Luis Delabarre, Directeur des SOC Nomios
Contrairement au SOC, qui vise à réagir rapidement face aux incidents de sécurité, ce VOC est plus proactif et a pour but d’anticiper les risques de cybersécurité et, in fine, de réduire le nombre d’alertes remontées dans le SOC.
xVOC, c’est son nom, pour eXtended Vulnerability Operations Center. Ce service managé de gestion continue de l'exposition aux risques cyber, sauce Nomios, a été présenté lors des Assises de la cybersécurité à Monaco qui se sont tenues du 8 au 11 octobre.
« Le problème concernant la gestion des vulnérabilités et des faiblesses du système d'information d’une organisation, c'est que les outils technologiques ne suffisent pas. Ils permettent d'identifier les vulnérabilités et les failles dans les systèmes, mais souvent, les clients n'ont pas mis en place les processus adéquats ni les équipes nécessaires pour les gérer efficacement », nous expliquait Luis Delabarre, Directeur des SOC Nomios, lors d’un échange dans le cadre des Assises de la cybersécurité. Résultat des courses ? « Ils se retrouvent avec des listes monstrueuses de vulnérabilités et ne savent pas par où prendre le problème ni comment prioriser, sachant que ce n'est pas le travail du SOC. »
Qualifier le risque
C'est de cette problématique que Nomios a décidé de développer un VOC, un peu à l’image de ce qu’a fait Orange Cyberdéfense, son principal concurrent sur ce segment en France. Comme le SOC, il ne s’agit pas d’une réponse technologique, mais d’un service managé sous la forme d’une plateforme de supervision et d'administration de la sécurité proactive, qui vise à connaître et réduire la surface d’attaque pour prévenir les incidents. Il intervient donc avant le SOC.
Dans le détail, le xVOC couvre un périmètre de supervision des vulnérabilités et des menaces en analysant les assets internes IT et OT, les assets cloud, et les surfaces externes. L’équipe en charge consolide et contextualise les vulnérabilités et menaces dans une plateforme d’agrégation des assets de son partenaire, Vulcan Cyber. La couverture fournie est renforcée par une couche de CTI afin de bénéficier des dernières informations en matière de vulnérabilités (CVE). Les analystes du VOC agrègent toutes ces informations et fournissent des reportings, offrant ainsi plus de visibilité aux clients sur l’état de leur exposition au risque.
xVOC et SOC sont complémentaires, mais…
Le service fournit en outre des audits, des services de configuration du contexte client, d’alerte et de remédiation. Les équipes du xVOC débutent par un travail de contextualisation en attribuant des tags aux différents actifs informatiques. Elles regroupent ces actifs selon des critères spécifiques : logique, criticité, ou encore exposition aux risques. Par exemple, elles évaluent si une application est cruciale pour l’entreprise, si une base de données est stratégique, ou si un système est exposé. Ce travail de qualification permet ensuite l’implémentation de règles automatisées.
Ainsi, dès qu’une nouvelle vulnérabilité est identifiée, ces règles permettent de réagir rapidement. L’entreprise peut être alertée sur un risque majeur, exploitable, et ayant un score de risque élevé. « Un Service Delivery Manager va manager tout cela et sera le point de contact du client. Il sera aussi en capacité de faire des recommandations via différents comités de pilotage. » Tout cela permet de prioriser les campagnes de patch, d’appliquer le niveau de criticité et de surveillance adaptés.
À terme, l’entreprise souhaite faire communiquer SOC et VOC pour cartographier le risque et améliorer la remédiation. Luis Delabarre répète volontiers que les deux services sont complémentaires pour assurer une gestion efficace des risques et réduire le nombre d’alertes à traiter par le SOC. Toutefois, il reconnaît que : « il faut aussi être conscient que les organisations n’ont pas des budgets extensibles à volonté et ne pourront pas faire tout en même temps. » C'est à elles de définir leurs priorités en fonction des budgets disponibles. Pour l’heure, seul un VOC pour les clients français a été ouvert. Nomios compte en ouvrir six dans un second temps.