Mise en page 1 - Global Security Mag

LE SOCDE DEMAIN

Hors série N°011 - Prix : 8 € - juin 2014

DE MARC JACOB

Eaton 3ème de couvertureHID 4ème de couvertureGlobal Security Mag Data Center 4

GS Days 2Mobilty for Business 16Telehouse 2ème de couverture

LISTE DES ANNONCEURS

Après avoir tenté d’enrayer les menaces et incidents de sécurité pendant plusieurs années, les entreprises sont aujourd'hui en voie d’admettre qu’elles ne pourront jamaiscomplètement les empêcher. Leur force, pour la défense deleur patrimoine informationnel, repose alors sur la détectionrapide du moindre incident et la réaction immédiate appro-priée. C'est ostensiblement le rôle de centres de supervisionde la sécurité, tels que les SOC (Security Operations Centers).

Outre les outils techniques fondamentaux inhérents à ces structures, les SOC sontavant tout une affaire de spécialistes. En effet, même si ces derniers ont, certes,recours à de nombreuses solutions de sécurité (SIEM, anti-DDoS…), ils sont surtoutconstitués d’experts de haut niveau capables de scruter dans d’innombrables informations celles qui sauront les alerter sur tout événement anormal, et leur permettre de déployer les contre-mesures adéquates.

Ces centres de surveillance et de contrôle de la sécurité semblent efficaces et remportent déjà un certain succès auprès des grandes entreprises et des OIV.Même si l’heure est aujourd'hui plus à la validation de leur pertinence, les SOCdevraient plus largement se démocratiser dans les années futures… Pour nos experts, il sera d’ailleurs certainement difficile à l’avenir pour une entreprise de sepasser d’un SOC, que celui-ci soit externalisé ou développé en interne… Danstous les cas, l’objectif sera toujours d’anticiper au mieux les menaces, avec pourleitmotiv « Action-Réaction ».

REVUE TRIMESTRIELLEHors Série n°11 – Juin 2014www.globalsecuritymag.fr et www.globalsecuritymag.com ISSN : 1961 – 795XDépôt légal : à parutionEditée par SIMPRCS Nanterre 339 849 64817 avenue Marcelin Berthelot92320 ChâtillonTél. : +33 1 40 92 05 55Fax. : +33 1 46 56 20 91e-mail : [email protected]

RÉDACTIONDirecteur de la Publication :Marc BramiRédacteur en chef :Marc JacobRédactrice :Emmanuelle LamandéOnt collaboré à ce numéro :Annabelle Richard et Guillaume BellmontAssistante :Sylvie LevyResponsable technique :Raquel OuakilPhotos Nobert Martiano, Marc Jacob Comité scientifique :Pierre Bagot, Francis Bruckmann Eric Doyen, Catherine Gabay, François Guillot, Olivier Iteanu,Dominique Jouniot, Zbigniew Kostur,Patrick Langrand, Yves Maquet, Thierry Ramard, Hervé Schauer, Michel Van Den Berghe, Bruno Kerouanton, Loïc Guézo.

PUBLICITES.I.M PublicitéTél. : +33 1 40 92 05 55Fax. : +33 1 46 56 20 91e-mail : [email protected]

PAOS.I.M. PublicitéImage couverture : ©Petr Moravek

IMPRESSIONImprimerie Hauguel8-14 villa Léger92240 MalakoffTél. 01 41 17 44 00Fax 01 41 17 44 09e-mail : [email protected]

ABONNEMENTPrix de ce numéro : 8 € TTC (TVA 20%)Abonnement annuel : 51 € TTC (TVA 20%)

ÉDITORIALÉDITORIAL

Toute reproduction intégrale ou partielle, faite sans le consentement de l’auteur ou des ayants droit ou ayant cause estillicite. Il en est de même pour la traduction, l'adaptation ou la transformation, l'arrangement ou la reproduction par unart ou un procédé quelconque. (article L122-4 du code de la propriété intellectuelle).Cette publication peut être exploitée dans le cadre de la formation permanente. Toute utilisation à des fins commercialesdu contenu éditorial fera l’objet d’une demande préalable auprès du Directeur de la publication.

ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com • 1

un leitmotivpour le SOC

« ACTION-RÉACTION » :

2

LES JOURNÉES FRANCOPHONESDE LA SÉCURITÉ DE L’INFORMATION

24 MARS 2015

Renseignements : Marc Jacob BRAMISIMP - 17 avenue Marcelin Berthelot - 92320 ChâtillonTél. : +33 (0)1 40 92 05 55 - Fax. : +33 (0)1 46 56 20 91

[email protected]

www.gsdays.fr

Le carrefour de la sécurité des Systèmes d’Information exclusivement en français pour réunir : les RSSI, DSI, Administrateurs Réseaux et Sécurité, Experts Sécurité…

ESPACE SAINT-MARTIN

199 bis, rue Saint-Martin

7 5 0 0 3 P a r i s


www.globalsecuritymag.fr

OPÉRATEURS DE SOC

18. CS19. DELL SECUREWORKS20. NUMERGY21. VERIZON

OPÉRATEURS DE SOC & DE DATA CENTERS22. EBRC23. TDF

OPÉRATEUR DE DATA CENTERS24. CIV

SÉCURITÉ INFORMATIQUE25. 6CURE26. ITRUST27. LASTLINE28. LOGRHYTHM29. PICVIZ LABS30. QUALYS31. TIBCO LOGLOGIC32. TREND MICRO

Guide des solutions

Sommaire11 Edito : « Action-Réaction » : un leitmotiv pour le SOC15 Agenda16 Le Centre de cyberdéfense de l’ANSSI veille à la sécurité des systèmes

d’information critiques de l’ÉtatInterview de Guillaume Poupard, Directeur Général de l’ANSSI - Par Marc Jacob et Emmanuelle Lamandé

18 Le SOC deviendra-t-il un pilier de la stratégie de défense des entreprises ?Par Marc Jacob et Emmanuelle Lamandé

12 Le SOC : une police d’assurance pour les DSI ?Interview de Julien Escribe, Partner chez ISG - Par Marc Jacob et Emmanuelle Lamandé

14 Sécurisation juridique du recours aux « Security Operations Centers »Par Annabelle Richard, Avocat à la Cour – Attorney at Law (New York Bar), et Guillaume Bellmont, Avocat à la Cour, Pinsent Masons LLP

17 Les NSOC : centres névralgiques des Data CentersInterview de Jacques Bénichou, adhérant au CESIT, Directeur Marketing et Business Operations de CHOREUSPar Marc Jacob et Emmanuelle Lamandé

LES JOURNÉES FRANCOPHONESDE LA SÉCURITÉ DE L’INFORMATION

24 MARS 2015 LE SOC DE DEMAIN

Tarif d’inscription au colloque : journée complète inclus les pauses café, le repas du midi et le cocktail de clôture : 110 €HT (TVA 20%)

Déclaration d’activité enregistrée sous le numéro 11 92 17185 92 auprès du préfet de région Ile-de-FrancePour réserver votre place : http://www.globalsecuritymag.fr/De-la-theorie-a-la-pratique/ � Attention, le nombre de places est limité.

Le planning de la journée sera publié prochainement sur le site : http://www.globalsecuritymag.fr/De-la-theorie-a-la-pratique/Contact : Marc Jacob Brami - Tél. : 01 40 92 05 55 - [email protected]

Le 25 novembre 2014

Quel avenir pour le Data Center?

De la théorie à la pratiqueen partenariat avec : CESIT – EUDCA – AN2V – FedISA – Forum ATENA - CLUSIF

DE LA THÉORIE À LA PRATIQUE

COLLOQUECrédit image : ©

Lightsprin

g

Platine Gold

Saphir Silver

Sponsor associé

http://www.globalsecuritymag.fr/De-la-theorie-a-la-pratique/




LE SOC DE DEMAIN

www.globalsecuritymag.fr

Agenda

ESPACE SAINT-MARTIN

199 bis, rue Saint-Martin

7 5 0 0 3 P a r i s

25 novembre 2014

Quel avenir pour le Data Center ?

Espace Saint-Martin 199 bis, rue Saint Martin - 75003 Paris

Pour réserver votre place : www.globalsecuritymag.fr/De-la-theorie-a-la-pratique/

Contact : Marc Jacob BRAMI Tél. : 01 40 92 05 55 [email protected]

DE LA THÉORIE À LA PRATIQUE

4JUILLET14 - 15 juillet - Londres (UK)Securing Asia & Africawww.securingasia.com

22 - 23 juillet - Singapour RSA Conference Asia Pacific & Japanwww.rsaconference.com/events/ap14

4AOÛT2 - 7 août - Las Vegas (USA) Black Hat Briefings & Training Federalwww.blackhat.com

3 - 6 août - Denver (USA) DFRWS www.dfrws.org/2014/index.shtml

7 - 10 août - Las Vegas (USA) DEFCON www.defcon.org

11 - 14 août - San Diego (USA) Catalystwww.gartner.com/technology/summits/na/catalyst

17 - 21 août - Santa-Barbara (USA) CRYPTOwww.iacr.org/conferences/crypto2014

20 - 22 août - Ho Chi Minh Ville (Vietnam) Secutech Vietnam www.secutechvietnam.com/en

20 - 22 août - Nairobi (Kenya) SecProTec East Africawww.secproteceastafrica.com

27 - 29 août - Singapour Safety & Security Asiawww.safetysecurityasia.com.sg

4SEPTEMBRE9 septembre - ParisLes Débats@Qualyshttps://community.qualys.fr/community/debats

11 - 14 septembre - Istanbul (Turquie) CeBIT Bilisim Eurasiawww.cebitbilisim.com/en

16 - 17 septembre - Shangai (Chine)Big Data Asia Showcasewww.bigdatashowcase.com

22 - 24 septembre - Alger (Algérie)Med-IT @ Algerwww.xcom.fr

22 - 24 septembre - Marseille NFC World Congresswww.nfcworldcongress.com

22 - 24 septembre - Bruxelles (Belgique)Cyber Europewww.intelligence-sec.com/events/cyber-intelligence-europe-2014

23 - 25 septembre - MarseilleWorld E-ID Congresswww.worlde-idcongress.com

23 - 25 septembre - Marseille M2M Innovation Forumwww.m2minnovationworldcongress.com

23 - 25 septembre - Marseille Chip-to-Cloud Security Forumwww.chip-to-cloud.com

24 - 26 septembre - Seattle (USA)Virus Bulletinwww.virusbtn.com/conference/vb2014/index

25 - 26 septembre - Washington (USA) Cyber Collaboration Workshopwww.cvent.com/events/2014-transglobal-secure-collaboration-symposium/event-summary-8bdf3c8724314a44931be323aab69b29.aspx

29 septembre - 3 octobre - New-York (USA)Interop New Yorkwww.interop.com/newyork

30 septembre - 2 octobre - CNIT Paris La Défense Les Salons Solutionswww.groupesolutions.com

24 MARS 2015Appel à communication : www.gsdays.fr

OUVERTURE DES INSCRIPTIONSLE 1ER SEPTEMBRE 2014

www.gsdays.fr/sinscrire/10-gsdays.html

Renseignements : Marc Jacob BRAMISIMP - 17 avenue Marcelin Berthelot - 92320 ChâtillonTél. : +33 (0)1 40 92 05 55 - Fax. : +33 (0)1 46 56 20 91

[email protected]

Tarif d’inscription au colloque : journée complète inclus les pauses café, le repas du midi et le cocktail de clôture : 110 €HT (TVA 20%)

Déclaration d’activité enregistrée sous le numéro 11 92 17185 92 auprès du préfet de région Ile-de-FrancePour réserver votre place : http://www.globalsecuritymag.fr/De-la-theorie-a-la-pratique/ � Attention, le nombre de places est limité.

Le planning de la journée sera publié prochainement sur le site : http://www.globalsecuritymag.fr/De-la-theorie-a-la-pratique/Contact : Marc Jacob Brami - Tél. : 01 40 92 05 55 - [email protected]

Le 25 novembre 2014

Quel avenir pour le Data Center?

De la théorie à la pratiqueen partenariat avec : CESIT – EUDCA – AN2V – FedISA – Forum ATENA - CLUSIF

COLLOQUE





Le Centre de cyberdéfense de l’ANSSI est fort de 50 experts qui travaillent en 24/7 pour veiller à la sécurité des systèmes d’information critiques de l’État et réagir au plus vite en cas d’incidents. Cette veille s’ajoute à celle menée par le CERT-FR, ainsi qu’aux incidents répertoriés par les sondes de détection de l’ANSSI. L’objectif, explique Guillaume Poupard,

est d’offrir un panorama le plus complet possible des menaces à un instant T et ainsi adapterles recommandations de l’Agence en conséquence. Quoi qu’il en soit, il conseille de ne jamais

sous-estimer son ennemi et d’être en mesure d’anticiper les scénarii d’attaques.

Interview de Guillaume Poupard, Directeur Général de l’ANSSIPar Marc Jacob et Emmanuelle Lamandé

LE CENTRE DE CYBERDÉFENSEDE L’ANSSI VEILLE À LA SÉCURITÉDES SYSTÈMES D’INFORMATION

CRITIQUES DE L’ÉTAT

6 • ABONNEZ-VOUS GRATUITEMENT À NOS NEWS LETTERS EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com

Global Security Mag : Pouvez-vousnous présenter le Centre opérationnelde cyberdéfense et ses missions ?

Guillaume Poupard : Le Centre de cy-berdéfense de l’ANSSI, installé dans la« Tour Mercure », veille à la sécurité dessystèmes d’information critiques del’État 24 heures sur 24, 7 jours sur 7.Cinquante agents y sont affectés. Ceteffectif peut être renforcé pour atteindrequatre-vingt personnes en cas de crisemajeure.Le Centre de cyberdéfense remplit troisfonctions : la veille, la supervision, laconduite des opérations de cyber-défense. Au sein du Centre, le bureau veille, réceptionne et émet des signalementset des alertes relatifs à la sécurité dessystèmes d’information émanant desministères, des opérateurs d’impor-tance vitale, mais aussi des services depolice ou de renseignement et des par-tenaires étrangers de l’ANSSI. Ilcontrôle la disponibilité et l’intégrité deplus d’un millier de sites Internet gou-vernementaux et d’administrations.

Le Centre comporte un bureau dédié àla détection, qui supervise les remon-tées des sondes de détection dévelop-pées par l’ANSSI et déployées au seindes réseaux de l’administration. Celapermet de repérer les attaques ou lestentatives d’attaques contre les servicesgouvernementaux en temps réel. Si lesinformations recueillies présentent desanomalies, elles sont transmises auxéquipes techniques chargées d’évalueret de traiter les incidents.Enfin, le Centre pilote les interventionsde l’ANSSI en cas d’attaques avérées oude suspicion de compromissions. Pources missions, le Centre de cyberdéfensedispose de moyens de communicationprotégés et résilients qui lui permettentd’échanger avec les partenaires del’ANSSI, en France comme à l’étranger.La co-localisation du Centre de cyber-défense de l’ANSSI avec le centre d’ana-lyse de lutte informatique défensive(CALID) du ministère de la Défense per-met d’assurer une coordination étroiteentre les deux centres et de concentrersur un même site l’essentiel des capa-cités nationales de cyberdéfense. Cette

co-localisation est récente, mais trèsimportante pour nos missions, qui ontévolué suite à la dernière Loi de pro-grammation militaire : nous avons lapossibilité, désormais, de « décider desmesures que les opérateurs d’impor-tance vitale doivent mettre en œuvre »si, demain, un problème frappait laFrance avec, par exemple, l'ampleur dela crise en Estonie en 2007. Si l'attaqueest coordonnée, la riposte doit égale-ment l’être !

