Les stratégies pour bâtir un Cyber Security Operation Center (Partie 1/3)

shield revised

 

 

Préambule    

 

Sous une dénomination austère, la sécurité des systèmes d’information est passionnante, d’une grande richesse scientifique aux racines lointaines, unissant de nombreuses disciplines, et au contact d’une grande variété d’organisations et d’acteurs, du secteur public comme du monde de l’entreprise.

Elle est aussi un sujet qui bouscule des habitudes politiques, diplomatiques, économiques ou militaires. Les pays africains devraient la considérer comme priorité continentale et nationale, la sécurité des systèmes d’information, ou cyber sécurité, concerne désormais aussi chacun d’entre nous.
Les formidables applications que permet le numérique ne seront durables que si elles recueillent la confiance de leurs utilisateurs. Pour construire une société africaine capable de faire face à des risques croissants, à des acteurs agiles aux techniques d’attaques de plus en plus sophistiquées, il faut systématiquement intégrer les composantes de la sécurité numérique.
Au-delà du confort de la vie quotidienne et de la disponibilité de ces applications devenue parties intégrantes de nos vies, l’enjeu est économique.

Il est désormais vital pour préserver les compétences, savoir-faire et avantages concurrentiels, en un mot la compétitivité et donc l’emploi, que les entreprises africaines se protègent des attaques informatiques. L’impératif de cyber sécurité concerne le parc informatique dans son ensemble, depuis le développement de la bureautique jusqu’à la conception du système industriel intégré à la chaîne production.
L’enjeu est également de préserver nos souverainetés et nos autonomies de décision et d’action dans les domaines politique, diplomatique et militaire et de protéger l’ensemble de nos infrastructures critiques en Afrique. Le développement technologique rapide associé à l’intégration systématique de moyens informatiques de plus en plus complexes et interconnectés rendent les systèmes les plus sensibles de nos nations à la fois beaucoup plus performants et plus vulnérables.
Cet enjeu de souveraineté se traduit par la nécessité de disposer de compétences scientifiques, techniques et opérationnelles, mais également de capacités industrielles positionnant l’Afrique dans le premier cercle des rares continents capables d’assurer par eux même leur cyber sécurité et leur cyber défense.
L’enjeu est enfin de protéger les particuliers en développant des actions de sensibilisation et de formation adaptées aux usages de chacun dans un monde où la cybercriminalité est en forte croissance et où il est de plus en plus difficile d’assurer la protection de ses données à caractère personnel.
Cette publication, en trois parties, a pour objectif de montrer et d’expliquer comment mettre en place des réponses de niveau internationales à ces problématiques en tenant compte des contraintes financières des pays africains.

Passez directement a la lecture de la partie 1.

PARTIE 1 - MARS 2017

Introduction

Contexte et problématiques

Qu’est-ce qu’un Cyber Security Operation Center (CSOC) ?

La gouvernance

Les processus

La Technologie

Qu’est-ce qu’un SIEM ?

L’équipe

PARTIE 2 - AVRIL 2017

Les grands principes de la threat ou cyber intelligence

Renseignements opérationnels (ou technique)

Renseignements tactiques

Renseignements stratégiques

Les 5 principales missions d’un CSOC

Niveau des compétences des CSOC (Authority)

Les services que doit implémenter un CSOC

Les dix stratégies pour concevoir un Cyber Security Operation Center (CSOC) de niveau international

Stratégie 1 : Consolider les attributions de la CND au sein d’une seule organisation

Stratégie 2 : Maintenir en permanence l’équilibre entre la taille et la flexibilité

Stratégie 3 : Donner au CSOC les moyens d’effectuer sa mission

Stratégie 4 : Respecter et ne pas bâcler certains aspects

Stratégie 5 : Privilégier la qualité du personnel par rapport à la quantité

Stratégie 6 : Capitaliser au maximum les investissements technologiques

Stratégie 7 : Pratiquer la discrimination sur les informations que vous collectez

Stratégie 8 : Protéger la mission du CSOC

Stratégie 9 : Soyer un consommateur et un producteur exigeant des renseignements

Stratégie 10 : Stop. Think and Respond…. Calmly

Avez-vous besoin d’un CSOC en Afrique ?

Vous êtes un gouvernement et vous êtes dans au moins un des cas suivant :

Vous êtes une entreprise africaine et vous êtes dans au moins un des cas suivant :

Les préalables à la mise en place d’un CSOC ?

Les caractéristiques d’un CSOC aux normes internationales

PARTIE 3 - MAI 2017

Bâtir un CSOC avec un budget extrêmement réduit

Network Security Monitoring

Host Security

Log Collection/Aggregation

App Security

SIEMs and Event Consoles

Malware Analysis

Threat Intelligence

Que faire en cas de compromission du CSOC ?

