Le SOC d’Airbus CyberSecurity, à Élancourt (78), fonctionne en 24/7 et ce sont entre 70 à 80 personnes qui y travaillent pour le compte de 25 clients français, dont TV5 Monde, à la suite à la cyberattaque qu’a connue la chaîne en 2015.
Devant le renforcement de la réglementation… devant aussi la recrudescence des cyberattaques… de plus en plus d’entreprises songent à se doter d’un centre d’opérations de sécurité. Face aux coûts et difficultés de tels projets, l’externalisation apparaît comme la meilleure solution.
C’est sans doute le dispositif le plus emblématique de la cybersécurité. Dans le monde des séries, ou du cinéma, les SOC (cyberSecurity Operations Center) représentent de grands centres de supervision, équipés de murs d’écrans où des dizaines d’analystes cherchent à débusquer les pirates informatiques qui se sont introduits sur le réseau d’une entreprise. Si cette image diffère quelque peu de la réalité, de plus en plus d’entreprises disposent maintenant d’un SOC afin de veiller à la sécurité de leurs systèmes informatiques. Ainsi, la loi de programmation militaire oblige les OIV (Opérateurs d’importance vitale) à disposer d’un SOC pour veiller à la sécurité de ces opérateurs d’importance vitale ; un SOC dont le fonctionnement doit être audité par l’Anssi. Si pour des acteurs tels que EDF, Orange ou les grandes banques françaises qui s’appuyaient déjà sur des équipes InfoSec imposantes, décrocher la certification PDIS (Prestataires de détection des incidents de sécurité) de leur SOC a du sens, c’est trop compliqué et coûteux pour les OIV et des entreprises modestes. L’externalisation s’impose naturellement.
C’est tout un marché de l’externalisation des SOC qui s’est mis en place ces dernières années : le marché des MSSP (Managed Security Service Provider). On y trouve tous les poids lourds de la cybersécurité en France, dont Atos, Capgemini, Airbus, Thales qui ont – ou vont – décrocher cette qualification PDIS de l’Anssi, mais aussi des acteurs plus modestes. Ceux-ci ne visent pas nécessairement une qualification de l’Anssi car le marché des MSSP dépasse aujourd’hui la sphère gouvernementale/défense, comme l’explique Hugo Madeux, directeur de la Business Unit Security chez IBM France : « Le marché français des MSSP va bien au-delà des seuls OIV. Ceux-ci sont sans doute les premiers à y aller. Les banques ne sont pas allées vers l’externalisation et les MSSP dans un premier temps, mais elles y viennent après coup. »
Créer un SOC interne, un projet exorbitant
Le coût est bien évidemment une raison majeure pour les entreprises qui se tournent vers ces acteurs. « Le problème de la mise en place d’un SOC interne qui doit fonctionner en 24/7, c’est à la fois son coût exorbitant, de l’ordre du million d’euros au minimum, mais aussi des compétences qu’il faut trouver », résume Abdou Berghani, consultant expert en cybersécurité. « Les analystes d’un SOC interne ne seront jamais aussi pointus que ceux d’un SOC externe qui travaillent pour plusieurs clients et qui ont une vue très large sur les menaces, notamment les APT. Faire monter en interne des compétences est très coûteux et que survient-il lorsque celles-ci quittent l’entreprise ? »