GS Mag : Pourriez-vous nous donnervotre point de vue sur les exigences de qualité et de sécurité qui doivent encadrer un SOC, tant au niveau de laSSI que des infrastructures ?

Guillaume Poupard : Il faut s’entendresur ce que c’est qu’un SOC – je parleraiici strictement du domaine SI, car lesfonctions du SOC peuvent être pluslarges. Le rôle d’un SOC étant de détec-ter et de traiter les incidents, il doit ré-pondre à des exigences renforcées, quine sont cependant pas différentes d’au-tres services informatiques : continuitéde service, confidentialité du traitementdes informations, réseaux « durcis »pour limiter autant que possible toutrisque d’intrusion, personnel compétentet dûment habilité à connaître et répon-dre aux incidents et enfin sécurité phy-sique du site d’accueil.

Lorsque les fonctions du SOC font l’objetd’une externalisation, elle doit en êtrestrictement encadrée, de même que lesgaranties. Dans le cas où un recours à unprestataire externe est nécessaire, il fautsavoir faire appel à des prestataires deconfiance, une démarche qui est expli-quée dans le Guide « Maîtriser lesrisques de l’infogérance » [1]. Sur cettequestion des prestataires, l’Agence œuvreavec le secteur privé pour le développe-ment d’une offre qualifiée, de confiance.

GS Mag : Quels sont les principauxtypes d’incidents de sécurité ou de menaces généralement identifiés ?

Guillaume Poupard : La connaissancede la menace est une mission impor-tante pour l’ANSSI. Nous menons éga-lement des travaux sur l’anticipation decette menace, qui sont des travaux quej’ai déjà pu développer au sein de la Di-rection générale de l’armement, qui tra-vaille sur ce volet conjointement avec leministère de la Défense. C’est un sujet

qui me tient particulièrement à cœur.Nous évoluons dans un contexte de me-naces cyber en hausse tant par leurnombre que leur typologie et qui peuventse diviser en deux grandes familles :l’espionnage et le sabotage. Les me-naces qui visent l’État, et celles qui visent les entreprises, ne sont pas né-cessairement très différentes, ni dansleur nature, ni par leurs auteurs : lesmenaces sont de plus en plus straté-giques, organisées par des États, pardes techniques offensives très diversi-fiées.

Les conséquences ne seront pas lesmêmes suivant les attaques, la sensibi-lité des informations exposées, maiselles peuvent être dévastatrices. Pouraider les entreprises à anticiper lesrisques pesant sur leurs systèmes d’in-formation, l’ANSSI assure une missiond’information constante sur l’état de lamenace : les entreprises doivent se ré-férer aux publications du CERT-FR [2],par l’intermédiaire de son site, et ens’abonnant à ses Bulletins d’actualités,Avis et Alertes. Ces publications reflè-tent au plus près l’actualité de la me-nace, dont les vulnérabilités, commeHeartBleed, les programmes malveil-lants et les vecteurs d’attaques.

La veille média assurée en 24/7 au seindu Centre de cyberdéfense nous permetde plus de répertorier des incidents quin’auraient pas encore été détectés ouidentifiés sur nos réseaux. Elle s’ajouteaux veilles spécifiques menées par leCERT-FR et aux incidents répertoriéspar nos sondes de détection pour offrirun panorama le plus complet possiblede ces menaces à un instant T : ces connaissances nous permettentd’adapter nos recommandations.

GS Mag : Quels conseils pouvez-vousdonner aux entreprises pour détecter,analyser et réagir au mieux aux inci-dents et menaces de sécurité ?

Guillaume Poupard : Il faut évidemmenttout faire pour prévenir : les quaranterègles proposées par l’ANSSI dans leGuide d’hygiène [3] sont un bon point dedépart, que les responsables informa-tiques doivent compléter et adapter à

leur contexte, par exemple en appli-quant les bonnes pratiques présentéesdans les Recommandations techniquesdisponibles sur le site de l’Agence.

Il faut effectuer une journalisation desincidents. Cette journalisation ne doitpas rester lettre morte au fond d’un répertoire : elle doit être exploitée enpermanence. Des recommandationsplus détaillées sont proposées dans leguide Recommandations de sécuritépour la mise en oeuvre d’un système dejournalisation [4] auquel je vous invite àvous référer.

Il faut ensuite ne jamais sous-estimerson ennemi : qu’on parle d’incident pardéfaillance technique, d’attaque, de dé-figuration ou d’intrusion, il faut savoiranticiper les scénarii. Cela passe aussipar la constitution d’un Plan de conti-nuité d’activité (PCA), qui doit prendreen compte le volet SI, avec la mise enœuvre de procédures opérationnelles etde sauvegarde spécifiques. Lorsque cevolet est pris en charge par un SOC, cedernier doit participer de la réflexion surle Plan de continuité d’activité et contri-buer à sa mise en œuvre. � � �


[1] http://www.ssi.gouv.fr/IMG/pdf/2010-12-03_Guide_externalisation.pdf[2] http://www.cert.ssi.gouv.fr/[3] http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf [4] http://www.ssi.gouv.fr/IMG/pdf/NP_Journalisation_NoteTech.pdf

LE SOC DE DEMAIN

Devant la multiplication des incidents de sécurité, les réductions de budget et une réglementation en la matière

de plus en plus contraignante, le SOC a le vent en poupe. Pour nos 4 experts membres du CLUSIF, parmi lesquels

deux RSSI, accompagnés de Matthieu Garin de Solucom et de Jean-Marc Grémy de Cabestan Consultants, les SOC ont des atouts indéniables, à tel point qu’il sera peut-être difficile

demain pour une entreprise de ne pas y avoir recours.

Par Marc Jacob et Emmanuelle Lamandé

LE SOC DEVIENDRA-T-IL UN PILIER DE LA STRATÉGIE

DE DÉFENSE DES ENTREPRISES ?


Pour nos deux RSSI, le premier issud’une grande entreprise internationale(noté RSSI.com) et le second d’une entreprise nationale (noté RSSI.fr), ladéfinition du SOC (Security OperationsCenter) se résume à une cellule centra-lisée ou un centre dédié à la détectionet au traitement d’incidents de sécuritéinformatique d’une entreprise. Ces actions sont rendues possibles par unebonne connaissance du niveau de pro-tection de son environnement, préciseMatthieu Garin, Manager au sein de laPractice Risk Management & Sécuritéde l’information chez Solucom. Même sile périmètre d’intervention d’un SOCdiffère selon le contexte, les activitéssuivantes sont classiquement inclusesdans un SOC : surveillance de logs, ges-tion des incidents, suivi de l’applicationdes correctifs… Jean-Marc Grémy, CEOde Cabestan Consultants, explique que,pour beaucoup, le SOC est finalementréduit à la logique d’un Computer Secu-rity Incident Response Team (CSIRT). Sicette définition est communément ad-mise par l’industrie, elle doit être com-plétée par des actions nécessaires à la

gestion plus globale de la sécurité dansl’entreprise. En effet, parmi les mis-sions de la sécurité, il ne faut pas omet-tre celles nécessaires à la gestion desrègles de sécurité des équipements fil-trant (Firewall, IPS, DLP...), ainsi que lesuivi de l’application des mises à joursur les composants de filtrage et deblocage, tels que les anti-X, les IPS etles URL filtering et autres anti-spam.Les opérationnels de la sécurité doiventégalement garder un œil sur les com-posants du SI classifiés sensibles, pourlesquels une surveillance des vulnéra-bilités est importante. On demande auSOC d’être réactif dans la gestion desévénements et des incidents, mais en-core faut-il qu’il ait les moyens d’agir !La seule scrutation des événements etautres jauges d’indicateurs ne permetplus aujourd’hui au SOC d’être dansl’instant et dans la réaction face aux ori-gines des incidents. Le champ d’actiond’un SOC doit donc être l’ensemble duSI, de la couche 1 à la couche 7 du mo-dèle OSI. La couche 8 (l’utilisateur) doitpar contre être laissée à la responsabi-lité des autres services supports.

DES OPÉRATEURS DE SOC PLUS OU MOINS

EXPÉRIMENTÉS

Selon RSSI.fr, ce marché est en pleineexpansion en France. Cependant, RSSI.comconstate que les offreurs de SOC exter-nalisés ont plus ou moins d’expérience.C’est un marché qui doit encore se dé-velopper pour devenir mature. D’autrepart, certaines entreprises utilisatricesont créé leur propre SOC sans avoir re-cours à une externalisation de tout oupartie de celui-ci. Pour Matthieu Garin,les MSSP (Managed Security ServiceProviders) ont contribué depuisquelques années à la montée en matu-rité des SOC en France. Les acteurshistoriques français, proposant des of-fres « sur mesure », côtoient désormaisles grands acteurs anglo-saxons, plusindustrialisés, considérant la surveil-lance des logs comme une offre « Cloud ».Jean-Marc Grémy complète en expli-quant que dans l’esprit, et quelques foisdans les offres, le MSSP a en charge latotalité du spectre de la gestion de la

sécurité : de l’application des règles surles équipements de sécurité à la réponse aux incidents, en passant parla surveillance des indicateurs de sécurité. Généralement, le MSSP est propriétaire des équipements de sécu-risation des infrastructures du client. Ilgère plus souvent la sécurité dans lesparties réseaux, voire le périmètre d’Internet, que la totalité de la sécuritésur les autres composants du SI (virtua-lisation, systèmes, stockage et applica-tions).

L’HEURE EST À L’INDUSTRIALISATION

DES SOC

Pour nos deux RSSI, les SOC sont leplus souvent mis en œuvre dans desgroupes internationaux, dans des admi-nistrations ou chez des OIV. « La plupartdes Grands Comptes possèdent au-jourd’hui une entité menant des activi-tés de type SOC. Ces structures n’ontcessé de se renforcer ces dernierstemps », remarque Matthieu Garin.Jean-Marc Grémy fait la même consta-tation : « majoritairement de grandesorganisations, souvent internationales,avec des besoins de suivi 24/7 (dit fol-low-the-sun) de la sécurité, ont mis enplace des SOC. Si les amplitudes de tra-vail diffèrent d’un pays à l’autre pour lesactivités de support, il en est de mêmepour les cybercriminels et autres pi-rates. La nécessité d’avoir un service deSOC opérationnel en permanence n’estplus une option, un nice-to-have, maisbien une réalité. Matthieu Garin estimeque l’augmentation des cas de cybercri-minalité entraîne, en effet, actuellementtoutes les organisations à réfléchir surla structuration de SOC. La plupart desgrandes organisations et administra-tions assurent déjà des activités de typeSOC (surveillance de consoles anti-virus, suivi du patch management…).L’heure est donc aujourd’hui à l’indus-trialisation, mais aussi à l’améliorationde l’efficacité des dispositifs existants.

De plus, force est de constater que la sécurité n’est plus un frein à sa pro-pre externalisation, poursuit MatthieuGarin. C’est en particulier le cas pourles structures SOC, qui sont de plus enplus confiées à des prestataires ex-ternes (MSSP). Les principaux risquesque craignaient les RSSI il y a encorequelques années peuvent désormaisêtre maîtrisés. À condition bien entendu

de respecter quelques règles d’or ac-ceptées par la plupart des fournisseurs :engagement de réversibilité, clausesd’audit, mécanismes de suivi des SLA etcertifications des fournisseurs. Pour ce qui est des engagements de qualité,rebondit Jean-Marc Grémy, « ils s’ins-crivent dans la démarche de l’externa-lisation de votre exploitation. Ce que l’onnomme autrement le Maintien enConditions Opérationnelles (MCO). L’en-treprise confie à un tiers tout ou partiede l’exploitation de la production infor-matique, de ses réseaux et maintenantde la « sécurité ». Sécurité au sens del’implémentation dans l’architecture demoyens d’appliquer la politique de sé-curité. Il ne faut donc pas confondreconfier la gestion de sa sécurité etconfier la gestion de la sécurité. C’estbien évidemment la même chose à lalettre près, mais le principe est bien dif-férent. Le RSSI de l’organisme gère lasécurité, il connaît les risques les plusprégnants et impactants, il dispose desindicateurs de sécurité à observer, parcontre il délègue au SOC ou MSSP l’im-plémentation technique et opération-nelle de cette gestion. La logique estbien celle de l’engagement de service,le respect des SLA entre le responsabledu MCO et son client. Si la Qualité estgérée sur la base des demandes et desexigences, on peut alors espérer que lesobjectifs de sécurité soient atteints ».

LE SIEM : UN PILIER POUR LE SOC

D’une façon pragmatique, RSSI.comrappelle que l’un des piliers du SOC estle SIEM (Security Information and EventManagement). La qualité des résultatsde corrélation des journaux collectéspar le SIEM, afin d’éviter les faux-posi-tifs, est importante pour l’efficience duSOC. L’efficacité des procédures de ges-tion des incidents de sécurité est unautre indicateur de qualité pour le SOC.L’infrastructure informatique doit four-nir et centraliser les journaux utiles aumoteur de corrélation du SIEM. Pour le traitement d’incidents de sécurité, leSOC manipule des données confiden-tielles. Le contrôle d’accès à ces dernières est de ce fait essentiel pour protéger la confidentialité des informa-tions. RSSI.fr, pour sa part, rappellequ’un Système d’Information nécessiteun niveau de qualité de type ISO 20 000ou ISO 27001 et donc un niveau de sécurité maximal, tant physique que

logique. Le SOC doit être du même niveau de qualité et de sécurité que lesSI qu’il traite.

Matthieu Garin distingue, de son côté,deux sujets : la sécurité du service et laplus-value sécurité du service. Il estbien entendu indispensable d’exiger desgaranties sécurité sur le service, et lesmécanismes de contrôle associés. Laplus-value sécurité du service doit éga-lement faire l’objet de garanties, maiscelles-ci ne pourront porter que sur lesmoyens mis en œuvre par le prestataire(délais d’envoi d’un plan d’actions, dé-lais de traitement des incidents…). Ilsera très complexe d’exiger des garan-ties sur l’efficacité réelle du service :engagement sur un pourcentage d’at-taques bloquées, limitation des im-pacts… RSSI.fr estime qu’en matière deSOC il doit obtenir des conditions deSLA classiques suivant les besoins del’entreprise. De plus, le SOC doit per-mettre de traiter les risques que l’entre-prise a pu analyser sur ses SI. Dans lapratique, RSSI.com espère obtenir :• Le respect des mesures de sécuritédu client ;

• La localisation des données manipu-lées par le SOC en France ou en Eu-rope ;

• Le respect d’indicateurs de perfor-mances (par exemple une limite sur lenombre de faux positifs, un tempsmaximum de réaction à un incident…) ;

• Que son opérateur accepte de se sou-mettre à des tests de pénétration ouà la simulation d’incidents pour me-surer l’efficacité du SOC ;

• La garantie de la confidentialité desdonnées manipulées par le SOC et laconformité au niveau de disponibilitédemandé ;

• Enfin, si le SOC est externalisé, quel’opérateur puisse fournir les proces-sus permettant d’internaliser le SOCou de le transférer à un autre presta-taire.

