Par Sébastien Janiszewski, Front Office CyberSOC, I-Tracing
S’il est important pour une entreprise de remédier à ses incidents de cybersécurité, il est aussi essentiel qu’elle puisse mesurer son exposition au risque et transcrire son impact sur ses affaires. Interface entre le RSSI et le Cyber SOC, le Front Office satisfait ces exigences en s’assurant d’une part du fonctionnement optimal du service, dans une démarche d’amélioration continue et en fournissant d’autre part, des analyses et des indicateurs opérationnels et stratégiques nécessaires à l’entreprise pour la conduite de sa politique de sécurité. Une activité qui peut se comparer à la gestion du renseignement, à la collecte et au traitement des données en milieu militaire.
De l’opérationnel à la gouvernance, les domaines d’action du Front Office du Cyber SOC sont variés.
Suivi des incidents et production des indicateurs
Le Front Office suit de près le flux des incidents de sécurité. Il s’assure en particulier du respect des consignes de description et de qualification des incidents, ainsi que leur diffusion aux bons destinataires. Il s’attache aussi à comprendre les attentes du CISO pour répondre efficacement à ses besoins de reporting opérationnel et de communication vers l’exécutif, qu’il présente à l’occasion de comités opérationnels et stratégiques réguliers. Le suivi opérationnel indique le nombre et la gravité des incidents, les types d’attaque et contrôle la bonne remédiation aux incidents de sécurité. Le reporting exécutif stratégique permet d’adapter les contrôles en place aux risques, de mesurer le niveau de menace et l’impact des incidents.
Gestion des crises et retours d’expérience
Les situations de crise, même de faible intensité, génèrent un stress qui peut rapidement désorganiser les actions de remédiation, surtout lorsque plusieurs interlocuteurs sont impliqués. Point d’entrée privilégié en cas de cyber-crise, le Front Office aide à centraliser la communication et ainsi à mieux coordonner les réponses à incident.
Lors d’une cyber-crise, le Front Office décide le lancement de l’alerte cyber en coordination avec le RSSI, détermine la gravité de la crise, assure la communication et la bonne diffusion des informations à tous les destinataires et fournit le retour d’expérience et les recommandations pour le futur avec l’appui des analystes SOC et du CSIRT (Computer Security Incident Response Team).
Assurer la qualité de service
En contact régulier avec le client, le Front Office s’assure du bon fonctionnement du service, du respect des critères contractuels, du niveau de satisfaction et conduit les actions d’amélioration nécessaires.
On le sait, la satisfaction client se mesure par le nombre de plaintes enregistrées à propos du service et par les enquêtes de satisfaction. Le service maintient à jour le référentiel des sources de logs, les indicateurs SLA1 (ajout de nouvelles règles de détection, de nouvelles sources, temps de réponse aux demandes, délai de notification d’incidents majeurs, nombre de faux positifs, disponibilité du système de surveillance …). La volonté d’amélioration du service apporté est permanente, passant par des propositions, l’enregistrement, la priorisation et le suivi des actions. Le service doit être flexible et prendre en compte les besoins particuliers du client hors contrat, étudier leur faisabilité et le cas échéant, être à même d’initier le projet.
Coordination de la recherche et gestion des besoins en renseignement
D’un point de vue personnel, par mon passé militaire, je rapproche volontiers la fonction Front Office de la CCIRM (collection coordination and intelligence requirements management) du système OTAN. Le Front Office du CyberSOC comme la CCIRM sert d’interface entre des services de sécurité et des organisations extérieures. La CCIRM joue un rôle de guichet unique pour gérer les diverses demandes d’informations vers les services de renseignement militaire. Apparu au début des années 2000 et aujourd’hui complètement adopté dans les armées, ce concept génère des bénéfices qui sont déjà acquis ou facilement applicables dans le cadre d’un CyberSOC. Ce sont la traçabilité des échanges, la standardisation des communications, l’assignation des demandes aux services compétents (dans un environnement complexe), le contrôle du contenu, la mesure du service (charge de travail), le respect des règles de diffusion et le respect des délais. S’y ajoute le suivi qualité par l’intermédiaire de « Fiches de correspondance et d’orientation » qui permettent de communiquer sur la qualité du service fourni et sur les demandes d’amélioration.
Ces avantages indéniables vont sûrement engendrer pour le Front Office du CyberSOC le même succès que la CCIRM otanienne. Il est encore conduit à se développer, notamment pour les SOC externalisés.
1 Le service-level agreement (SLA) ou « entente de niveau de service » définit la qualité de service de la prestation entre un fournisseur de service et un client. (Wikipedia)