donc mis en œuvre des capacités de défense et de résilience mais aussi offensives. Pour lui, la cyber est un problème de souveraineté numérique avec aujourd’hui des actions à mener en particulier au niveau de la DIRISI. qui représente 25% du budget de l’armée hors armement donc tous les achats de logiciels et de prestations intellectuelles. Advens est rentrée l’an dernier dans le programme ACARO qui comprend 5 prestataires de services. Dans ce programme les 5 entreprises sont solidaires des prestations a effectuées. L’intérêt d’ACARO est la fédération des 5 entreprises pour avancer ensemble dans un partenariat entre le public et le privé. C’est comme cela que l’on pourra construire la souveraineté numérique a affirmé Dominique Luzeaux. Dans cet objectif, les éditeurs français réunis autour d’Hexatrust travaillent avec les intégrateurs du projet ACARO... l’étape suivante est de construire le marché européen de la cyber avec les autres pays dans les années à venir afin d’atteindre une compétence au niveau européen.

Sylvain Cortes Alsid et Arnaud Besna de Palo Alto Networks

Le zéro Trust nouveau concept de la cybersécurité

Puis la journée s’est poursuivie avec l’intervention de Sylvain Cortes Alsid et Arnaud Besna de Palo Alto Networks sur le thème du zéro Trust.

Aujourd’hui le problème de la cyber est d’avoir confiance en un système. Ainsi, la confiance est une faille en tant que tel. Le concept de zéro Trust est justement de ne pas faire confiance par défaut aux équipements et aux applications. Dans ce concept tout est suspect et doit donc être inspecté. On a une surface à protéger avec autour un micro périmètre à surveiller et en plus des points de contrôles pour adresser des alertes. On a donc différents Assets qui vont être contrôlés élément par élément pour obtenir une sécurité globale avec des outils, différents. Ainsi, Palo Alto proposait à l’origine un firewall Next Gen puis a évolué vers Prisma qui permet via la technologie de zéro Trust. Avec Prisma il est possible de contrôler les droits d’accès. Palo Alto a lancé la marque Cortex qui permet de vérifier les comportements sur les end point. Prisma Access permet d’utiliser les firewalls dans le Cloud pour contrôler les Cloud provider les plus connu comme Amazon et Google. Aujourd’hui Prisma a plus de 100 points de présence partout dans le monde. Prisma Access offre la sécurité et la connectivité. En termes de connectivité, elle propose des instances VPN auxquelles on se connecte avec différents devices. On peut aussi sécuriser l’internet local Via la partie SDWAN. On peut aussi contrôler l’usage, l’application connue ou non, les mobiles avec un agent toujours activé.

Du côté d’Alsid le zéro Trust est un changement total de la manière de penser la sécurité. On va raisonner sous forme beaucoup plus imagée avec une gestion des adversaires, de défense avec des graphique d’Assets. On va aussi échanger beaucoup plus d’informations de façon collaborative avec d’autres SOC.

Sylvain Cortes Alsid donne l’exemple d’Active Directory qui est la cible des attaquants. En effet, tout le monde en a un qui a Design datant le plus souvent de 10 ans. Il faut donc se dire qu’AD est un micro périmètre qu’il faut gérer en zéro Trust. Il faut considérer que l’AD est déjà attaqué. Il faut donc le protéger contre les micros infections traditionnelles. Dans ce cadre, il est nécessaire de déployer des outils et des méthodes pour le sécuriser et être alerté en cas d’attaque. Fort de cette constatation, Alsid propose une solution pour anticiper, détecter les attaques et en proposant une repose sur incident avec la gestion de la remédiation. Alsid propose un tableau de bord dans le lequel on trouve tous les problèmes liés à l’architecture de l’AD en mettant en avant les indicateurs de permissions. La société aussi des changements liés aux indicateurs d’exposition. On peut alimenter le SIEM mais un rapport bien formater est adressé spécifique à l’AD. La solution permet de faire de la remédiation automatisé en jouant des playbooks. Pour faire cela, la solution d’Alsid n’a pas besoin d’agent ni de compte à privilège. La solution s’installe en moins d’une heure. Pour Arnaud Besna de Palo Alto le bénéfice du zéro Trust est en ne faisant confiance à personne d’essayer de protéger des malwares et de leur propagation, mais aussi d’être conforme aux différences régulations et d’éviter les exfiltrations de données.

Détection et sensibilisation un duo gagnant

Le deuxième atelier était animé par Gaëtan Gesret de Proofpoint et Christophe Joly de Vectra et avait pour thème la détection et la sensibilisation.

Les vecteurs d’attaques sont multiples explique Benjamin Leroux d’Advens qui animé cette session. La protection a 100% n’existe donc pas malgré tous les outils déployés. Christophe Joly explique que Vectra a été créée en 2012. Vectra s’est focalisée sur la détection dans les flux réseaux des comportements déviants en utilisant des technologies d’intelligence artificielle. La solution va essayer de détecter les signaux faibles sur des machines déjà infectées. Elle permet de couvrir tous les scénarios de propagation en détectant avec certitude les comportements des attaquants. Ces comportements sont appris à des machines qui vont détecter immanquablement les signaux d’attaques. Ces informations intelligibles sont amenées au SOC ce qui évite d’avoir à faire de la corrélation d’évènements.