Externaliser le SOC apparaît comme une solution séduisante pour les entreprises en termes de coût et de mutualisation des ressources, raison pour laquelle de nombreuses entreprises se tournent aujourd’hui vers les MSSP. Illustration de cet élargissement du marché français, IBM a inauguré son premier SOC français à Lille, en janvier 2018. Il s’agissait pour Big Blue d’être au plus près de son client Auchan, un acteur majeur du Retail. Cette proximité géographique est sans doute une des caractéristiques clés de cette externalisation : contrairement à l’infogérance ou au développement offshore, les entreprises privilégient les SOC proches de leur centre d’exploitation IT et ne vont pas sur des centres en Inde ou au Maghreb. Un RSSI souligne : « Un fonctionnement 24/7 est plus adapté aux contraintes de la sécurité qu’une approche follow-the-sun, par exemple. Une même équipe qui doit pouvoir gérer un incident en continu et ne va pas transmettre l’incident à un autre centre à partir d’une heure précise. » Une exigence que confirme Hugo Madeux : « La totalité de nos SOC fonctionnent en H24. Donc nous n’avons pas besoin de faire du follow-the-sun. Généralement les demandes de nos clients vont vers un SOC unique où va être centralisée la connaissance sur le client, même si le client est fortement internationalisé. En plus de capitaliser la connaissance, la langue est un critère, de même que la question réglementaire : autant de critères qui poussent vers le SOC unique. »
Externaliser un SOC, un projet complexe
S’il y a désormais un choix important de prestataires MSSP en France, mener à bien la mise en place d’un SOC reste un projet complexe. Un document publié par la fondation Mitre en 2014 est considéré comme l’acte fondateur du SOC moderne. Intitulé Ten Strategies of a World-Class Cybersecurity Operations Center, ce document de plus de trois cents pages décrit de A à Z et de manière extrêmement détaillée l’ensemble des services de sécurité que doit délivrer un SOC. « C’est un document de référence qui permet d’être guidé sur l’élaboration d’une stratégie d’externalisation », explique le RSSI d’un grand compte français. « Cela permet de bien formaliser le périmètre de surveillance que l’on veut assigner au SOC, quel niveau de maturité on souhaite atteindre en interne et quelles briques et services du SOC on va choisir d’externaliser. » En effet, un SOC n’est pas une entité monolithique, mais un ensemble de services et de briques fonctionnelles qui peuvent être opérées indifféremment en interne ou en externe, sachant qu’une entreprise ne va pas nécessairement confier au même prestataire tous les services de son SOC qu’elle souhaitera externaliser. Parmi les grandes briques fonctionnelles du SOC figure en amont la Threat Intelligence, c’està-dire la veille sur l’état des menaces, puis le call-center, le triage puis l’analyse des alertes, un service de FirstResponse pour répliquer aux attaques, puis la phase d’enquête (forensic) et la réparation des dégâts occasionnés par l’attaque (la remédiation).
Le scénario le plus commun est d’externaliser les premiers niveaux de traitement des alertes de sécurité, c’est-à-dire le volet call-center, tri des incidents de sécurité et première analyse, le SOC passant le relai au RSSI avec les événements de sécurité suffisamment sérieux pour nécessiter une intervention sur les firewalls ou les serveurs. « La partie certainement la plus difficile à externaliser est sans doute le volet réaction rapide car cela implique de donner autorité au SOC pour intervenir rapidement sur les systèmes de production pour “ mitiger ” une menace en cours de réalisation, qu’il s’agisse de passer des patchs en urgence, de fermer des ports sur les firewalls », confie un RSSI. « Le temps de réaction doit être très court, or un SOC externalisé aura du mal à faire la balance entre l’impact métier de la coupure de système en cours de compromission et l’impact de la compromission elle-même. » Bien souvent, les DSI et RSSI préfèrent ne pas donner accès à leur système d’information à leur prestataire de sécurité. Le SOC n’a accès qu’aux équipements de collecte des logs et toute l’efficacité de la réaction à une attaque repose alors sur la réactivité de l’équipe interne du RSSI et des équipes d’exploitation.