En ce qui concerne les réglementations,nos trois experts sont d’accord avecMatthieu Garin : « les fournisseurs deservice SOC doivent bien entendu res-pecter les législations et réglementa-tions en vigueur. En France, il convienten particulier pour les MSSP de seconformer aux exigences de la CNILquant au traitement des données à ca-ractère personnel. En outre, soulignonsque l’ANSSI prépare actuellement, dansla continuité de ses travaux sur lesPASSI, un référentiel de qualification


LE SOC DE DEMAIN

TOUS CES LECTEURS SONT DÉJÀ ABONNÉS : Les membres du Cercle Européen de la Sécurité, de l’ARCSI, du

CESIC, du CIGREF, du MEDEF 92, du CLUSIF, de NETFOCUS France, de l’AFCDP, de FedISA…

Le magazine trimestriel sur la sécurité

Philippe Humeau (NBS System), Luc Mensah (NSIT), Michel Arditti (Cesic), Garance Mathias (Avocat), Michel Bensimhon, Jean-Marc Gremy (Cabestan Consultants), Olivier Itéanu (Avocat), Frédéric Charpentier(XMCO), Thibault du Manoir de Juaye (Avocat), Thierry Ramard (Ageris Consulting), Hervé Schauer (HSC), Gérôme Billois (Solucom), Joseph Graceffa, Christophe Weiss (APL), Serge Cousin (CIV), Frédéric Charron (CESIT),Claude Dos Santos (Jerlaure), Bernard Lecanu (EUDCA), Diane Mullenex (Avocat), Loïc Guézo (Trend Micro)...

TOUS CES EXPERTS VOUS CONSEILLENT TOUT AU LONG DE L’ANNÉE

BULLETIN D’ABONNEMENT� Je souscris un abonnement à Global Security Mag pour une durée d’un an au prix de 51€ TTC (TVA 20%), 72€ hors France Métropolitaine et étranger.Je recevrai les 4 prochains numéros.� ou je commande le numéro : au prix unitaire de 19€ TTC (TVA 20%)

� Abonnement annuel au format PDF du magazine 33€ TTC (TVA 20%) � ou je commande le numéro : au format PDF 12€ TTC (TVA 20%)

� Abonnement couplé pour une durée d’un an, magazine papier et PDF au prix de 72€ TTC (TVA 20%)

� Je souhaite être abonné gratuitement à la News Letters hebdomadaire voici mon adresse mail :

� Je suis RSSI, DSI, Risk Manager, Administrateurs Réseaux – Télécoms, Sécurité et je souhaite être abonné au Service Gold de Global Security Mag. Je suis informé que ce service comprend des invitations VIP sur des événements de sécurité, des remises spéciales à des séminaires de sécurité, des invitations aux événements de sécurité organisés par Global Security Mag.En revanche Global Security Mag s’engage à ne jamais louer à titre gracieux ou marchand mes coordonnées personnelles ou professionnelles. Pour bénéficier de ces avantages, je joins macarte de visite professionnelle (agrafer ici)

et mon adresse mail : Je recevrai par mail une fois par semaine des informations ciblées

Nom Prénom Société

Adresse

Tél. Fax. E-mail

Règlement par chèque n° Tiré sur banque à l’ordre de SIMP

A réception de votre règlement une facture acquittée vous sera adressée par retour. Aucun abonnement ne sera accepté sans un règlement préalable de la totalité de son montant.

Date, Signature et cachet de l’entreprise

En application de l’article 27 de la loi du 6 janvier 1978, les informations ci-dessus sont indispensables au traitement de votre commande et sont communiquées aux destinataires la traitant. Elles peuvent donner lieu à l’exercice du droit d’accès et de rectification auprès de S.I.M. Publicité. Vous pouvez vous opposer à ce que vos noms et adresses soient cédés ultérieurement.

A retourner à :SIMP

17, av. Marcelin Berthelot92320 Châtillon

Tél. : 01 40 92 05 55 - Fax. : 01 46 56 20 91

E-mail : [email protected]@globalsecuritymag.com

© Adrian Grosu

http://www.globalsecuritymag.fr



des prestataires de détection des inci-dents de sécurité. Ce document listeral’ensemble des exigences à respecterpar les fournisseurs, afin d’être qualifiéau sens du RGS sur cette activité ».

LE SOC : UN COMPLÉMENTPOUR LE CERT

Par ailleurs, Jean-Marc Grémy penseque le SOC/MSSP doit impérativementdisposer des moyens d’une cellule deveille en sécurité. Soit la sienne, soitl’abonnement à un CERT, qui lui ap-porte un support et un soutien sur lesévénements et les incidents pour les-quels les causes semblent inconnues.Les services d’un CERT disposent sou-vent d’un temps d’avance sur les infor-mations publiques, notamment dans laconnaissance des attaques dites 0-day,celles dont on parle beaucoup dans lestypologies d’attaques (persistantes ouciblées).

RSSI.fr considère que le SOC doit plusou moins faire appel aux services d’unCERT, afin de requalifier en perma-nence les vulnérabilités des SI. Il peutaussi utiliser un Data Center s’il s’agitd’un service en particulier, afin de trai-ter les logs suivant des outils Big Data.C’est également l’instrument de traite-ment des incidents de sécurité en com-plément des autres services desécurité. Selon RSSI.com, le SOC estl’aboutissement de la mise en œuvre deprocédures de gestion des incidents desécurité. Il vient en complément de lagestion des vulnérabilités, de la protec-tion contre les malwares et de la sécu-rité périmétrique. Matthieu Garin pense également que SOC et CERT sontdeux structures complémentaires. LeSOC est focalisé sur la surveillance duSI interne, et dispose d’une connais-sance approfondie de son environne-ment, afin d’avoir le bon niveau deréaction. Le CERT est, quant à lui, foca-lisé sur la surveillance de la menace, etagit comme une structure d’expertiseau service du SOC. Le CERT est amenéà intervenir en niveau 3 du SOC lorsd’un incident. De même, le CERT peutexiger du SOC la mise en œuvre de fil-tres de surveillance particuliers, sur labase de nouvelles menaces constatées.Le SOC est, de plus, en interaction forte avec la Production, à travers l’en-voi et le suivi de plans d’actions lors de

traitements d’incidents ou de vulnéra-bilités. Le rôle d’un SOC n’est pas d’agirdirectement sur les équipements enproduction, mais de se focaliser sur lasurveillance et le contrôle.

SOC DE DEMAIN : VERS L’AUTOMATISATION

DES PROCÉDURESD’ALERTES

ET DE REMÉDIATION ?

Qu’en sera-t-il demain ? Pour RSSI.com,le SOC de demain s’articulera autour deprocédures de gestion des incidentséprouvées et efficaces, un historiqued’incidents qui lui permettra des re-tours d’expérience et une optimisationde ses processus. Le SIEM disposera,pour sa part, de règles de corrélationaméliorées et recevra plus de donnéesdes journaux. Il aura, en outre, peut-être obtenu une reconnaissance dansl’entreprise après avoir participé à ladétection et à la résolution d’un incidentimportant pour cette dernière. SelonMatthieu Garin, les deux enjeux majeursdes SOC sont aujourd’hui la compré-hension de la menace et la contextuali-sation de la surveillance adaptée àl’entreprise. Le SOC devra ainsi, à l’ave-nir, être en mesure de communiquerplus fortement avec le CERT et leséquipes de Production. La surveillanceapplicative devrait également s’intégrerde manière plus importante dans leSOC de demain. De plus en plus deGrands Comptes commencent d’ores etdéjà à intégrer certaines applicationsdans le périmètre de surveillance.RSSI.fr estime, pour sa part, que lesSOC seront plus ou moins interconnec-tés au niveau de la gestion des vulnéra-bilités, ceci afin de réagir au plus viteaux incidents. De plus, ils vont devenirune affaire de spécialistes. En effet, ilsdemandent une expertise qu’il est diffi-cile d’entretenir au sein d’une entre-prise qui n’est pas spécialisée dans lasécurité. Sans compter qu’ils risquentd’être sous le contrôle des gouverne-ments... En conclusion, Jean-MarcGrémy considère qu’à moyen terme ilfaut se demander qui pourra à l’avenirse passer d’un SOC sous une forme ouune autre ? L’intensification des at-taques, leur complexité, la nécessitéd’agir avant que les effets ne se fassentsentir devient un enjeu pour l’orga-

nisme. Il est probable qu’il y ait de fortesinteractions entre les SOC privés et pu-blics d’un même secteur. Les CERTspublics et privés qui ont déjà ce modede fonctionnement deviendront peut-être des « pilotes » pour les SOC, ils leurtransmettront des demandes de miseen œuvre de règles de protection, sansmême que le RSSI n’ait pu les valider. Non pas qu’il ne peut pas ou neveut pas, mais comment agir quand une attaque se produit à 2h du matin ?N’est-ce pas le rôle profond du SOC : agir/réagir pour anticiper les incidents à chaque fois que cela estpossible ? � � �


LE SOC DE DEMAIN

© Viappy

Julien Escribe estime que si les SOC sont aujourd’hui bien déployés dans les entreprises du CAC40, il n’en est pas de même pour les organisations de taille intermédiaire. Même si les acteurs

en ce domaine sont nombreux, le coût de mise en œuvre et d’exploitation reste encore le premier frein à ces déploiements.

Pourtant, les SOC semblent être pour les DSI une police d’assurance face à la multiplication des menaces.

Interview de Julien Escribe, Partner chez ISGPar Marc Jacob et Emmanuelle Lamandé

LE SOC : UNE POLICED’ASSURANCE POUR LES DSI ?


Global Security Mag : Quelle est votredéfinition d’un Security OperationsCenter (SOC) ?

Julien Escribe : Un SOC est en chargede piloter la gestion des incidents de sécurité, des vulnérabilités et desrisques couvrant un périmètre trèslarge de domaines : infrastructures réseaux, applications, services, postesde travail. En particulier, un SOC a laresponsabilité de :• Définir les stratégies de défense et lesadapter en permanence ;

• Détecter les signaux faibles et antici-per les menaces ;

• Identifier les agresseurs potentiels etleurs méthodes d’attaques ;

• Structurer un mécanisme de défensesystématique ;

• Organiser une réactivité immédiatelors d’attaques.

Les caractéristiques d’un SOC qu’on retrouve chez tous les clients sont :• Le monitoring en temps réel des événements ;

• L’évaluation des menaces ;• La prise de décision graduée et baséesur des informations concrètes.

GS Mag : Quel est l’état de ce marchéen France ?

Julien Escribe : Nous estimons queplus de la moitié des sociétés du CAC40disposent d’une fonction de SOC, souvent très centralisée. Cette fonctionpeut être réalisée en interne ou être externalisée auprès de fournisseursspécialisés. Un fonctionnement hybrideest également souvent constaté (parexemple pour fournir un complémentde couverture horaire pour réaliser lafonction de SOC en 24/7). En revanche,les mises en œuvre concrètes d’un SOCdiffèrent très largement, en termes decouverture fonctionnelle et surtout decapacité de réaction en cas de menaceréelle. Pour les sociétés de taille inférieure, la fonction de SOC est mal-heureusement rarement mise en œuvre.

Les acteurs du marché – qui fournis-sent des services de SOC aux grandscomptes – peuvent être segmentés dela manière suivante :• Opérateurs Télécom et Internet(Orange Business Services, British Telecom, Verizon…) ;

• Acteurs spécialistes de la sécurité(Symantec, Cisco, McAfee…) ;

• Infogérants internationaux (HP, IBM…).

Les sociétés qui n’ont pas mis en placeun SOC ont souvent cité un coût de miseen place (Build) et d’exploitation (Run)très important pour ce type de service.

GS Mag : Quels sont les types d’organi-sations qui disposent aujourd'hui majoritairement d’un SOC ou qui fontappel à ces services?

Julien Escribe : Ce sont principalementles grandes sociétés internationales quiont vraiment mis en place une structurede SOC industrialisée.

GS Mag : Quelles sont les exigences de qualité et de sécurité qui doivent encadrer un SOC, tant au niveau de laSSI que des infrastructures ?

Julien Escribe : Il n’existe pas à notreconnaissance de « normes » qui régissent ce type de service (le SOC).Cependant, les SOC d’aujourd’hui –pour les sociétés qui opèrent des sitesmarchands – portent une attention très

forte sur le respect des standards desécurité « Payment Card Industry DataSecurity Standard » (PCI DSS). De plus,nous constatons une convergence assezforte sur le type de responsabilitésconcentrées au sein des SOC :• Surveillance des équipements de sécurité des infrastructures (Fire-walls, IPS/IDS, Proxy, Load Balancers, passerelles VPN et SSL,) ;

• Surveillance des plateformes et appli-cations Web ;

• Corrélation des logs (et plus généra-lement mise en place des SIEM - Security Information and Event Mana-gement) ;

• Protection contre les attaques Distri-buted Denial of Service ;

• Scan des vulnérabilités (serveurs,bases de données, middleware, appli-cations) ;

• Surveillance des messageries, anti-virus, anti-spam.

GS Mag : Quelles garanties peuventexiger les clients dans le cadre de cesprestations ?

Julien Escribe : Il est très difficile d’obtenir des engagements de résultatssur la résolution des incidents consta-tés. En revanche, les engagements portent principalement sur :• Les durées de détection des alertes ;• Les procédures d’information interneet d’escalade ;

• La mise en place de mesures de protection « périmétriques » là oùcela est possible – comme l’isolationd’un composant ou d’un site compro-mis.

GS Mag : Quels sont les obligations légales que doivent respecter les fournisseurs de ce type de services ?

Julien Escribe : Nous n’avons pasconnaissance d’obligations légales dé-diées aux services de SOC. En France,on peut citer l’ANSSI qui publie ses célèbres « Règles d’Hygiène » en matière de sécurité. Une de ces règlesest liée à la fonction de SOC : « mettreen place une chaîne d’alerte et de réac-tion connue de tous les intervenants ».

GS Mag : De quelle manière un SOCvient-il s’intégrer dans la chaîne sécurité (CERTs, Data Centers…) ?

Julien Escribe : Les SOC sont souventalignés avec les NOC (Network Opera-tions Center). En effet, NOC et SOC ontplusieurs éléments communs :• Organisation commune, par niveaux(Tier, en anglais) ayant les mêmesresponsabilités au niveau le plus bas ;

• Même méthodes ;• Outillages similaires.Les sociétés qui ont déployé un SOC intègrent souvent la fonction de CERTau sein de celui-ci.