Gaëtan Gesret rappelle que Proofpoint offre des solutions de sensibilisation contre les menaces avancées en plus de ses solutions de protection des e-mails. La stratégie de défense des entreprises doit s’aligner sur les tactiques des attaquants qui se centrent sur l’utilisateur à travers le mail et le téléphone. La sensibilisation chez Proofpoint s’appelle PSAT Proofpoint Security Awarness & Training qui est une stratégie de sensibilisation industrialisée avec des formations continus et adaptés à chaque type de métiers marketing, production, utilisateurs finaux, VIP...

Lors du déploiement de cette solution, dans un premier temps une évaluation des besoins services par services est lancée afin de cibler les types de contenus de sensibilisation nécessaires. En outre, un outil de remontée d’informations existe dont les remontées sont adressées au SOC pour signaler une suspicion de phishing ou d’autre type d’attaques.

Les SOC de nouvelles générations doivent mettre en leur centre la donnée

Sam Curry, CSO de Cybereason a fait le point sur les SOC de nouvelle génération. Pour lui aujourd’hui, il y a un certain chaos dans la sécurité du fait de l’hétérogénéité des systèmes et des réglementations qui se multiplient. Il est difficile de mesurer le taux d’impact lors d’une attaque. De ce fait, les SOC ont évolué avec l’introduction des SIEM et de leur évolution. En effet, on est passé de SIEM qui faisaient de la corrélation à leur début, par la suite ses outils ont proposé de la compliance et ne cesse d’évoluer vers de nouvelles fonctionnalités... le problème est que la surface d’attaque ne fait que grandir ce qui rend l’utilisation des SOC plus complexe. Les décisions doivent être prises toujours plus rapidement face à une complexité des attaques et donc des détections plus importantes. De ce fait, on va de plus en plus faire l’automatisation de la détection mais elle pose des problèmes de faux positifs. Ainsi les « Autonomous SOC » commence a faire leur apparition sur le marché. Ils vont permettre de prendre des décisions automatiquement. Pour cela il faudra des personnes formées qui vont procéder à des analyses poussées.

SOC nouvelles générations : des Hommes, des Outils et des processus

Pour lui, les SOC de nouvelles générations doivent intégrer les Hommes, les outils et les processus.

Pour les Hommes, il a rappelé que pour les RSSI il est important de développer les bonnes relations avec tous les services et de créer une relation de dépendance par rapport au sujet de la cybersécurité. Pour les processus, il faut arrêter d’avoir trop d’étapes pour éviter les frictions et élimer les pertes de temps. Il faut des solutions simples à comprendre et à contrôler. Il faut avoir des métriques exploitables. Il faut mettre en place des KPI avec des mesures correctives rapides à mettre en œuvre. Quant aux outils, les SIEM ne sont plus suffisant face aux attaques d’aujourd’hui. En effet, ils doivent répondre à 10 problèmes en même temps qui vont de la détection à la remédiation ce qui est beaucoup trop pour un seul outil. Les SOC de nouvelles générations doivent utiliser des indicateurs comportementaux et de l’IA et se centrer sur la donnée. Ces SOC doivent réduire les bruits et les fausses alertes, détecter plus rapidement... les SIEM doivent être décentralisés et fonctionner en parallèle. Alexandre Fayeulle président et fondateur d’Advens a rappelé que MySOC le SOC d’Advens est aligné avec les concepts présentés par Cybereason.

La gestion risque en mer

Alexandre Fayeulle a par la suite annoncé que son entreprise sponsorise l’Imoca de Thomas Ruyant qui participera à la Transat Jacques Vabre et qui vise le prochain Vendée Globe. Puis Thomas Ruyant et Marcus Hutchinson ont animé la conférence de clôture sur la gestion de risques à partir de leur expérience de navigateur spécialiste de la course au large. Dans le domaine maritime comme dans la cybersécurité il est primordial d’avoir une bonne gestion des risques afin d’anticiper les problèmes qui vont certainement advenir. C’est une question d’équipe ou tout le monde doit être impliqué et solidaire avec la particularité que le skipper est seul sur son bateau sans aucune aide extérieure. Marcus Hutchinson explique que le système de navigation automatique est de plus en plus complexe et coûte plus cher aujourd’hui que les jeux de voiles. Selon lui, il reçoit régulièrement des demandes d’achat de ses bases de données sur son voilier…

Thomas Ruyant explique que lorsqu’il a cassé son bateau en deux au large de la Nouvelle Zélande comme il était bien préparé à ce risque il a vu les côtés positifs de sa mésaventure et a pu ramener son bateau à bon port. Arrivé à terre, il s’est aperçu que tous les fantasmes liés à cet accident avaient été envisagés…


Voir les articles précédents

    

Voir les articles suivants