Une phase de « build » particulièrement lourde
Si l’externalisation permet théoriquement de se doter d’un SOC rapidement, puisque l’entreprise n’a pas à chercher à embaucher les experts, n’a pas à trouver des locaux et déployer toutes les applications et briques réseau nécessaires au fonctionnement du SOC, le projet de build n’en reste pas moins complexe. La cybersécurité n’est pas une discipline qui tolère l’improvisation et il faut penser absolument tous les processus de fonctionnement avant de déclarer le SOC comme opérationnel. « La sécurité est véritablement un domaine qu’il est très difficile d’externaliser », souligne Abdou Berghani. « Il faut donc absolument tout verrouiller en amont, tant en termes de processus que de contrats. Lorsqu’on s’appuie sur un SOC externalisé, ce n’est pas au moment d’une attaque qu’il faut réfléchir à qui doit avoir le lead sur les actions et mesures à prendre en urgence. Il faut réfléchir en amont aux différents cas de figure et absolument tout formaliser sous forme de processus et absolument tout documenter, puis entrer dans un cycle d’amélioration continue afin d’améliorer les procédures écrites en fonction de la réalité du terrain. » Lors de cette phase de build, l’équipe sécurité interne et les métiers vont être très sollicités car il faut paramétrer les règles de déclenchement d’alertes du SIEM.
Dans un premier temps, c’est donc une donc pluie d’alertes qui s’abat sur les équipes qui vont devoir décider si, en fonction du contexte de l’entreprise, il s’agit d’incidents de sécurité avérés ou de simples faux positifs. Peu à peu, la collaboration entre l’équipe sécurité et l’équipe SOC doit permettre d’abaisser ce nombre de faux positifs à un niveau plus acceptable par les équipes et le SOC peut basculer en mode run. Dès lors, comme pour tout projet d’externalisation, travailler avec un MSSP implique un pilotage serré de la prestation. Classiquement, ce pilotage passe par la mise en place d’indicateurs d’activité qui permettront d’évaluer la qualité du service délivré par le prestataire. Délais de réponse à incident, délais d’escalade des alertes, taux de faux positifs… tout un jeu d’indicateurs va permettre au Ciso et au RSSI d’évaluer la qualité de la prestation. Le club R2GS (Réflexion et recherche en gestion opérationnelle de la sécurité) travaille notamment sur des indicateurs clés spécifiques à l’activité bien précise d’un SOC.
En outre, certaines entreprises essayent de s’assurer que leur prestataire reste “à la page” et vérifient que les bases de menaces et les outils mise en œuvre par le MSSP soient mis à jour très régulièrement. Certains RSSI veulent aussi avoir à l’œil la stratégie RH de leur prestataire. « Le Mitre recommande que les analystes de niveau 1 puissent devenir analystes de niveau 2 à terme, puis experts de niveau 3 », affirme un RSSI. « Un analyste de niveau 1 ne va pas avoir l’intention de le rester longtemps, celui-ci va chercher à monter au niveau 2 puis devenir enfin un expert de sécurité. Les MSSP peuvent leur offrir ce type de carrière, ce qu’une entreprise aura du mal a faire avec un nombre de postes bien plus limité. »
C’est avec une politique RH cohérente que le SOC pourra s’appuyer sur des gens qui ont une compétence terrain, une expérience bâtie sur des cas réels, une forte expertise et des analystes de niveau 1 qui resteront motivés. C’est aussi un moyen pour le SOC de limiter son turn-over sur ces fonctions en forte tension sur le marché de l’emploi, un turn-over perpétuel plutôt mal accueillis côté entreprise car un turn-over élevé est synonyme de perte de connaissance du métier de l’entreprise chez le MSSP et donc de perte de temps dans les relations MSSP/ entreprise.
Sur le papier, on peut penser que, par la mutualisation de moyens et le fait de pouvoir travailler avec les données de multiples clients, les MSSP sont plus efficaces que les SOC internes. C’est sans doute vrai dans de nombreux cas, mais la protection assurée par le SOC est loin d’être infaillible, comme le souligne Martine Guignard, RSSI et membre du Clusif : « Il n’est pas rare que le SOC ne détecte pas les incidents de sécurité, notamment lors des tests de pénétration. Le SOC ne détectait ni les manœuvres d’approche, ni les manœuvres d’attaque, ce qui est un vrai problème ! Ce n’est pas lié à un prestataire particulier, mais général. » La RSSI souligne que si les SOC sont à la peine face à certaines menaces extérieures, ils sont un bon outil sur le plan de la conformité car le SOC fait remonter de multiples alertes sur les mauvaises pratiques internes. Toutes les ressources IT qui ne sont pas correctement identifiées dans les CMDB ou encore les ports réseau ouverts par commodité sans en informer le RSSI apparaissent au grand jour. Bien évidemment, seules des campagnes de PenTest renouvelées permettront d’estimer l’efficacité réelle du SOC vis-à-vis des menaces externes.
