Face à l’augmentation et à la diversification des données engendrant des attaques plus nombreuses et sophistiquées, le SOC doit se renouveler et accueillir de nouvelles ressources humaines orientées métiers.

Les techniques de piratage se banalisent. Aujourd’hui, des attaques relativement sophistiquées sont disponibles sur le dark web sous forme de kits exploitables par n’importe quel néophyte un peu persévérant. Parallèlement, des équipes bien organisées avec des personnes expertes dans leur domaine (systèmes d’exploitation, réseaux, applications métier, protocoles applicatifs…) vont chercher à dérober des données à l’aide d’attaque de type APT[1].

Lutter contre ces attaques s’avère de plus en plus complexe pour les entreprises qui doivent arriver à mettre en place suffisamment de ressources techniques et humaines pour faire face à l’accroissement de leur surface d’attaque.

Une mission toujours plus gourmande en ressources

Pour sécuriser les données, les entreprises se basent en premier lieu sur les logs. Ceux-ci sont de deux types : les logs des applications qui traitent les données et les logs des infrastructures supportant ces applications.

Pour les premiers types de logs, le problème est la diversité. Les logs doivent être normalisés pour être traités de manière automatique. Or cette normalisation diffère en fonction du type de données entrantes. Il faut écrire des parseurs[2] de logs, ce qui mobilise des ressources humaines sur le long terme.

Le deuxième type de log est bien connu, donc d’ores et déjà normalisé, mais le volume est difficile à traiter. Les ressources techniques pour les prendre en charge doivent augmenter.

Augmentation de la surface d’attaque

Parallèlement aux problématiques de ressources, les entreprises sont plus exposées. La mobilité, l’IoT, le Cloud… offrent davantage de surface d’attaque, ce qui entraîne également une augmentation du nombre d’alertes et une multiplication des faux positifs.

Le Cloud par exemple, sensé minimiser la maintenance applicative, pose de nouveaux problèmes : les ressources étant mutualisées, les fournisseurs de Cloud sont réticents à fournir les logs de leurs plateformes, ces derniers étant issus de plusieurs clients différents !

Renouveler le SOC

Pour répondre à ces enjeux, le SOC va devoir se renouveler en faisant appel à des techniques de défense plus efficaces et à des ressources humaines supplémentaires. Avant d’exploiter l’intelligence artificielle - qui démontrera sans doute son utilité pour aider les cyber analystes à qualifier les menaces - le machine learning est une technologie d’ores et déjà efficiente. Sur les incidents de sécurité, il permet de classer les incidents (graves, anodins, faux positifs…). Ces algorithmes employés pour le classement des incidents de cybersécurité sont semblables à ceux appliqués pour lutter contre les spams, où ils ont prouvé leur utilité. Mais les faux positifs restent un énorme problème avec ce type d’outil, c’est pour cette raison que, parfois, un commerçant en ligne qui vous a envoyé un email vous demande de vérifier s’il ne se trouve pas dans votre boîte de spams.

Le SOC doit être en mesure de détecter des attaques sophistiquées, préparées longuement à l’avance, par ingénierie sociale, avec un objectif précis tel le vol de données. Une attaque comporte plusieurs étapes : la phase de reconnaissance, l’infection initiale, l’exfiltration de données, la suppression des traces. Des techniques existent aujourd’hui pour détecter une exfiltration de données supposée : mesure du PCR[3] ou à l’aide de sondes spécialisées. Au niveau d’un serveur DNS par exemple, on sait que le ratio entre données entrantes et données sortantes est à peu près constant. S’il dévie, cela signifie qu’une tentative de tunneling[4] est peut-être en cours. Ce type de démarche, basée sur le machine learning, peut également s‘appliquer à une base de données. Reste cependant l’élimination des faux positifs, qui monopolise énormément de ressources humaines.

Des profils métiers aux côtés des experts en cybersécurité

Les ressources humaines devront croître au niveau du SOC pour être en mesure de détecter les attaques visant notamment les applications. Ainsi, de nouveaux profils qui maîtrisent les enjeux métiers sont nécessaires pour comprendre, par exemple, les conséquences du changement d’un champ dans un jeu de données. Seules ces personnes sont capables de catégoriser les informations et de les corréler à d'autres. L’objectif est d’identifier les risques métiers – par opposition aux risques techniques – afin de les inclure dans les systèmes de détection.

Enfin, préparer l’entreprise à une attaque, par exemple le vol d’un fichier client, est indispensable. En cas d’incident, est-elle capable de mettre les bons process en ordre de marche ? Sait-elle contacter les personnes concernées en priorité ? Comment doit-elle réagir face aux médias ? À cette fin, les exercices d’entraînement constituent une bonne base, à l’image de ceux se déroulant en environnement militaire ou dans un cadre de crise simulée comme le propose IBM avec son C-TOC[5]. Histoire d’être prêt à répondre à la prochaine attaque, bien réelle cette fois, qui surviendra inévitablement…

Par Laurent Broto, Advisory Security Architect

[1] Advanced Persistent Threat : (menace persistante avancée) : vise généralement à surveiller l’activité réseau et à voler des données plutôt qu’à porter atteinte au réseau ou à l’organisation
[2] Analyseur syntaxique d’une liste d’événements ayant impacté un système, un logiciel, une application…
[3] Producer-Consumer Ratio : permet d’étudier les variations de flux et leurs éventuelles incohérences.
[4] Technique visant à encapsuler de manière transparente un protocole et ses données dans un autre protocole.
[5] Cyber tactical operation center : centre d'opérations de cybersécurité mobile, voir https://www.usine-digitale.fr/article/plongee-a-l-interieur-du-c-toc-d-ibm-le-truck-qui-simule-des-cyber-attaques-pour-mieux-sensibiliser.N827910