GS Mag : A quoi ressembleront, selonvous, les SOC de demain ?

Julien Escribe : Pour beaucoup de DSI,la Sécurité est devenue un jeu auquel ilest impossible de gagner, quelle quesoit la mise de départ. La mise en placed’un SOC est l’équivalent d’une policed’assurance pour se protéger desrisques encourus en s’asseyant à la

table de jeu. Le problème est que l’investissement financier lié à la miseen place d’un SOC interne ou externeest très important et génère un peu defrilosité.

Nous pensons que les tendances defond de l’IT (développement du Cloud,de la mobilité, du Big Data, des réseauxsociaux, dissolution de la frontière entresphères professionnelle et personnellesur les devices) vont augmenter l’attractivité des offres des opérateursde SOC spécialisés. Il sera difficile pourles sociétés utilisatrices de maintenir àniveau leurs SOC internes par rapportaux gains d’échelle que les spécialistespeuvent fournir à leurs clients.

Enfin, le modèle du SOC demain serasans doute bicéphale : • D’un côté, une fonction interne de spécification, de pilotage et de représentation du business ;

• De l’autre côté, un service de SOC managé et industrialisé, fourni par unprofessionnel, en métamorphoseconstante pour s’adapter à uncontexte dans lequel la seule certi-tude est l’augmentation exponentielledes attaques et des risques. � � �


LE SOC DE DEMAIN

« Le Cyber Defence Center d’Airbus Defence and Space propose à ses clients une offre globale de cyber défense inédite. Ce nouveau concept deveille et de surveillance repose d’une part sur les bases de données du CDC, qui collectent les informations sur les menaces, et d’autre part sur lesexperts qui développent et exploitent ces bases de données afin de répondre en temps réel aux cyber attaques les plus sophistiquées. »

A l'heure où le senior vice-président de Symantec, Brian Dye, prédit que « l'antivirus est mort et condamné à l'échec », force est de constater l'évolution

des menaces informatiques auxquelles font face les entreprises. Devant lesrisques d'intrusion et de vol de données sensibles et la difficulté croissanted'obtenir une sécurité des Systèmes d'Information efficace en interne, une

solution attractive se trouve dans l'externalisation au profit de Security Operations Centers (SOC), voire d'un unique Integrated SOC (ISOC) pour l'ensemble de l'entreprise. Les SOC peuvent avoir des missions variées (supervision des flux, administration à distance, détection des intrusions,

contremesures…) et centraliser plusieurs fonctions de sécurité (Firewall, antivirus, VPN, antispam…).

Par Annabelle Richard, Avocat à la Cour – Attorney at Law (New York Bar), et Guillaume Bellmont, Avocat à la Cour, Pinsent Masons LLP

SÉCURISATION JURIDIQUEDU RECOURS AUX « SECURITY

OPÉRATIONS CENTERS »


Le recours à ces prestataires a l'intérêtde proposer l'accès à un service plusapte à détecter les incidents de sécu-rité, et ce 24h/24h, grâce à une centra-lisation du monitoring sécuritaire, maisaussi grâce à la connaissance apportéepar l'analyse des systèmes de différentsclients, permettant de repérer plus fa-cilement les « pattern » utilisés dans lesattaques. La centralisation de ces don-nées et fonctions, et leur analyse entemps réel a pour effet de raccourcirgrandement les délais d'interventionsuite à un incident. D'autre part, le re-cours à un SOC externe permet la mu-tualisation des coûts importants desécurité, et ainsi de réduire les dé-penses dans le domaine de la sécurité.

Cependant, le recours à un service deSOC soulève de nombreuses probléma-tiques dues au principe même de l'ex-ternalisation d'un service informatique.Certains points devront être étudiésavec attention, notamment le périmètredes prestations, les niveaux de service,le reporting et le contrôle des activitésdu prestataire, la protection des don-

nées personnelles et des donnéesconfidentielles, et la responsabilité duprestataire.

LE PÉRIMÈTRE DES PRESTATIONS

La première étape dans ce procédéd'outsourcing est bien entendu de dé-terminer les obligations du prestataireen gardant à l'esprit la politique internede l'entreprise en matière de gestion etde sécurité des Systèmes d'Information.Vient ensuite la délimitation de ce quidoit être externalisé, de ce à quoi leprestataire a accès. Est-ce que les fonc-tions du SOC se bornent à du monito-ring, ou doivent-elles comprendre aussila mise en place de contremesures? Encas d'intrusion, le prestataire doit-ilalerter le client et/ou intervenir directe-ment dans le Système d'Information?Dans ce cas, se pose la question de laprise de contrôle du système, les moda-lités d'une telle ingérence dans le système informatique devant être précisément définies.

Toutes ces prérogatives du SOC peuvententrer en conflit avec la règlementationinterne, il convient donc de faire un auditde la règlementation, de sa conformitéavec les normes actuelles. Peut s'ensui-vre une modification de la charte infor-matique, du règlement intérieur, afin depermettre au SOC de mener à bien sesmissions. De tels changements peuventnécessiter l'information des salariés,voire une procédure d'information/consultation du Comité d'Entreprise (oudes délégués du personnel pour les en-treprises ne disposant pas de Comitéd'Entreprise), entraînant une extensiondes délais de la mise en place du SOC.Quoi qu'il en soit, le recours à un SOC doitse faire dans le respect de la vie privéedes salariés, et ne pas servir accessoire-ment d'outil d'espionnage du personnel.

LES NIVEAUX DE SERVICE

Le contrat doit tout d'abord établir les cri-tères de mesure de la prestation et défi-nir les atteintes concernées, prévoirspécifiquement les délais maximum deréaction, et les pénalités de retardéchéantes en cas de dépassement de cesdélais. Afin de s'assurer que le SOC res-pecte les procédures internes, ainsi queles niveaux de service définis, il est op-portun de se prévaloir de procédures decontrôle et des pénalités en cas de nonrespect des engagements. Un objectifnon sanctionnable est moins susceptibled'être respecté dans la durée.

LES DONNÉES CONFIDENTIELLES ET

DONNÉES PERSONNELLES

Il est essentiel de prévoir, dans toutcontrat tendant à externaliser des pres-tations de gestion et de sécurisation duSystème d'Information et par conséquentde donner accès à des informationsconfidentielles de l'entreprise et des don-nées personnelles des salariés, lesmoyens de protéger ces données. Lecontrat prévoira une clause de confidentia-lité pour les premières, contenant un voletspécifique aux données personnelles.

Le niveau de sécurité à fournir dépendraaussi de la localisation du SOC. En effet,l'Europe dispose d'une législation com-mune sur le sujet, mise en œuvre par lesdifférentes autorités nationales – enFrance, la CNIL - assurant une protectionjugée suffisante dans tous les pays mem-bres. Lorsque le prestataire se situe horsde l'Union Européenne, à l'exception dequelques pays hors UE dont le niveau deprotection des données est jugé suffisant,l'utilisation de clauses types ou l'adhé-rence à des Binding Corporate Rules parle prestataire – code de conduite sur lapolitique de transfert de données parl'entreprise – est nécessaire. De plus,dans ce cas précis, le Comité d'Entre-prise ou les représentants du personneldoivent en être informés.

Il est par ailleurs important de détermi-ner le traitement de ces données durantla vie du contrat, mais aussi après sa fin.

LA RESPONSABILITÉ DU PRESTATAIRE

En ce qui concerne les modalités d'enga-gement de la responsabilité du presta-taire, il est essentiel que la clause neprévoie pas trop de cas dans lesquels laresponsabilité peut être limitée. L'objetmême d'un contrat de SOC impliquantdirectement l'intégrité du Système d'In-formation, le prestataire ne peut doncprétendre à plafonner sa responsabilitéde façon trop importante. Il convient deprévoir un dédommagement proportion-nel aux potentiels dommages qui pour-raient provenir de la défaillance duprestataire. Afin d'assurer un tel dédom-magement, il est recommandé de prévoirune clause d'assurance permettant degarantir la réparation des dommages.

LE REPORTING

Le reporting, c'est la partie visible desopérations pour l'entreprise, la façon laplus simple d'évaluer la performance duprestataire. En conséquence, il est vitald'adopter un reporting en phase avec lesattentes d’une telle délégation de préro-gatives. La fréquence et le format de cesrapports doivent s'adapter aux objectifs(résumé des principaux incidents, del'activité des utilisateurs, tendance glo-bale des incidents actuels). Toutefois, ilest généralement recommandé de pré-voir une clause de contrôle ou d'audit quiviendra compléter le dispositif decontrôle du prestataire.

Bien entendu, les points évoqués ci-dessus ne peuvent en aucun cas êtreconsidérés comme exhaustifs des élé-ments devant être traités dans un contratSOC. Par exemple, il est aussi fortement recommandé de prévoir l'après contrat,notamment en vue d'assurer la conti-nuité du service, mais aussi le sort desinformations, données et documents collectés par le prestataire. � � �


LE SOC DE DEMAIN

LE SOC DE DEMAIN


Les NSOC sont aujourd'hui des centres de pilotage prépondérants de l’activité des Data Centers. Ces derniers

ne peuvent plus, en effet, se permettre d’interruption de service à l’ère du numérique. Pour Jacques Bénichou, les NSOC sont

même devenus le centre névralgique de supervision et de gestion des infrastructures IT : la salle de contrôle de la sécurité logique, physique et de fonctionnement.

Interview de Jacques Bénichou, adhérant au CESIT, Directeur Marketing et Business Operations de CHOREUS - Par Marc Jacob et Emmanuelle Lamandé

LESNSOC :CENTRES NÉVRALGIQUES

DES DATA CENTERS

Global Security Mag : De quelle manière un Security Operations Center(SOC) vient-il s’intégrer aujourd'huidans un Data Center sécurisé ?

Jacques Bénichou : Dans la mesure oùl’ensemble des fonctions et des équipe-ments, au-delà d’une protection phy-sique, sont à surveiller et à protéger, leSOC est un élément prépondérant dansle pilotage de l’activité du Data Center.C’est le centre névralgique de supervi-sion et de gestion des infrastructures IT :la salle de contrôle de la sécurité logique, physique et de fonctionnement.Personnellement, je préfère parler deNSOC (Network & Security OperationsCenter) plutôt que simplement de SOC,parce que les réseaux constituent lespasserelles de communication avec lemonde extérieur.

GS Mag : Quel état faites-vous de cemarché en France ?

Jacques Bénichou : On trouve des acteurs locaux spécialisés en gestion etadministration de réseaux et de la sécurité. La plupart sont très discretsquant à leur localisation et aux ressources allouées pour des raisonsque l’on peut aisément comprendre. Lemarché français est toutefois limitéalors que la plupart des entreprises recherchent des sociétés capables deles accompagner globalement. Les

moyens nécessaires au développementet à l’exploitation de ces architecturessont conséquents, ce qui a un impactdirect sur le nombre d’acteurs sur cesegment. Il faut pouvoir proposer unesurveillance au niveau européen etmondial à partir de la France, afin de seconformer aux demandes et contraintesdes clients. Il faut également pouvoirproposer un service continu 24/7 et unebonne couverture géographique pouraccompagner des entreprises interna-tionales sur les trois grandes zoneséconomiques. Les grands intégrateursréseaux et opérateurs télécoms propo-sent des prestations sous forme de services managés, certaines grandesEntreprises de Service Numérique(ESN) aussi. Elles ont pour la plupartdélocalisé ces instances de pilotage etde services en Near-Shore (principale-ment en Europe de l’Est) ou en Off-Shore (Inde, Singapour ou KualaLumpur). En France, on trouve des spécialistes de l’infogérance - RemoteServices (téléservices) et ceux de lagestion de la sécurité.

GS Mag : Quelles sont les exigences de qualité et de sécurité qui doiventvenir encadrer un SOC au niveau del’infrastructure ?

Jacques Bénichou : Des technologieséprouvées doivent être utilisées au niveau de l’infrastructure afin de garan-

tir la qualité et la sécurité d’un SOC : redondance électrique, télécoms, climatisation, extinction, vidéoprotec-tion, contrôle d’accès… Les sites SOC,du point de vue des infrastructuresmulti-techniques, informatiques et réseaux, doivent tous être redondés etsécurisés. Ayons bien en tête les enjeuxdu point de vue des utilisateurs de l’informatique. Plus aucun d’entre eux,qu’il soit professionnel ou grand public,ne tolère un arrêt ou une interruption deservice de ses applications informa-tiques ou mobiles. Nous sommes dansl’ère de l’énergie numérique, qui devientune commodité comme l’accès aux ressources, telles que l’eau, le gaz,l’électricité…


Jacques Bénichou : Ils seront sensible-ment les mêmes que ceux que l’ontrouve aujourd’hui. Ils intégreront lestechnologies SDN et de réseaux virtuels, avec les mécanismes de sécu-rité adaptés, et un recours de plus enplus prépondérant aux fonctionnalitésliées au Cloud Computing. � � �

18

GS Mag : A quoi ressembleront, selonvous, les SOC (Security Operations Center) de demain ?

SouverainetéDepuis 30 ans, les acteurs historiques dela sécurité informatique ont installé dessolutions dans le monde entier. Ils s’appuient sur de la R&D propriétaire :puces, bootloaders, logiciels de base, middlewares, OS, applications… Pour unemultitude de raisons, ces solutionscontiennent quantité de backdoors. Dansce contexte, il est impossible de prétendreà la souveraineté, l’exercice de l’autorité etdu contrôle sur son environnement. Pourtant, dans cette guerre économiquede mouvement, la sécurité des états et desentreprises en dépend. Aussi, à défaut demaîtriser l’intégralité des éléments du système, c’est à minima la supervision de la sécurité elle-même qui ne doit pasêtre hackable, grâce à des technologiessouveraines, auditables et maîtrisées.

Flexibilité, adaptabilitéLe SOC de demain doit s’adapter rapide-ment à des entreprises qui changent vite,en toute sécurité. Trop de SOCs sont au-jourd’hui rigides quand il s’agit de rajouterun SI, créer une filiale ou racheter une en-treprise. Le SIEM du SOC doit donc lui-même être flexible, modulaire et évolutif àun coût bas.

RT= Right Time et Real TimeEn PDCA appliqué à la cybersécurité, letemps de s’améliorer, et les données au-ront sans doute été volées, les contratsperdus, l’image de l’entreprise abîmée, oula fraude réussie… le SOC doit pouvoir fonc-tionner sur deux échelles de temps :• celle de la vision systémique, des sché-mas directeurs à 3 ans, dans une logiquePDCA, à cycles rapides ou lents ;

• celle de la guerre économique de mouve-ment rapide, le temps réel du pilote dechasse, en mode OODA (John Boyd, 1960).

GS Mag : Quelles évolutions sont, enconséquent, à prévoir dans votre domained’activité ?