Le coût d'un SOC externalisé est très élevé et il est d'autant plus difficile à justifier auprès du PDG que plus le SOC est mature et efficace, moins il remonte d'alertes !
(Crédit photo : Orange Cyberdefense)
Comment choisir le bon prestataire ?
Comme le souligne Martine Guignard, les contrats noués avec les fournisseurs de SOC sont « des contrats lourds dont on ne sort pas du jour au lendemain. » Il convient donc de choisir avec soin son prestataire de SOC et il est difficile de départager sur le papier les offres des MSSP. Ceux-ci cherchent à se différencier de par les ressources humaines et les effectifs dont sont dotés leurs SOC, ils cherchent aussi à faire la différence avec les outils choisis pour porter leurs offres. Le SIEM est bien évidemment la clef de voûte de tous les SOC car c’est vers lui que convergent les fichiers de logs et les événements captés par les sondes réseau placées dans le système d’information. Néanmoins les acteurs du marché cherchent à se différencier soit par les services associés, notamment dans le conseil, l’envoi d’équipes de remédiation dans les locaux de l’entreprise en cas d’attaque majeure. Autre pôle d’expertise pour les MSSP, la Threat Intelligence. Airbus Cybersecurity. Thales, IBM pour ne citer qu’eux traquent les échanges des groupes de pirates sur le Dark Net pour anticiper leurs attaques. Airbus Cybersecurity met en avant son expertise en matière de Threat Intelligence (analyse de la menace) par domaine d’activité. « Contrer les groupes d’attaquants les plus dangereux, ceux qui réalisent des attaques ciblées, nécessite la mise en place de dispositifs de protection spécifiques au secteur d’activité de l’entreprise », estime Frédéric Julhes. « Notre activité de Threat intelligence est réalisé par secteur d’activité pour évaluer, par exemple, la menace qui pèse sur un industriel du secteur de la chimie, etc. Il faut connaître les groupes d’attaquants qui peuvent choisir de passer d’attaques contre les ressources gouvernementales à des attaques contre le secteur privé pour des raisons économiques, par exemple. Énormément de groupes changent de cible et c’est en suivant plusieurs secteurs que l’on devient meilleurs. »
Vient enfin la question épineuse du budget de ces services, est considérés par les RSSI comme extrêmement élevé. Martine Guignard souligne que l’aspect financier est très important. « Le coût d’un SOC externalisé est très élevé et il est d’autant plus difficile à justifier auprès du PDG que plus le SOC est mature et efficace, moins il remonte d’alertes. C’est paradoxal, mais le ratio coût/incident de sécurité détecté devient de plus en plus élevé et de plus en plus difficile à défendre auprès d’un DG. » Divers business models coexistent sur le marché, ils sont généralement à base de coûts variables. Très prisée au démarrage des premières offres MSSP, la facturation en fonction du nombre d’EPS (événements par seconde), c’est-à-dire le nombre d’informations remontées du système d’information vers le SIEM chaque seconde. Ce modèle tarifaire peut sembler logique mais il présente des effets de bord indésirables, comme l’explique Kevin Heydon, Ciso du Groupe L’Occitane : « Nous avons privilégié une facturation aux scénarios, ce qui est une logique beaucoup plus compréhensible par les métiers car le prix va augmenter si on étend le périmètre fonctionnel, et non parce qu’on a changé un équipement IT qui, s’il est plus bavard sur le réseau, va entraîner un surcoût mais sans aucune valeur perçue par les métiers. »
Le « Fusion Center » est-il l’avenir du SOC ?