 

Introduction

Après avoir longtemps été considéré comme des forteresses, les systèmes d’informations des états et des entreprises s’apparentent aujourd’hui à un immeuble dans lequel tout le monde peut entrer et sortir mais avec des restrictions tant au niveau des droits que des accès. Cette ouverture associée à l’évolution dynamique des menaces expose les états et les entreprises à un risque cyber sécurité permanent.
Selon les entités et pour faire face à ces menaces, des règlementations sont imposées : obligation CNIL de localisation des données à caractère personnel en Europe, réglementation sur le paiement par carte bancaire (PCI-DSS), loi de programmation militaire pour les Opérateurs d’Importance Vitale (OIV) leur imposant une sécurité et un contrôle accrus de leurs systèmes les plus critiques.
Face à la croissance constante des besoins, la cyber sécurité statique n’est plus suffisante. Les états et les entreprises doivent évoluer vers une sécurité dynamique, incarnée aujourd’hui par le Security Operation Center, le SOC ou CSOC.


Contexte et problématiques

Aujourd’hui, après plusieurs années de sensibilisation, d’alertes et de cas de cyberattaques de plus en plus virulentes, les Cyber Security Operation Center, CSOC ou SOC devraient disposer de tout ce qu’il faut pour mettre en place un dispositif de défense adapté au monde très changeant des nouvelles technologies de l’information, monde digitale, le cyberespace. Cela implique un large éventail de technologies de prévention et de détection d’intrusion. Un énorme domaine de reporting en Cyber Intelligence et un accès presque sans limite a une pléthore de compétences dans le domaine de la technologie toute discipline confondue. Et pourtant, force est de constater que la plupart des CSOC lorsqu’ils existent en Afrique, même en occident sont loin de répondre aux exigences les plus élémentaires de cette problématique de cyber défense aussi bien pour les états que pour les entreprises du secteur privé exerçant dans des domaines très stratégiques. Lorsque des tentatives existent, elles se contentent malheureusement de faire de la veille et de la gestion d’incidents et dans le meilleur des cas a patcher les vulnérabilités des systèmes connues. La prévention est très mal comprise donc implémentée. L’anticipation quasiment utopique et la capacité à identifier et à prendre en charge les nouvelles menaces inexistantes.
Pendant que les criminelles n’ont besoin que d’une faille ou vulnérabilité du système, les défenseurs doivent identifier et protéger TOUTES les failles, limiter et évaluer les dégâts, trouver et supprimer les points de présence des adversaires. Tous les experts et spécialistes s’accordent à reconnaitre que les adversaires développent de plus en plus de capacités impressionnantes pour se rendre difficilement détectable voire impossible.
Comme si cette problématique ne suffisait pas, un constat est sans appel : Nous sommes nos pires ennemies. La plupart des CSOC, lorsqu’ils existent en Afrique, passent plus de temps à régler des problèmes d’ordres politiciens et de personnes qu’à répondre aux cybers attaques.
Ensuite les CSOC sont très souvent, a tort, orientés technologie sans se concentrer sur les aspects humains et procéduraux.

Ces dix stratégies sont les suivantes :

  1. Rassembler les missions de gestion d’incidents, de détection, de réponse, de coordination, de défense d’opération et de maintenance dans une seule structure : Le CSOC.
  2. Rechercher en permanence un équilibre entre la taille et la flexibilité pour permettre au CSOC de remplir efficacement sa mission.
  3. Donner au CSOC une véritable autorité juridique, une répartition des rôles efficace et des politiques et procédures appropriées.
  4. Concentrer le CSOC uniquement sur sa mission. Il doit se concentrer uniquement sur ce qu’il sait faire le mieux.
  5. Privilégier la qualité en lieu et place de la quantité du personnel. Recruter des personnes passionnées par les questions de sécurité avec un équilibre entre des compétences soft et hard.
  6. Investir de manière efficace dans les technologiques et compenser systématiquement leurs limitations par des travaux de recherches et développement.
  7. Pratiquer la pause des sondes et de la collecte de leurs données dans un but de maximiser les signaux et minimiser les bruits ou faux positifs.
  8. Protéger soigneusement les ressources du CSOC, systèmes, infrastructures et données tout en permettant des échanges transparents avec ses membres.
  9. Soyez un consommateur et un producteur exigeant des renseignements cybers (Cyber Threat Intelligence) en partageant avec les autres CSOC le reporting et les astuces pour éviter les incidents.
  10. Répondez aux incidents d’une façon calme, calculée, méthodique et professionnelle.

Dans les parties et les publications qui vont suivre, je vais décrire, expliquer et illustrer des différentes stratégies afin de mieux les comprendre.

Qu’est-ce qu’un Cyber Security Operation Center (CSOC) ?