CS a fait le choix d’une approche globalede la sécurité, et intègre des SOCs centrésclients, managés ou non, et qui adressentleurs besoins stratégiques et métiers.Ces SOCs sont souverains, avec commeprincipale brique technologique le SIEMPRELUDE, dont le code est auditable à100% et parfaitement maîtrisé. La quali-fication du SIEM PRELUDE est à l’étudeà l’ANSSI en France, ainsi qu’ en Alle-magne et en Europe. En tant que solutionqualifiée pour des OIV (France, Europe…),le SOC-CS restera conforme aux futuresexigences des décrets d’application de laLPM et de la directive SRI (NIS). CS traiteégalement avec ses clients la déclinaisonopérationnelle - entraînement, liens avecles processus métiers, NOC, juridique,RH, communications, GRC, DG…-, ainsique la mise en œuvre de solutions tech-niques à l’état de l’art, et veut contribuerà l’émergence d’une génération de cybercitoyens et cybercollaborateurs avisés.Ces SOCs sont aussi flexibles grâce à l’ar-chitecture modulaire haute performancedu SIEM PRELUDE, héritée de l’OpenSource. Dans le cadre de contrats en cours,CS sait mettre en œuvre des mini SOCsterrain en 24 heures, comme superviserune hiérarchie de 150 SOCs.

Orientation OODA : Observer, Orienter, Décider, Agir • Prévention et Veille : Observer, collecterdes données, en temps réel ;

• Détection et Alerte : Orienter, comprendre etsynthétiser l’information, en temps réel ;

• Réponse et Pilotage : Décider et Agir,pour le pilote, l’action est proche dutemps réel, pour le SOC, soit le tempsréel s’impose, soit l’observation de l’ad-versaire ainsi que l’action s’inscriventdans un temps long.

GS Mag : Comment allez-vous développervotre gamme de solutions en ce sens ?

CS développe pour son SOC plusieurs solutions et services d’avant-garde :• SIEM PRELUDE, à l’état de l’art mondialdes fonctionnalités, de la performance etde l’expérience client, modulaire, flexible ;

• Intégration de technologies à la pointe :gestion de vulnérabilités, sandboxes, remédiation… ;

• Convergence NOC-SOC et synergiesData Centers : briques communes NOCs- avec VIGILO - et SOCs, en mode losange :couches basses et hypervision com-munes, branches métiers NOC et SOCdifférentes ;

• Maintien en Condition de Sécurité (MCS),Groupe d’Intervention Rapide (GIR) ;

• SOC comme brique du MCS, avec SOC-CS multi clients, managés par CSou intégrés chez le client. nnn

INFORMATIONS PRATIQUES

Solution phareSOC-CS et SIEM PRELUDE

ContactThierry FLAJOLIETTéléphone+33 (0)6 20 82 29 [email protected]

Thierry Flajoliet, en charge de l’Offre Cybersécurité etServices de Confiance, CS Communication & Systèmes

Les organisations veulent aujourd’hui faire levier sur le digital tout en se protégeant des nouveaux dangers dans lecyberespace. Le SOC de demain doit renforcer la souveraineté

des états et des organisations, les aider à s’adapter dans leur métamorphose, en toute sécurité, et peut agir sur les

incidents en temps réel ou réfléchi.

OPÉRATEUR DE SOC

LE SOC-CS :ACCÉLÉRATEUR DE

LA TRANSFORMATION NUMÉRIQUE DE L’ENTREPRISE

19

GS Mag : A quoi ressembleront, selonvous, les SOC (Security Operations Center)de demain ?Le SOC agit tel le centre nerveux de la sé-curité en fournissant des alertes en tempsréel, des analyses sur les évolutions obser-vées en interne et en externe, de l’informa-tion à forte valeur ajoutée sur les menacespesantes sur l’organisation tout en gérantles incidents de sécurité impactant les acti-vités de l’entreprise. Le SOC est encore trop souvent perçu au-tour de sa composante technologique, leSIEM, au détriment des volets fonctionnels,humains et organisationnels. Nous obser-vons encore certains déploiements avec trèspeu, si ce n’est aucun alignement avec lagestion des risques métiers, IT et Sécuritéet sans prise de conscience des menaces etscénarios de risques en constante évolution. Pour faire face aux menaces, nous croyonsque le SOC de demain devra être Omnis-cient, Intelligent et Intégré. Omniscient, car il devra renseigner à toutmoment sur l’état de confidentialité, de dis-ponibilité et d’intégrité de l’ensemble desdonnées hébergées et traitées par les infra-structures, les applications et les terminauxfixes et mobiles. Intelligent, car il devra comprendre l’en-semble des informations provenant de dif-férents systèmes de sécurité et devancer lestechniques d’attaque sans cesse renouve-lées et autres sources de menaces crimi-nelles agissant sur Internet. Intégré au sein du cycle de vie de la sécuritéet des projets, interfacé avec les autres dis-positifs opérationnels (NOC, DRP…) et ali-gné à l’écosystème métier et géographiquede l’organisation.Ainsi, entre les fonctions régaliennes degestion des opérations et les obligations lé-gales ou contractuelles, le SOC de demainrépond à des besoins techniques, métierset d’assurance de plus en plus complexes.

Tout projet de SOC réussi commence parl’énoncé d’une vision claire de sa raisond’être, son intégration au sein de l’organisa-tion et des systèmes existants, s’appuyantsur une liste tenue à jour des scenarii derisques à couvrir et d’un catalogue de services à déployer.

GS Mag : Quelles évolutions sont, en conséquent, à prévoir dans votre domaine d’activité ?Il s’agit d’abord de pouvoir faire face à desmenaces toujours plus nombreuses etcomplexes tout en traitant des quantités dedonnées en croissance fulgurante. Un SOCefficace est consommateur de ressourcesimportantes et de compétences pointuespeu disponible sur le marché. Trois modèles de sourcing sont possibles :• Le déploiement d’un « SOC interne ouprivé» reste l’option la plus risquée : lestechnologies sont accessibles à un coûtglobal important et il est difficile de main-tenir une équipe suffisamment consé-quente et experte. Alimenter cette équipeavec les informations extérieures est unebarrière supplémentaire.

• L’infogérance à un prestataire de détectiond’incidents ou MSSP permet de bénéficierde l’effet de mutualisation et de volume :un événement détecté sur un client de-vient une brique d’intelligence mise enœuvre pour l’ensemble des clients servis.

• Le modèle Hybride est en plein essor, ils’agit de mettre en œuvre un SOC basésur les services d’un MSSP et complétéspar une équipe dédiée pour la gestion desincidents et interfaces avec les métiers etorganisations internes.

GS Mag : Comment allez-vous développervotre gamme de solutions en ce sens ?Notre force est une intégration toujours pluspoussée de nos propres solutions d’intelli-gence, alimentées en permanence par

notre CERT et équipe de recherche (environ200 personnes). A titre d’exemple, nos analystes ont des pos-sibilités de corrélation d’événements tou-jours plus avancées pour être en mesure dedétecter les attaques les plus complexes etles plus discrètes grâce à notre système deVLDB (Very Large Database) qui permet lestockage des événements de sécurité enmode Big Data.L’intégration au sein de Dell nous a égale-ment permis de développer nos services deconseils sur l’ensemble de l’Europe afind’accompagner nos clients non seulementsur la détection des incidents mais égale-ment sur leur prévention et leur gestionréactive. nnn


Solution phareManaged Security Services ; Veille et Intelligence ; Conseil en Sécurité et Gestion des Risques ; Réponse au Incidents et Forensique

ContactYannick RAGONNEAU Téléphone+33 (0)1 70 73 70 [email protected]

Yannick Ragonneau, Directeur Conseil EMEA, Dell SecureWorks

Dell SecureWorks est spécialisé dans la sécurité de l’information depuis plus de 15 ans au service de la protectiondes actifs critiques de ses 3800 clients répartis sur plus de 70 pays. Dell SecureWorks est reconnu par de nombreux

spécialistes comme un leader mondial du secteur. Nos SOCanalysent plus de 80 milliards d’évènements par jour et nos consultants ont réalisé plus de 5000 missions.

LE SOC, DE LA PLATEFORMESIEM À LA TOUR DE

CONTRÔLE INTELLIGENTE,OMNISCIENTE ET INTÉGRÉE

OPÉRATEUR DE SOC

20

GS Mag : A quoi ressembleront, selonvous, les SOC (Security Operations Center) de demain ?

Les SOC de demain intégreront : intelli-gence d’analyse, mémoire des événe-ments et capacité d’action.L’intelligence résultera de l’utilisation pardes analystes formés et compétentsd’outils performants de détection,d’étude comportementale et de re-cherche multidimensionnelle et descrip-tive des relations existantes entre lesévénements. Par analogie avec le mondephysique, il s’agit de détecter un intrusdans une foule, non par le contrôled’identité, mais par son comportementanormal.

La mémoire des événements est néces-saire pour détecter les attaques ditesfurtives. Il s’agit de reconstituer les potentiels scénarios d’attaques parl’analyse des événements (Log) de tousles équipements constitutifs du Systèmed’Information sur une longue période (àminima 1 an). L’exploitation de ces infor-mations impose de disposer d’unegrande capacité de stockage, associée àune puissance de calcul conséquente.Enfin, il importe de faire cesser l’agres-sion en restant dans le cadre légal. D’unemanière générale, les agresseurs ont besoin de l’anonymat pour continuer leuractivité. Le recueil de renseignements, lacaractérisation de l’agresseur et le signalement à la communauté et/ou auxautorités compétentes constituent deséléments de dissuasion et d’actions enmesure de faire cesser les attaques.

GS Mag : Quelles évolutions sont, enconséquent, à prévoir dans votre domaine d’activité ?

Le SOC chez Numergy s’inscrit dans unprocessus d’amélioration continue, intégrant aussi les équipes développantet opérant l’offre Cloud. L’évolution suivradeux axes : • D’une part, l’amélioration de la détec-tion au travers de l’augmentation de lapuissance de calcul et de la mémoire,ainsi que l’évolution des algorithmes dedétection ;

• D’autre part, une prise en compte deplus en plus poussée et de plus en plusrapide du retour d’expérience, issu del’ingénierie inverse des scénarios d’at-taques, dans l’évolution technique de laplateforme et des processus d’admi-nistration de celle-ci. Il s’agit de répon-dre à la menace en passant en modeagile et proactif.

GS Mag : Comment allez-vous dévelop-per votre gamme de solutions en cesens ?

Le SOC de Numergy assure la protectionde la plateforme Cloud et alerte lesclients de celle-ci. Cette offre va êtreétendue suivant les deux axes suivants :• Avec l’aide de ses partenaires, Numergy étendra la protection appor-tée par le SOC aux Systèmes d’Infor-mations des clients installés dans lesmachines virtuelles, ainsi qu’un serviced’aide à la résolution d’incidents de sécurité.

• Pour les clients déjà équipés,

Numergy proposera un transfert desévénements bruts ou traités vers leursSOC respectifs. Ils obtiendront ainsi lacomplétude de la surveillance de leursactifs informationnels. nnn


Solution phareSOC de nouvelle génération

ContactThierry FLORIANITéléphone+33 (0)1 79 63 16 [email protected]

Thierry Floriani, Directeur de la Sécurité chez Numergy

L’évolution de la cyber menace, sa permanence et sa professionnalisation impactent directement

les méthodes et les moyens pour sécuriser les Systèmes d’Informations sensibles. Si les SOC se voient pérennisés dans leur rôle de surveillance, ils doivent désormais répondre à de nouveaux défis :

détecter les attaques réussies et faire cesser les actions malveillantes.

OPÉRATEUR DE SOC

LES SOC DE

NOUVELLE GÉNÉRATION :DE LA SURVEILLANCE

À LA RÉACTIVITÉ

21

GS Mag : A quoi ressembleront, selonvous, les SOC (Security OperationsCenter) de demain ?

Les SOC auront tout d’abord une chargede plus en plus critique dans le fonction-nement des entreprises : la protectiondes données critiques de l’entrepriseoccupe une place croissante dans lespréoccupations des directions géné-rales. Le risque Cybersécurité est pré-sent dans l’esprit de tous, et les SOC severront confier une mission phare quinécessite des engagements à la hauteurdes enjeux. Par ailleurs, la complexitédes attaques mises en œuvre nécessi-tera une intégration de nombreux si-gnaux faibles prélevés à différentsniveaux de l’entreprise, une connais-sance détaillée du marché des attaqueset le déploiement d’une force de réactionextrêmement spécialisée. Autre effet debord de cette complexité, les défenseursdevront se grouper pour pouvoir faireface et (enfin) aller plus vite que les at-taquants. Le rapport Verizon DataBreach Investigation Report 2014 mon-tre que la détection d’une compromis-sion prend des jours, des semaines oudes mois, alors qu’il n’a fallu quequelques minutes pour entrer dans lesystème…

GS Mag : Quelles évolutions sont, en conséquent, à prévoir dans votredomaine d’activité ?

Inévitablement, les clients ne vont pluspouvoir développer ces capacités en in-ternes et devront de plus en plus s’ap-puyer sur des spécialistes du domainepour détecter et même chasser les at-taques. Il va donc falloir être capabled’analyser très finement les comporte-ments et d’agir au plus vite pour inhiberau plus tôt la chaîne d’attaque. Aucun acteur n’est capable d’acquérir

isolément une vision globale des me-naces, et il nous semble indispensablequ’entreprises et organisations du sec-teur coopèrent pour mettre en communleurs connaissances, leur intelligence,et leur analyse des attaques. C’est à celaque sert le framework VERIS (Vocabu-lary for Event Recording and IncidentSharing), qui offre à tous les acteursconcernés un standard commun pour lacollecte et l’analyse des incidents de sé-curité.Mais si l’analyse des cybermenaces estrenforcée par l’intelligence collective, ledéploiement stratégique et tactique quien résulte, ainsi que la réaction appli-quée aux situations de risque ou d’inci-dent, doivent être adaptés au contexte dechaque entreprise. C’est cette connais-sance situationnelle qui permet de ré-pondre le plus efficacement possible auxattaques.


En tout premier lieu, nous prévoyonsune augmentation significative de l’acti-vité avec l’arrivée de nouveaux clientsqui ne peuvent pas développer ces ca-pacités spécifiques. Nous avons déjà 7SOC à travers le monde et nous conti-nuons à investir dans ces structuresstratégiques. Nous avons récemmentannoncé la construction d’un 8ème SOCà Tokyo. Par ailleurs, nous développonsnotre offre en consolidant nos solutionsde sécurité managée avec des solutionsd’analyse avancées.

Verizon a ainsi présenté un nouvel outilstratégique et de réponse aux cyberme-naces, le Verizon Cyber IntelligenceCenter. Au service de nos clients partoutà travers le monde, il fournit une aide àl’identification des attaques ainsi quedes capacités de réponse permettant de

mieux les gérer et d’en atténuer les ef-fets. Les analystes de sécurité du VCICont accès à des informations de cyber-intelligence sans précédent, et ils ac-compagnent les entreprises qui sont lacible d’attaques afin qu’elles puissentles identifier et réagir au plus tôt.