Les offres MSSP ont gagné en maturité mais sont encore amenées à évoluer, notamment grâce aux progrès réalisés dans les technologies Big Data et par l’IA. Cette capacité à traiter de grosses masses de données pourrait bien ouvrir de nouveaux horizons aux SOC, comme l’explique Hugo Madeux chez IBM : « La prochaine vague des SOC sera ce que l’on appelle le Fusion Center, un sujet sur lequel nous travaillons dans le cadre du forum des compétences. La détection des attaques les plus complexes et les cas les plus sensibles nécessitent la mise en commun de moyens de détection et d’analyse que l’on trouve dans les SOC mais aussi de moyens métiers, comme par exemple la détection de fraude. C’est grâce à la mise en commun de ces moyens et de ces équipes que l’entreprise va pouvoir détecter des menaces avancées et sans doute celles qui sont les plus dangereuses pour l’entreprise. » On commence ainsi à voir apparaître ce terme de Cybersecurity Fusion Center dans le secteur bancaire notamment, mais la tendance est là : les entreprises vont vouloir casser les silos entre applications métiers et données de cybersécurité et les SOC vont devoir se mettre au diapason pour parler le même langage que les métiers afin de renforcer la collaboration avec les entreprises.
L’IA prend du galon dans les SOC
L’enjeu pour les prestataires de MSSP est d’automatiser au maximum les processus de fonctionnement de leur SOC et sur ce plan le Big Data et les modèles d’IA apparaissent de plus en plus comme un moyen efficace de réaliser des gains de productivité. Les IA vont aider les analystes à trier les incidents et mener les investigations. Ainsi IBM embarque Watson dans ses SOC et en indexant les données de Threat Intelligence, IBM obtiendra des gains de compétitivité de l’ordre de 30 %, gains variant toutefois très fortement en fonction de la nature de l’incident. Des acteurs comme Atos ou ITrust préfèrent pousser en avant l’IA comme un moyen d’améliorer la détection des attaques, mais une chose est sûre, les IA seront de plus en plus omniprésentes dans les SOC de demain.
« Le scénario d’externalisation hybride est le plus efficace »
Hugo Madeux, directeur de la Business Unit Sécurité chez IBM.
«
On dit souvent que lorsqu’on maîtrise bien une activité, alors on peut l’externaliser. Les entreprises qui ont cherché à se doter d’un SOC interne se sont rendus compte que cela pouvait être intéressant de confier des tâches à un prestataire externe tout en maintenant en interne une partie des compétences, afin de faire le lien entre les métiers et le MSSP. C’est le modèle hybride qui nous semble aujourd’hui le plus efficace. Il peut s’agir soit du personnel de l’entreprise soit mis à disposition par le prestataire, mais placé chez le client. Le scénario le plus classique, les niveaux 1 et 2 : c’est-à-dire la collecte, le triage et un premier niveau d’investigation assumés par le MSSP et le niveau 3 qui traite les cas les plus critiques, assuré par le personnel de l’entreprise, éventuellement un CERT qui va mener ses investigations. »
« Créer un SOC est un projet particulièrement difficile à vendre à son DG »
Abdou Berghani, consultant expert en Cybersécurité.
«
Le niveau de maturité des entreprises vis-à-vis des SOC reste très disparate. C’est le type de projet qu’il est très difficile de vendre à un DG pour un Ciso ou un RSSI, car c’est très coûteux et n’est pas encore considéré comme un moyen d’améliorer la compétitivité de l’entreprise. Ce n’est que lorsqu’un incident de sécurité majeur survient que le SOC devient indispensable. Les réglementations de types LPM, RGPD ou NIS par exemple, poussent des acteurs économiques à se doter de SOC notamment pour se soumettre à leur obligation d’information mais il faut savoir que pour les entreprises comme pour les prestataires, les SOC restent encore des dispositifs nouveaux et qui sont en pleine évolution. Le Big Data leur permet de traiter des masses de données colossales, les volumes de faux positifs sont considérables et il faut énormément de compétences techniques et humaines pour que ces dispositifs fonctionnent correctement. »
« Un SOC permet de passer d’une pure gestion des risques à une gestion d’incidents réels »
Kevin Heydon, Chief Information Security Officer, Groupe L’Occitane.