Un CSOC est un ensemble de composantes permettant de défendre des infrastructures numériques. Cela implique :

  1. La défense contre les activités non autorisées dans un périmètre donné
  2. Le monitoring de toutes les composantes des systèmes, la supervision, la détection et l’analyse
  3. La réponse post-incident et la restauration des activités

Nous avons ici quelques dénominations permettant d’identifier le même dispositif :

  1. Computer Security Incident Response Team (CSIRT)
  2. Computer Incident Response Team (CIRT)
  3. Computer Incident Response Center (or Capability) (CIRC)
  4. Computer Security Incident Response Center (or Capability) (CSIRC)
  5. Security Operations Center (SOC)
  6. Cybersecurity Operations Center (CSOC)
  7. Computer Emergency Response Team (CERT)

En résumé un CSOC est une équipe principalement mais pas seulement composée de spécialistes en cyber sécurité dont le travail consiste à détecter, analyser, répondre, reporter et prévenir les incidents liés à la cyber sécurité.

Pour qu’une organisation soit considérée comme un CSOC, elle doit :

  1. Permettre aux adjudicataires de signaler les incidents suspects en cyber sécurité
  2. Fournir aux adjudicataires une assistance complète dans la prise en charge des dits incidents 
  3. Communiquer les informations relatives aux dits incidents aux membres et aux parties externes dans le sens large du terme

C’est l’équivalent dans le monde numérique des pompiers.

Le CSOC (Cyber Security Operation Center) est donc un dispositif de supervision et d’administration de la cyber sécurité permettant de détecter, d’analyser les menaces internes et externes et de répondre aux intrusions dans les systèmes d’informations.

Le CSOC a quatre composantes :

CSOC

La gouvernance

La gouvernance consiste à :

  1. Définir la mission et le périmètre des actifs à mettre sous contrôle ;
  2. Structurer le CSOC ;
  3. Définir le niveau d’autorité du CSOC et ses modalités d’accès aux ressources.

Les processus

Les processus du CSOC sont spécifiques à la supervision et à l’administration de la cyber sécurité. Ils ont pour objectif :

  1. D’assurer la supervision du SI, la détection et la résolution des incidents de sécurité ;
  2. D’apporter des améliorations au CSOC sur la base de l’évaluation de ses processus, de l’évolution des menaces et des évolutions réglementaires.

La Technologie

La technologie regroupe l’ensemble des moyens techniques utilisés pour rassembler, harmoniser, corréler, stocker et faire un reporting sur les événements de sécurité. 

La plateforme logicielle principale du CSOC est le SIEM (Software Information Event Management). C’est un outil de gestion des évènements du système d’information.
La gestion des événements/incidents de sécurité de l'information constitue une composante primordiale du cycle de vie de la sécurité de l'information. Ce processus consiste à déterminer un ensemble de mesures techniques et organisationnelles pour faire face aux différentes menaces qui pèsent sur le patrimoine informationnel d'une organisation.
Dans cette optique, le SIEM (pour Security Information and Events Management) tente d'apporter un ensemble de moyens permettant d'agréger, de normaliser, de corréler, de consolider, de superviser, d’analyser, de notifier et de capitaliser les événements de sécurité de l'information.

Qu’est-ce qu’un SIEM ?

Le SIEM est la combinaison de deux éléments : SEM (Security Event Management) et SIM (Security Information Management). Le premier élément (SEM) garantit la supervision temps réel ou quasi temps réel, la corrélation, le traitement des événements tandis que le second (SIM) fournit un moyen de rétention des informations, de support à l'analyse forensic et de reporting des données de logs.
En effet, derrière le mot SIEM, il y a un ensemble de moyens techniques qui permettent :

  1. La collecte et l'agrégation des données d'une multitude de sources (réseau, serveurs, applications, etc.)
  2. La corrélation des événements
  3. La détection des événements de sécurité
  4. La notification du personnel
  5. La rétention des données
  6. L’élaboration des tableaux de bords
  7. etc.

Les UBA (User Behaviour Analysis) sont de nouveaux outils complémentaires du SIEM qui permettent de détecter des comportements malveillants des utilisateurs. Le marché du SIEM est un marché mature et très compétitif qui a affiché une croissance de 14% en 2014. Il a été estimé à 1,69 Milliards $ (Gartner).

L’équipe

L’équipe CSOC est constituée d’experts hautement qualifiés qui définissent et mettent en place des processus et procédures permettant de faire face et de réduire le risque cyber sécurité. Ils sont également responsables de la gestion des incidents de cyber sécurité.

Aziz Da Silva

[1] Senior IT Strategy & Technology Innovation Consultant
[2] Security and Risk Analysis–Information and Cyber Security Consultant
[1] Ingénieur Conseil (Consultant) Senior en Stratégies et Innovations Technologiques
[2] Consultant en Sécurité Économique et Protection du Patrimoine