Cela passe par le développement d’unprogramme de sécurité personnalisépour chaque client, comprenant tout untravail de préparation et d’installation decontrôles de sécurité. Ensuite les ana-lystes de sécurité du VCIC assurent uneveille du système pour détecter d’éven-tuels incidents et y répondre aux mieux.Ils mènent également des campagnesproactives, dès la détection d’une nou-velle menace qui pourrait concernerl’entreprise cliente. Ces solutions de sé-curité managée nouvelle générationsont en plein essor. nnn


Solution phareVerizon Managed SIEM

ContactGuillaume SIMENELTéléphone+33 (0)1 70 73 70 54CourrielSecuritySolutionsContact@verizon.comWebwww.verizonenterprise.com/solutions/security

Guillaume Simenel, Spécialiste produits sécurité, Verizon

Combiner vision globale des menaces et programme de sécurité personnalisé pour chaque entreprise, c’est

la solution en plein essor aujourd’hui proposée par Verizon. Le spécialiste fait franchir au SOC une nouvelle étape en

le connectant au Verizon Cyber Intelligence Center.

LE SOC ENTRE DANSL’ÈRE DE LA CYBER-

INTELLIGENCE

OPÉRATEUR DE SOC

22

GS Mag : A quoi ressembleront, selonvous, les SOC de demain ? Jusqu’à présent, les SOC (1.0) sontconstitués d’experts offrant un servicemutualisé, permettant à des entreprisesde voir leur sécurité prise en charge defaçon plus fiable et plus viable que lessolutions internes. Ce modèle tend au-jourd’hui à s’effacer au profit des SOC 2.0ou du Virtual SOC privilégiant l’allocationde spécialistes sur un modèle « à la de-mande » plutôt que de les mobiliser dèsle premier niveau du SOC. Dans le même temps, toutes les étudesdémontrent que les menaces deviennentde plus en plus complexes et ciblées. Ilfaut toujours plus de ressources hyper-spécialisées pour les détecter, les conte-nir ou les prévenir. Les attaques fontdonc appel à des personnes hautementqualifiées, géographiquement répartieset constituant une équipe virtuelle opé-rationnelle.Les SOC de demain devront donc euxaussi s’adapter : • Le SOC devra mettre en œuvre desmoyens techniques avancés de détec-tion. Les outils classiques ne suffirontpas. Les firewalls, IDS, firewalls applica-tifs filtrants (WAF), antivirus, etc. serontcertes importants pour contenir les at-taques simples, mais ils ne seront passuffisants. Les SIEM font déjà un travailremarquable dans la détection, mais ilsdevront se surpasser dans le futur,complétés par des moyens de détectionavancés.• L’analyse des comportements de l’en-treprise devra permettre la détection desymptômes. En jumelant « Big Data »pour l’investigation des millions de logset « Sécurité », il devrait être possible dedétecter des pertes de données et d’y re-médier.• Si les attaques sont distribuées, dansce cas les défenses ne devraient-ellespas l’être? Les coopérations pour parta-

ger les informations sont en place, maisnous devrons être capables d’aller plusloin pour mener des actions conjointesdans le futur.

GS Mag : Quelles évolutions sont, enconséquent, à prévoir dans votre domaine d’activité ? Dans le cadre de l’évolution des SOC, lesprocédures et les protocoles de travaildevront être de mieux en mieux maîtri-sés. Les audits de procédures vont s’in-tensifier, car les clients auront besoin deréférentiels de confiance.Etant donné la complexité des attaques,il est important de comprendre que lesmoyens de protection doivent découlerde la mise en place d’une politique degestion des données client. Les SOC nedoivent pas proposer des outils, maisutiliser des outils alignés sur l’analysede risques des clients. Celle-ci doit s’ap-puyer sur une démarche exhaustive dela part des clients, comme celle proposéedans le « Cyber Security Framework » du NIST.Du côté des SOC, les connexions avecdes tiers vont devoir se multiplier. Lemonde de la recherche, les hyper-spé-cialistes des multiples domaines de lacyber-défense, les nouvelles technolo-gies doivent trouver une oreille attentiveauprès des gestionnaires de SOC. Lesmodèles ne doivent pas être figés, afin depouvoir s’adapter et de pouvoir réagir àde nouveaux types d’attaques. Là encore,l’agilité des organisations fera la diffé-rence.

GS Mag : Comment allez-vous déve-lopper votre gamme de solutions en ce sens ? Notre service fonctionne déjà sur lesbases d’un modèle 2.0. Nos certificationsISO 20000, ISO 27001 et ISO 9001 per-mettent à nos clients de comprendre lamaturité de nos procédures.

Notre gamme d’outils a pour but de ré-pondre à toutes les étapes nécessaires àla gestion d’une problématique de sécu-rité informatique. Nous utilisons parexemple, le Framework du NIST pour ar-gumenter nos services: analyse/identifi-cation, détection, réponse et résolution. Dans la gestion concrète des incidents,nous supportons les technologies lesplus éprouvées et investiguons surl’émergence de nouveautés. Notre SIEMrepose sur l’expertise de nos équipes etnous permet de proposer des scenarii dedétection avancés. Nos liens avec diffé-rents acteurs extérieurs de confiancenous permettent de nous remettre enquestion régulièrement.En d’autres termes, si la nouvelle géné-ration est hyper-connectée, les nouveauxattaquants le sont tout autant. nnn


Solution phareTrusted Security Europe

ContactRégis JEANDINTéléphone+352 26 06 [email protected]://security.ebrc.com

Régis Jeandin, Head of Security Services, EBRC

La complexité des Cyber-attaques et les enjeux d’une économie hyper-connectée font que les SOC

actuels doivent évoluer. EBRC Trusted Security Europepropose une nouvelle alternative en proposant une chaîne de services à haute valeur ajoutée (de l’analyse au forensics), connectée et agile.

DES SOCHYPER CONNECTÉS

ET DISTRIBUÉS

OPÉRATEUR DE SOC & DE DATA CENTERS

23


Avant de répondre à cette question,rappelons d’abord la vision de TDF surles Datacenters de demain : à côté desDatacenters internationaux, les Data-centers régionaux occuperont uneplace prépondérante. Ils seront évolu-tifs, avec un design compact industria-lisé et une simplicité d’exploitationrendue possible par la mise en œuvrede solutions et technologies homo-gènes.

Ces Datacenters régionaux à taille hu-maine, maillés entre eux et combinésaux exigences des clients en matièrede sécurité entraînent une conver-gence des NOC (Network OperationsCenter) et SOC (Security OperationsCenter), tels qu’on les connaît au-jourd’hui, vers des NSOC (Network & Security Operations Center) uniques. Cette « fusion », grâce à son interfaceunique, offre de nombreux avantages :une meilleure cohérence dans le processus de gestion des risques, un raccourcissement des délais d’in-tervention, une administration simpli-fiée et une meilleure maîtrise descoûts.

GS Mag : Quelles évolutions sont, en conséquent, à prévoir dans votredomaine d’activité ?

Avec la croissance forte de la criticitédes données et le développement decadres réglementaires stricts danscertains secteurs d’activités, les opé-rateurs de Datacenters régionaux sedoivent de mettre en œuvre une orga-nisation et une gestion de la sécuritéaussi efficace que celles des grandsDatacenters internationaux.

Ceux qui ne sauront pas répondre àcette problématique se priveront de certains segments de marché significatifs.

GS Mag : Comment allez-vous développer votre gamme de solutionsen ce sens ?

La gestion de sites hautement sensi-bles fait partie de l’ADN de TDF. Depuissa création, TDF héberge et opère ainsiles services critiques des acteurs del’audiovisuel. Ainsi, TDF dispose d’unSOC, qui veille à la sécurité des infra-structures, et d’un NOC qui se focalisesur le bon fonctionnement et la dispo-nibilité de ces dernières. Ces deux cen-tres interagissent de plus en plusfortement.

En l’espace de 15 mois, TDF a déployéquatre Datacenters : Bordeaux en mai2013, Lille en mars 2014, Rennes etAix-Marseille dont l’ouverture com-merciale est prévue à l’été prochain.Nous étudions actuellement de nou-velles implantations, en particulier àLyon et dans l’Est de la France, afin deconstituer un véritable réseau mailléde Datacenters régionaux. Nos Proxi-Center (nom commercial de nos Data-centers) sont tous reliés par notreRéseau Ultra-Haut Débit, entièrementopéré par nos équipes, dont nouscontinuons à développer l’emprise.

Au-delà de nos sites, ce réseau (quis’étend aujourd’hui sur plus de 4 500km) interconnecte les principauxpoints de présence opérateurs en Ile-de-France et en région. Sa technologie,unique en France, offre une largegamme de débits et garantit une maî-trise inégalée de la latence, permettantainsi le développement d’offres de PRAentre deux Datacenters sur de trèslongues distances ; et l’activation de

fonctions de cryptage afin de renforcerla sécurité du transport des données.

Aujourd’hui certifiée ISO 9001, TDF va prochainement lancer une dé-marche de certification ISO 27001 pourson activité Datacenter. Des étudesconcernant l’opportunité d’obtenir lesagréments dans le domaine de la finance et de la santé sont aujourd’huien cours.

Opérateur neutre et indépendant deDatacenters en région, nous faisonsévoluer en permanence notre offre enanticipant les attentes de nos clients,en particulier en matière de sécurité.

Pour plus d’informations : www.tdf.fr nnn


Solution phareDatacenter en régions ContactJérôme SANGOUARDTéléphone+33 (0)1 55 95 16 [email protected]

Jérôme Sangouard, Directeur Grands Comptes

Datacenter et Transport, TDF

Données critiques, réglementation stricte, maillage des Datacenters… autant de facteurs

entraînant une évolution de la gestion de la sécurité et une convergence des NOC et SOC vers les NSOC.

LA SÉCURITÉ DES DATACENTERS DE DEMAIN

PASSERA PAR LES NSOC

OPÉRATEUR DE SOC & DE DATA CENTERS

24

Global Security Mag : Quelle estvotre définition d’un Security Opera-tions Center (SOC) ?

Pour faire simple et être compréhen-sible par tous, je dirais qu’un SecurityOperations Center est comparable au« tableau de bord » d’une voiture. Ilsupervise le fonctionnement, détecteles disfonctionnements, remonte desalertes (Ex : niveau carburant bas) oudes alarmes (Ex : haute températuremoteur) suivant les cas. C’est donc unélément essentiel au parfait fonction-nement des systèmes I.T.

GS Mag : Quel est l’état de ce marchéen France ?

De plus en plus de clients nous inter-rogent sur ce sujet, ce qui permet deconfirmer que ce marché est en phasede développement et prometteur d’unbel avenir !

GS Mag : Quels sont les types d’orga-nisations qui disposent aujourd'huimajoritairement d’un SOC ou qui fontappel à ces services?

Les grands groupes privés (Assu-rances, Banques, GSB, etc.) disposantd’un RSSI nous semblent être plussensibles à ce type de démarche.

GS Mag : Quelles sont les exigencesde qualité et de sécurité qui doiventencadrer un SOC, tant au niveau de laSSI que des infrastructures ?

Comment envisager réduire lesrisques d’indisponibilité des systèmesI.T. sans un outil de supervision dispo-sant d’un très haut niveau de fiabilitédisponible H24/7/7/365 ? Un SOC doit

s’articuler autour d’un système detrès haute qualité piloté par uneéquipe d’opérateurs mesurant parfai-tement leurs responsabilités.

GS Mag : Quelles garanties peuventexiger les clients dans le cadre deces prestations ?

Le niveau de disponibilité reste, ànotre avis, le meilleur moyen de me-surer la cohérence entre les exi-gences clients et l’outil proposé (Tousn’ont pas besoin d’une disponibilité à100%). Les garanties doivent êtreadaptées aux besoins et clairementexplicitées dans le contrat (Ne pas ou-blier que le prestataire a un devoir deconseil envers son client et notam-ment celui de l’aider à fixer le niveaude ses exigences s’il n’en a pas la pos-sibilité !)

GS Mag : Quelles sont les obligationslégales que doivent respecter lesfournisseurs de ce type de services ?

Les contrats doivent être rédigés enfixant clairement les responsabilitésde chacun des acteurs. Cela supposeun peu de personnalisation dans lescontrats ! Les contrats « Copier - col-ler » ne nous semblent plus oppor-tuns. Plus les contrats seront clairs etexplicites, moins les litiges existeront.

GS Mag : De quelle manière un SOCvient-il s’intégrer dans la chaîne sécurité (CERTs, Data Centers…) ?

C’est, à notre avis, la suite logiqued’une chaîne de valeur. Encore faut-ilque tous les acteurs de cette chaînerespectent ces valeurs (Qualité, trans-parence, étique, intégrité, etc.).


Les pratiques changent, les besoinsévoluent, le juridique prend le dessus !Dans un tel contexte, il est importantde « tout tracer », afin de permettrede reconstruire un évènement et d’enrechercher l’origine de la cause ! Lavictime peut, dans certains cas, se retrouver coupable si les tenants etles aboutissants n’ont pas été claire-ment spécifiés.A notre avis, les SOC de demain se-ront l’affaire de l’association de « spé-cialistes métiers ». Tenter de vouloirmaîtriser toute la chaîne de valeur se-rait une grave erreur. A chacun sonmétier ! nnn


Solution phareHébergement serveurs à partir du ¼ de baie, le Free Cooling, Cold Corridor, APSAD N7, N13, N81 ContactJeremy COUSINTéléphone+33 (0)3 20 70 39 [email protected]

Serge Cousin, Président du Conseil de Surveillance, Jeremy Cousin, PDG,

et Sébastien Cousin, DG de CIV France SA

CIV est un opérateur de Data Centerssitué dans le Nord de la France. Pourses dirigeants, les SOC de demain seront l’affaire de l’association de

« spécialistes métiers ».

OPÉRATEUR DE DATA CENTERS

LES SOC DE DEMAIN SERONT L’AFFAIRE DE L’ASSOCIATION

DE « SPÉCIALISTES MÉTIERS »

© Laurent GHESQUIERE

25

GS Mag : A quoi ressembleront, selonvous, les SOC (Security OperationsCenter) de demain ?En premier lieu, il semble logique d’ima-giner que ces SOC vont suivre la ten-dance « Cloud » actuelle, et vont doncêtre externalisés pour être mis à la disposition de diverses entreprises ouorganisations.Cela permettra de mutualiser les technologies de protection et leur usage,et de faire bénéficier chaque utilisateurdes retours croisés des autres, en fonction des attaques subies par cha-cun. Cela nécessitera en contrepartieune forte étanchéité, de manière à éviterqu’un utilisateur ait connaissance desdétails d’une attaque subie par un autre(même s’il en bénéficiera indirectementà travers la mise à jour des outils deprotection).Un RSSI devra pouvoir s’adresser auSOC de son choix à chaque instant, enfonction de la problématique qu’il rencontrera et de l’aptitude de tel ou telSOC à y répondre, qu’il s’agisse d’activerune protection en temps réel, de délivrerune expertise ponctuelle sur un pointspécifique, ou bien encore d’apporterdes éléments de visibilité sur une situation globale.Un tel SOC devra donc mettre à disposition tout un bouquet de servicesdans lequel l’utilisateur viendra puiserce dont il a besoin, une véritable boîte àoutils en libre-service à la disposition duRSSI, en quelque sorte.