«
Le recours à un SOC externalisé a été le moyen de compléter une logique de protection par une logique de détection. Cela permet de passer d’une pure gestion des risques à une gestion d’incidents réels, ce qui a un vrai intérêt en interne afin de montrer aux sponsors quels sont les vrais enjeux de sécurité de l’entreprise avec des exemples concrets. J’ai lancé le projet SOC il y a maintenant deux ans et la question de l’externalisation ou de l’internalisation a été tranchée très rapidement. J’avais créé notre département Infosec seulement deux ans plus tôt et l’externalisation allait nous donner la capacité de monter en compétences très rapidement, en quelques mois. En interne, cela aurait été très compliqué sachant que le marché de l’emploi est extrêmement tendu sur ces compétences cybersécurité. Selon moi, un point d’attention dans ce type de projet, c’est que l’externalisation ne signifie pas ne rien faire en interne. Il faut mettre en place une équipe interne capable de gérer les incidents signalés par le SOC. En outre il va falloir être capable de challenger ce SOC, mener des PenTest , puis faire évoluer le périmètre du SOC en fonction des évolutions de notre IT. »
« Il n’y a pas de réponse unique en termes de SOC »
Frédéric Julhes, directeur CyberSecurity France chez Airbus Defence and Space.
«
Nous avons des clients sur à peu près tous les modèles d’externalisation, avec certains qui font une externalisation avec uniquement des sondes sur leurs réseaux, d’autres dont nous avons totalement conçu le SOC, formé le personnel, et qui sont ensuite totalement opérés en interne. C’est notamment le cas des gouvernements. Il n’y a pas de réponse unique pour toutes les entreprises. Les besoins opérationnels sont différents, mais lorsqu’on songe à aller vers le modèle MSSP, il faut se tourner vers un fournisseur qui comprend les exigences métier de l’entreprise. De l’autre côté, l’entreprise doit aussi mettre en place une cellule cybersécurité qui va pouvoir dialoguer avec le MSSP. C’est la raison pour laquelle nous cherchons à internaliser des ressources ayant une double compétence métier/ cybersécurité dans nos SOC afin de fluidifier ce dialogue entre le SOC et l’entreprise cliente. C’est la formule qui permet d’être le plus efficace possible en cas d’incident de sécurité. »
« L’externalisation pallie la problématique des ressources humaines cyber »
Martine Guignard, RSSI et membre du Clusif.
«
Le SOC, ce sont des moyens techniques qu’il n’est pas insurmontable à mettre en place. Ce sont surtout des moyens humains. Mettre en place un SOC interne, c’est recruter une dizaine de personnes pour animer ce SOC, or un RSSI en entreprise n’est pas souvent en mesure de recruter autant de personnes, notamment lorsque l’IT n’est pas l’activité principale de l’entreprise. L’externalisation permet de pallier cette problématique de ressources humaines, notamment dans un contexte où il est très difficile de trouver les bonnes compétences sur le marché. L’externalisation permet de disposer de ressources humaines, de mettre en place le SOC assez rapidement, mais les SOC externalisés présentent aussi leur lot de déceptions. Ainsi, il n’est pas rare que le SOC ne détecte pas les incidents de sécurité, notamment lors des tests de pénétration. En outre, les prestataires de SOC n’ont pas de connaissances métier, ce qui demande des ressources en interne pour vérifier ce que signale le SOC. Il faut vraiment travailler avec le prestataire au moment du build du SOC, mais aussi par la suite pour le faire évoluer. C’est un aspect dont il faut tenir compte car il faut faire régulièrement évoluer les règles de détection et de son côté le prestataire doit faire évoluer ses outils en permanence. »
Liste des prestataires de SOC qualifiés ou en attente de qualification par l’Anssi