GS Mag : Quelles évolutions sont, par conséquent, à prévoir dans votredomaine d’activité ?Le mode de mise en œuvre des servicesde sécurité délivrés par de tels SOCdevra évoluer de manière à améliorer laréactivité de ces infrastructure dans larapidité et la pertinence de la réponse.Ceci implique probablement de mettre

encore plus l’accent sur la facilité de « commander » un service de sécurité, deparamétrer son mode de fonctionnementpar rapport à son propre environnement,et de le mettre en œuvre rapidement.Cela nécessitera aussi d’améliorer les ou-tils de visibilité et la qualité du reporting,tout en assurant le cloisonnement néces-saire entre les différents périmètres(clients) protégés simultanément par lesmêmes solutions.Par ailleurs, il semble indispensabled’offrir à l’utilisateur la maîtrise descoûts induits par la consommation entemps réel de ces services, grâce à unpaiement à l’usage. Les coûts d’utilisa-tion devront être par ailleurs plus abordables qu’à l’heure actuelle, pourles rendre accessibles aux plus petitesorganisations victimes d’attaques. Celanécessite probablement une remise enquestion du modèle économique d’uncertain nombre d’acteurs du secteur,mais la mutualisation des moyens devrait le permettre.De plus, dans un tel mode de fonction-nement, la disponibilité devient véritable-ment incontournable : non seulementles solutions devront garantir à l’utilisa-teur que les attaques ne pourront pascompromettre la disponibilité de sesdonnées ou de ses moyens de commu-nication, mais en outre, le SOC lui-même devra être protégé afin d’êtredisponible en permanence.Enfin, dans un contexte où la souverai-neté des données est préoccupante, lefait de s’appuyer sur des technologiesmaîtrisées est un avantage incontesta-ble pour les SOC modernes, car l’utili-sateur n’aura pas à renoncer à lamaîtrise de ses informations sensiblespour être protégé.

GS Mag : Comment allez-vous dévelop-per votre gamme de solutions en cesens ?Nos solutions sont déjà conçues pour

répondre aux problématiques de facilitéd’utilisation, de visibilité et de souplessede mise en œuvre. Nous gérons aussi lecloisonnement de différents périmètresprotégés simultanément par nos solu-tions. Aujourd’hui, nous travaillons dansle domaine de la virtualisation pour permettre à un client de sélectionnerplus facilement nos solutions et de lesmettre en œuvre instantanément pourfaire face aux attaques. Nous adaptonsaussi nos offres commerciales à une tarification à l’usage et proportionnelleau contexte protégé, de manière à ré-pondre aux impératifs de maîtrise descoûts et d’accessibilité commerciale,évoqués précédemment.Par ailleurs, nos solutions sont déjàopérationnelles pour protéger la dispo-nibilité des SOC eux-mêmes. nnn


Solution phareThreat Protection, solution de lutte contre les attaquesd’origine inconnue. Solution spécifiquede mitigation des attaques par déni deservice (DDoS).

ContactFabrice CLERCTéléphone+33 (0)2 50 01 15 [email protected]

Fabrice Clerc, CEO de 6cure

Souplesse et rapidité de mise en œuvre, maîtrise des coûts,disponibilité, souveraineté… certains sujets semblent

incontournables pour imaginer le SOC de demain. Selon 6cure, c’est certainement en répondant à ces impératifsque le SOC moderne offrira de manière optimale un bouquetde services de protection à l’utilisateur, et s’imposera comme

la boîte à outils en libre-service du RSSI du futur.

LUTTE CONTRE LE DDOS : LE CŒUR DU SOC DE DEMAIN

SÉCURITÉ INFORMATIQUE

26

GS Mag : A quoi ressembleront, selonvous, les SOC (Security OperationsCenter) de demain ?Les SOC de demain utiliseront des ou-tils labellisés et souverains. Ils utilise-ront les briques indispensables desécurité, comme le SIEM, le manage-ment des vulnérabilités, le tableau debord décisionnel, le contrôle de confor-mité et l’analyse comportementale.Leur capacité à détecter les nouvellesmenaces, telles que les virus et at-taques inconnus, sera devenue indis-pensable.

GS Mag : Quelles évolutions sont, enconséquent, à prévoir dans votre domaine d’activité ?Les attaques sont aujourd’hui cibléeset les outils actuels de protection sontobsolètes ou dépassés. La solutionIKare Security (scanner de vulnérabili-tés, commercialisé depuis 2012) em-pêche la propagation des virus et, avecIKare Perdix (analyse comportemen-tale, état de prototype), les attaquesauraient été détectées en amont. Cesont ces évolutions qui sont ou serontnécessaires dans nos métiers.

GS Mag : Comment allez-vous déve-lopper votre gamme de solutions ence sens ?Nos travaux sont orientés depuis 5 anssur les SOC de nouvelle génération.IKare, scanner de vulnérabilités, per-met aujourd’hui d’augmenter de 99%son niveau de sécurité par la détectiondes failles élémentaires. IKare est ac-tuellement intégré dans 3 offres deSOC européen comme brique majeure. Nous finalisons actuellement un outilde nouvelle génération permettant dedétecter en amont la propagation devirus et attaques inconnus (Perdix) etqui obtient des résultats exceptionnelsd'exposition aux risques, simplement,en peu de temps. nnn


Solutions pharesIKare Security (scanner de vulnérabilités)IKare Perdix (analyse comportementale)

ContactJean-Nicolas PIOTROWSKITéléphone+33 (0)5 67 34 67 [email protected]

SÉCURITÉ INFORMATIQUE Jean-Nicolas Piotrowski, PDG Fondateur d’ITrust

75%, c’est le taux d’entreprises piratées au cours des 2 dernières années et 8 fois sur 10

celles-ci ne le savent même pas. Toutes possédaientles outils basiques de sécurité : FIREWALL,

ANTIVIRUS, SAUVEGARDE…Avec notre technologie, les virus et attaques ne

pourront pas se propager et seront détectés en amont.

SOC DE NOUVELLE GÉNÉRATION

http://www.itrust.fr/essai-gratuit-ikare/

http://www.itrust.fr/essai-gratuit-ikare/

27


Solution phareLastline Entreprise/Analyst

ContactEmmanuel LE BOHECTéléphone+33 (0)6 20 71 02 [email protected]

Emmanuel Le Bohec, Directeur Régional Europe du Sud, Lastline

Déjà utilisée par 90% des SoC et CERT mondiaux, la technologie de lutte contre les malwares (programmesmalicieux) avancés de Lastline s’adapte à leur évolutionconstante pour continuer à accompagner les équipes

opérationnelles dans leurs tâches quotidiennes.

LASTLINE,OUTIL INDISPENSABLE

DES SOC



L’évolution des menaces nécessite d’ob-server une quantité de plus en plus importante d’informations issues de dif-férents outils complémentaires (se che-vauchant parfois partiellement sur leplan fonctionnel). Aussi le SoC de demain devra automatiser une grandequantité de tâches. La première étaperestera d’obtenir les informations. Laseconde de les centraliser, puis de lescorréler afin d’en tirer des actions àmener et surtout des priorités. Si la plupart des outils savent générer deslogs, la collecte & la corrélation demeu-rent un des challenges du SoC de de-main. Mais, au-delà de l’importance deslogs & de leur analyse, l’analyse desmalwares permet de mieux comprendrel’origine de l’attaque et de déterminer sielle est ciblée ou non. En effet, il y a unerelation directe entre la complexité dumalware & le ciblage de la victime. Làaussi, la mise en place d’outils pour au-tomatiser une grande partie de l’analyseet gagner du temps - élément essentieldans la guerre contre les attaquants -est encore bien en retard par rapportaux menaces et à certains pays euro-péens, comme l’Angleterre, la Suisse oule BeNeLux.


De manière globale, les SoC de demaincommuniqueront entre eux pour com-battre les attaques visant une région, unpays (notamment en cas de conflit mo-derne) ou lutter plus efficacementcontre des attaquants spécialisés dansles outils ou pratiques de métiers

spécifiques. Ceci devrait aussi être facilité et encouragé par l’ANSSI.

Les entreprises ne pouvant mettre enplace leur propre SoC devront se tournervers des tiers de confiance spécialisésdans cette activité, qu’il s’agisse d’uneactivité unique (pur fournisseur de ser-vices managés de sécurité) ou d’uneoffre de leur catalogue (opérateur ou in-tégrateur avec une entité support/su-pervision/expertise 24/7).

L’ensemble des experts privés et publicsdevront communiquer et échanger desinformations pour gagner en réactivité.Ceci s’amplifiera avec l’implication pro-bable des éditeurs de solutions de sécu-rité.


Nos solutions ont été pensées selon 2axes : l’utilisation en entreprise, pourune détection en temps réel et un blo-cage pouvant être automatisé de fichierscontenant du code malicieux (LastlineEntreprise) et l’utilisation à la demandepour faciliter le reverse-engineering desmalwares (Lastline Analyst). Cette der-nière permet, selon des équipes CERT,d’automatiser jusqu’à 80-90% de leurstâches, laissant du temps pour gérerplus de fichiers ou surtout pour finaliserl’analyse qui demande une connais-sance humaine de l’environnement, desprocessus métiers, etc.

Afin de rester pertinent face aux évolu-tions constantes, nous demeurons àl’écoute des équipes de SoC et CERT uti-lisant nos solutions pour ajouter lesfonctionnalités qui font gagner en

pertinence & réactivité. Nous avonsainsi ajouté l’exportation des états de lamémoire à différents instants de l’ana-lyse du malware (dans un format com-patible avec l’outil utilisé : Volatility etIDA – pour les connaisseurs) ou un gra-phique représentant dans le temps lesprocessus impliqués.

Un autre aspect particulier de Lastlineest lié à son origine universitaire : le fluxd’informations issu de notre R&D per-manente a, depuis l’origine, été mis àdisposition et partagé avec la commu-nauté, cliente ou non.

Notre forte expertise et notre présencesur le terrain, aux côtés de nos clients etde nos partenaires, ainsi que la totalemaîtrise des produits, nous permettentd’assurer un suivi permanent et unegrande réactivité. nnn

28


Le SOC est actuellement une plate-forme qui fournit les services de détec-tion des incidents de sécurité. A l’avenir,le SOC verra une intégration croissanteavec les autres départements de l’entre-prise et devra comprendre les métierset les informations sensibles de chaquedépartement.

Le SIEM est une des briques principalesdu SOC, puisqu’il collecte tous les évè-nements. Les attaques étant de plus enplus sophistiquées, mais pas forcémentinitiée par des attaques directes ciblantles informations recherchées, le SIEMdevra s’appuyer sur des sources d’infor-mation plus larges.


Le SIEM efficace devra avoir une com-préhension des modes opératoires desattaquants, et de sa traduction en évè-nements générés. En outre, le SIEMdevra également pourvoir réagir aux at-taques, de préférence lors des phasespréliminaires, et proposer différentesremédiations à ces attaques.


Nous nous concentrons sur la compré-hension du comportement normal dusystème d’information, et l’interpréta-tion de changement de comportementd’un ou plusieurs éléments de ce sys-tème (serveurs, utilisateurs, applica-tions, réseau), de manière individuelleou corroborée. Les évènements généréspar le système d’information n’étant passuffisants pour avoir une visibilité totalesur ce qui se passe, nous avons déve-loppé deux outils fournissant ces infor-mations complémentaires : SystemMonitor, un agent qui s’installe sur lesserveurs et permet de suivre l’activitédes fichiers, des processus et desconnexions réseau, et Network Monitor,qui identifie les applications traversantle réseau et permet de capturer et ana-lyser les paquets. Ultimement, notresystème intégrera de plus en plus descapacités d’intelligence artificielle, ce qui permettra à notre solution de réagir avec plus de rapidité et deprécision. nnn


Solution phareSIEM 2.0

ContactJean-Pierre CARLINTéléphone+33 (0)1 40 88 11 [email protected]://www.logrhythm.com/

Jean-Pierre Carlin, Directeur EMEA Sud, LogRhythm

Dans le cadre des évolutions consacrées au SOC, les fonctionnalités liées à l’analyse comportementale vont permettrede mieux détecter les incidents. En outre, l’intégration progressive de l’ensemble des divisions de l’entreprise au SOC va donner lieu

à des analyses plus précises, pour anticiper les attaques et les détecter le plus rapidement possible.

LE SIEM,UN ATOUT

INDISPENSABLE POUR OPTIMISER

L’EFFICACITÉ DU SOC


29

GS Mag : A quoi ressembleront, selonvous, les SOC (Security OperationsCenter) de demain ? Il est facile de se convaincre que le SOCde demain aura intégré les technologiesprometteuses du Big Data. Cependant,il est plus difficile de concevoir commentdes équipes humaines pourront garderle contrôle sur les analyses automa-tiques liées à l’intelligence artificielle etles milliards de décisions instantanéesque prendront les équipements de sécurité.Je considère que le premier enjeu ma-jeur pour les SOC de demain sera d’of-frir une vraie visibilité sur les SI autravers d’un choix de technologies qui neseront pas que des boîtes noires. Je necrois pas que ceci soit le cas aujourd’hui.Le second enjeu majeur, à mes yeux,sera que ces technologies garantissentune capacité à enquêter vite et en pro-fondeur pour détecter des phénomènesinconnus. Sans oublier que, même dansla recherche de l’inconnu et dans la dé-tection des signaux faibles, l’objectifprincipal doit rester de dégager une vision d’ensemble synthétique.

GS Mag : Quelles évolutions sont, enconséquent, à prévoir dans votre domaine d’activité ? Notre domaine d’activité est centré surle développement d’outils permettant àdes humains de conduire rapidementdes analyses fines sur des grands vo-lumes de données, dans le but de détec-ter des signaux faibles inconnus et dedégager une vision d’ensemble structu-rée. C’est pourquoi cette tendanced’évolution des SOC vers une capacitéhumaine d’investigation nous saute auxyeux. Il suffit d’écouter certaines équipesde SOC se plaindre de la pénibilité des « analyses par requêtes type Base deDonnées » pour s’en convaincre !Je pense que l’explosion des quantités

de données va obliger les SOC à moinsmiser sur des solutions « tout en un »,tels les SIEM, mais à privilégier l’utilisa-tion et l’assemblage de briques techno-logiques apportant, chacune, un hautniveau de performance et de rentabilité.Encore une fois, il faut entendre ce quedisent certains grands groupes, par lavoix de leur RSSI : ceux-ci préfèreraientséparer les fonctions de collecte, de nor-malisation, d’archivage, de corrélation,d’alertes, de reporting et d’investigationen les faisant reposer sur des solutionsindividuelles éprouvées et durables, plutôt que d’investir dans des solutionsenglobant tout, fermées et onéreuses.Il y a donc de la place demain (et dès au-jourd’hui !) pour des solutions plus spé-cialisées et plus performantes sur uneproblématique donnée, à condition quecelles-ci sachent parfaitement s’interfa-cer avec les autres grandes technolo-gies de la chaîne de valeur des SOC.

GS Mag : Comment allez-vous dévelop-per votre gamme de solutions en cesens ? Pour 2014, notre ambition est double.Tout d’abord, nous allons faire évoluernotre solution Picviz Inspector, afin de larendre facilement intégrable dans unécosystème SOC basé sur des techno-logies Big Data. Il s’agit évidemmentd’augmenter ses performances intrin-sèques, mais aussi d’améliorer sa capa-cité à s’interfacer avec des clusters, desbases de données, etc.Ensuite, notre société évolue afin depouvoir mieux répondre aux attentes desSOC et des grands comptes qui nousconsultent : nous avons établi un partena-riat avec la société belge Logis-Consult,devenue depuis peu notre « CorporateDistributor EMEA ». Ceci nous permetde disposer de ressources extrêmementcompétentes pour la gestion de projet etsur des sujets nécessitant une forte ex-

pertise technologique. En des tempstrès courts, avec Logis-Consult, nouspouvons maintenant mobiliser uneéquipe orientée « projet » et garantir ànos clients un suivi de qualité et unconseil expert sur des sujets à la croiséeentre la Cybersécurité et le Data Mining.J’insiste sur ce point car nous savonstous que le SOC de demain a besoin denouvelles technologies. Mais il a besoin,plus encore, de technologies dont l’inté-gration est parfaitement managée et qui soient capables du bon niveau desouplesse !À titre d’exemple, notre partenariat avecLogis-Consult nous a déjà permisd’aborder la question des flux réseauxdans les Systèmes Industriels.C’est pourquoi, en 2014, nous voulonsfaire bénéficier nos clients de ces nouvelles capacités. nnn


Solutions pharesLogiciel Picviz Inspector et stationsd’analyse dédiées

ContactAurélie VIBIENTéléphone+33 (0)9 53 32 05 [email protected]

Philippe Saadé, Président de Picviz Labs

L’activité des SOC s’organise trop souvent autour des flux d’alertes qui remontent des SIEM et dessondes dédiées. Un SOC réellement efficace doit

pouvoir mettre en œuvre une capacité d’investigationde l’inconnu qui soit indépendante des mécanismes

de détections automatiques. Picviz Inspector apporte cette capacité d’analyse aux SOC les plus exigeants.

PICVIZ : LA CAPACITÉD’INVESTIGATION AU

CŒUR DU SOC !


30

GS Mag : A quoi ressembleront, selonvous, les SOC (Security OperationsCenter) de demain

Le SOC de demain que nous appelonsCyber SOC (CSOC) permet de collecter,consolider et analyser un volumeénorme et croissant d’évènements desécurité (vulnérabilités, non conformitéet incidents), afin de déterminer encontinu l’exposition aux risques et demieux protéger l’organisation.Les services et processus essentielsconstitutifs d’un CSOC sont la gestiondes actifs, des vulnérabilités et de laremédiation, la gestion des événe-ments de sécurité, la détection desmenaces avancées, le contrôle perma-nent du niveau de sécurité et la ré-ponse aux incidents.Les services d’un CSOC sont fournis àpartir d'une plate-forme Cloud exten-sible, hautement résiliente et accessi-ble depuis un simple navigateur Webdans le monde entier. Le CSOC est encapacité de collecter et d’analyser desmillions, voire des milliards, d’évène-ments au sein d’une grande organisa-tion. Seule une architecture Cloudpermet de traiter de tels volumes.Avec un CSOC, l’organisation adopteune approche proactive et continue dela sécurité plutôt qu’une approcheréactive avec l'application de mesuresisolées et souvent inefficaces.Cette approche permet de disposerd’une visibilité et intelligence sécuri-taire globale sur son environnementexterne et interne. Elle garantit unecouverture exhaustive du périmètre àsurveiller et automatise les processusessentiels du CSOC.


En dehors de l'aspect technologique, lavisibilité et la hiérarchisation des infor-mations collectées par le CSOC évo-luent pour attirer l'attention desDirections Métier. Le CSOC, centré initialement sur l’ac-tivité informatique, intègre désormaisles évènements de sécurité des pro-cessus métiers ! Les Directions Métierpeuvent désormais, sans être des spé-cialistes, se rapprocher de leursRSSI/DSI et comprendre l'impact de laviolation de données et des failles desécurité sur leurs activités métier. La capacité d'analyse, de détection etréaction du CSOC constituent un puis-sant outil d’aide à la décision dans lalutte contre les cyber-attaques.Le CSOC rend l’organisation plus agileet résiliente, améliorant la perfor-mance opérationnelle de l’organisationet pouvant constituer à terme un avan-tage concurrentiel.

GS Mag : Comment allez-vous déve-lopper votre gamme de solutions ence sens ?

La plate-forme QualysGuard permetaux utilisateurs finaux et fournisseursde services de sécurité une mise enoeuvre rapide et progressive des ser-vices automatisés d’un Cyber SOC.Qualys met à disposition toujours plusde nouveaux services sur la plate-forme Cloud QualysGuard, tout en pre-nant en considération les enjeux desouveraineté et de protection des infra-structures critiques.A ce titre, Qualys propose la solution deContinuous Monitoring pour la super-vision des périmètres. Il s'agit de trou-ver les vulnérabilités avant les pirates.Les organisations peuvent identifier de

manière proactive les menaces etchangements non planifiés sur leséquipements en frontal avec Internetdans leur zone DMZ, leurs environne-ments dans le Cloud et sur leurs appli-cations Web, avant le lancementd’attaques par des pirates.Qualys propose désormais Qualys-Guard Private Cloud Platform, en par-ticulier pour répondre aux attentes decertains OIV et administrations pu-bliques. QualysGuard Private CloudPlatform est déjà utilisée par de nom-breux clients et partenaires à travers le monde, comme Amazon, Fujitsu Limited, Microsoft ou Oracle. Cettesouveraineté est garantie par un hébergement des données de sécuritéau sein des infrastructures clients surle territoire national, et un contrôletotal sur ces données. nnn


Solution phareQualysGuard Cloud Suite www.qualys.com/enterprises/secu-rity-compliance-cloud-platform

ContactFrédéric SAULETTéléphone+33 (0)1 41 97 35 [email protected]

Frédéric Saulet, Directeur Général South EMEA / Belux de Qualys

La solution QualysGuard Continuous Monitoring, ou comment découvrir les failles avant les pirates, surveille en continu le périmètre de l’organisation, et vous alerte immédiatement en cas d’anomalies

pouvant l’exposer à des cyber attaques.

LE CYBER SOC, UNOUTIL INDISPENSABLED'AIDE À LA DÉCISION


Le challenge réside d’abord dans la capacité à collecter et à traiter les logsprovenant de sources multiples, cha-cune avec son propre contexte et sapart de pertinence. Ensuite, d’identifierceux que vous souhaiteriez garder etsur quelle période, pour que vous puis-siez enfin vous inscrire dans une démarche de compliance/ IT Opera-tions… Ce modèle peut être rapide-ment onéreux, inefficace et ne permetpas l’exploitation des données conte-nues dans les logs.

Qu’est-ce que le Logging as a Serviceet pourquoi est-ce indispensable àmon SOC?

Logging as a Service, ou LaaS, conso-lide tous vos logs en une seule place.Ce qui rend beaucoup plus facile et efficace leur archivage, leur gestion etleur analyse. Avec notre approcheLaaS, votre data center devient le col-lecteur de tous vos logs indépendam-ment de leur source. Il devient doncbeaucoup plus facile de les traiter enfonction de leur importance. Ensuite,nous allons les stocker en fonction devos besoins spécifiques (Sécurité,Compliance ; IT Operations). Enfin, ceslogs peuvent être standardisés et envoyés à des applications tierces(SEM, Ticketting) ou aux personnes appropriées pour une exploitation immédiate.

Le Logging as a Service peut naturel-lement être implémenté sur site client.

La granularité de cette approche et sonadaptabilité répondent parfaitementaux besoins de Filter Forwarding, ou toute autre démarche de mise encompliance.

La mauvaise gestion des logs émanantde plusieurs sources (jusqu’à 30 ouplus dans une entreprise classique)peut engendrer des problèmes de respect des normes réglementaires etdes pénalités pouvant aller jusqu’à 3 millions de dollars par an.

Notre approche LaaS, de par son modèle adaptable, permet de répondreaux besoins de Sécurité, Compliance,It Ops de nos clients. La centralisationdes logs en une seule console permetd’éviter la redondance des systèmes,rend plus simple son administration ets’installe en mode « plug&play ».

Pourquoi TIBCO LogLogic?

Avec TIBCO LogLogic, vous pouvez ré-soudre vos problématiques de gestionde logs une fois pour toute. Conçue defaçon simple, intuitive, LogLogic fournitla fondation pour toutes vos probléma-tiques liées aux logs et s’adapte auxcontraintes réglementaires en vigueur.Il est ainsi facile de trouver, de visuali-ser et d’exploiter la donnée appropriée.

La centralisation de nos logs en uneconsole unique permet également deremonter des alertes en cas d’actioninappropriée, voire malveillante. Les

problématiques VPN et FW peuventaussi être identifiées en amont avantde devenir critiques. Les solutions LogLogic proposent un grand nombrede modèles prédéfinis liés à des standards organisationnels, tels quePCI, SOX, FISMA, HIPAA, ISO, ITIL,NERC.

Enfin, la facilité d’implémentation dessolutions Loglogic en fait aujourd’huiun atout majeur.

Pour toute question complémentairerelative à notre approche LaaS, vouspouvez nous retrouver sur :www.tibco.com/loglogic nnn


Solutions pharesLogging as a Service

ContactErwan JOUANTéléphone+33 (0)6 24 34 31 [email protected]/loglogic

Erwan Jouan, Channel Manager EMEA/APAC, TIBCO LogLogic

La multiplicité des terminaux sur lesquels s’appuie le travailleur moderne (tablettes, serveurs accessibles

depuis ces mêmes tablettes), amplifiée par l’utilisationdes logiciels, des Web services et autres outils Big Data,génèrent une quantité de logs de plus en plus difficile àcontrôler. A cela s’ajoute une complexité de gestion et de

stockage propre à chaque environnement ; ce qui complique davantage la gestion de ces logs. Malgré ces gros volumes de données,seuls quelques logs sont jugés importants par rapport au besoin de compliance et

la majorité d’entre eux sont pertinents uniquement sur une période limitée.

LES DÉFIS DU LOGGINGAU SEIN D’UN SOC DANSUN CONTEXTE BIG DATA


31

32


Solution phareDeep Discovery, une protection de nouvelle généra-tion contre les menaces avancées persistantes (APT)Deep Discovery offre les fonctions de détection avancée des menaces, de renseignements en tempsréel, de protection flexible et de rapidité d'interventiondont ont aujourd’hui besoin les entreprises pour combattre les attaques ciblées et les menaces avancées persistantes (APT). La sécurité de réseau spécialisée Deep Discovery détecte et identifie les menaces furtives en temps réelet de manière unique, effectue une analyse approfon-die et fournit les renseignements nécessaires pour seprémunir contre les attaques.Réduisant le risque et l'impact des attaques de menaces avancées persistantes, la solution offre uneprotection contre les menaces avancées, améliore lasécurité et la visibilité réseaux et met fin aux attaquesgrâce à une défense personnalisée complète. Avec un score de détection de 99,1%, Deep Discoveryest arrivée en tête du classement publié en avril dernier par la société de conseil et de recherche ensécurité NSS Labs, visant à tester les différentes solutions de détection d’intrusions et d’attaques ciblées.

ContactPierre SIAUTTéléphone+33 (0)1 76 68 65 [email protected]/produits/deep-discovery

Loïc Guézo, Evangéliste Sécurité de l'Information pour l'Europe du Sud de Trend Micro

Afin de pouvoir réagir aux incidents le plus rapidement possible, les SOC œuvrent de façon à optimiser leurs procédures de gestion des incidents.Ils ont donc besoin de s’appuyer sur des solutions éprouvées leur permettant

de détecter, d’analyser et de résoudre les attaques de façon optimale.

TREND MICRO ANTICIPE LES NOUVELLES PROBLÉMA-

TIQUES DES SOC ET FAIT ÉVOLUER SES SOLUTIONS

DE FAÇON À LUTTER EFFICACEMENT CONTRE

LES MENACES CIBLÉES


GS Mag : A quoi ressembleront, selonvous, les SOC (Security OperationsCenter) de demain ? Les SOC de demain seront-ils sous lecontrôle des gouvernements, inter-communiquant pour réagir aux inci-dents le plus rapidement possible ? Ilsauront en tout cas des procédures degestion des incidents éprouvées et ef-ficaces, un historique d’incident quileur permettra de vrais retours. LeSIEM aura des règles de corrélationaméliorées, issues d’un vrai traitementBig Data, avec de nombreux nouveauxcapteurs adaptés. Ces opérateurs au-ront peut-être obtenu une reconnais-sance dans l’entreprise, après avoirparticipé à la détection et à la résolu-tion d’une crise majeure, ayant mis encause la pérennité de l’entreprise…

GS Mag : Quelles évolutions sont, enconséquent, à prévoir dans votre domaine d’activité ? Encore peu d’entreprises ont un SOCaujourd’hui. Le SOC reste principale-ment mis en œuvre dans des groupesinternationaux, des administrations ouchez des OIV (Opérateurs d’ImportanceVitale). C’est donc un marché en pleineexpansion -en particulier pour les ap-proches Services Managés de Sécu-rité- qui doit encore se développer pourdevenir mature, sortir du simple trai-tement de log pour passer à la détec-tion de signaux faibles et connaîtrel’état mondial de la menace.

GS Mag : Comment allez-vous déve-lopper votre gamme de solutions ence sens ? Ce constat nous a amenés au dévelop-pement de la ligne de produits DeepDiscovery (détection d’attaques cibléespar approche heuristique et sand-boxing multiple personnalisable), maiségalement des services d’expertiseCustom Defense permettant d’armercorrectement les SOC ou CSIRT/CERT…Avec Deep Discovery, nous proposonsune solution au format appliance oumachine virtuelle, capable d’analyserles flux en temps réel pour détecter lesmenaces ciblées. Plutôt que de sebaser sur une liste de signatures, lasolution utilise des capacités de sand-boxing et peut donc simuler, dans unenvironnement totalement hermé-tique, le comportement d’une applica-tion ou d’un fichier suspect afin des’assurer de son inoffensivité. Elle peutégalement s’appuyer sur notre infra-structure Smart Protection Network(SPN), qui génère 15 To de donnéeschaque jour et reçoit plus de 16 mil-liards de requêtes quotidiennes, pourqualifier la dangerosité du contenu et aider ensuite l’administrateur àprendre la bonne décision (fermer unecommunication, mettre sous observa-tion, etc.). Dans le cadre de ses enquêtes internationales, Interpol uti-lise notamment les renseignementssur les menaces à l'échelle mondialefournies par SPN. nnn

Mise en page 1 - Global Security Mag

Documents

Transcript of Mise en page 1 - Global Security Mag