Face à la recrudescence et la variété des cyberattaques, organisations et entreprises doivent adapter leur stratégie et prévoir le pire. La détection et réponse au travers de la mise en place d’un SOC (managé ou non) et d’un CERT (interne ou externe) n’est plus une option.

Dans un contexte de forte activité depuis maintenant plusieurs années, les besoins en cybersécurité vont croissants. Il est nécessaire pour les entreprises de mettre en place des stratégies d’anticipation et de réaction aux cyberattaques. L’événement redouté d’une compromission doit, aujourd’hui, faire partie intégrante des risques identifiés et un plan de mitigation doit être anticipé.

La détection au plus tôt d’un incident permet de diminuer son ampleur de façon importante. La mise en place de moyens de détection, couplés à des moyens de réaction, permet alors une gestion optimale des cyberattaques. Ce type de dispositif nécessitant beaucoup de ressources et des compétences spécifiques, il est intéressant d’externaliser ce service auprès de cabinets spécialisés.

Détection ou mise en place d’un SOC

Le SOC (Security Operation Center ou centre opérationnel de sécurité) est un service composé d’experts techniques responsables de la supervision, de la détection et de l’analyse d’alerte sur des incidents de sécurité.

Pour mener à bien ces missions, le SOC s’appuie sur des procédures techniques et organisationnelles, mais aussi sur des outils de surveillance des systèmes (terminaux et serveurs), du réseau, du cloud etc. Les évènements suspicieux provenant de plusieurs sources sont ensuite enrichis et corrélés afin de permettre une détection puis une analyse rapide et efficace.

La mise en place d’un SOC permet de gérer la supervision des journaux grâce aux technologies SIEM (Security Information Evenement Manager), de corréler les informations liées à des menaces connues rendu possible par la Cyber Threat Intelligence (CTI), de réaliser un premier niveau de réponse aux incidents avec des antivirus de nouvelle génération – de type EDR (Endpoint Detection and Response) ou encore d’automatiser des actions de traitement à la suite d’un incident de sécurité – permise par les solutions de type SOAR (Security Orchestration, Automation and Response).

Afin de détecter et réagir dans les meilleurs délais, tout en s’adaptant aux besoins de chacun, ces prestations sont souvent proposées en jours ouvrés et également en 24/7/365.

Réaction ou mobilisation d’un CERT

Les équipes de réponse à incident de cybersécurité, nommées CSIRT (Computer Security Incident Response Team) ou CERT (Computer Emergency Response Team), sont composées d’experts en analyses forensiques et en gestion de crise. Ces spécialistes sont joignables 24 heures sur 24, 7 jours sur 7 afin d’intervenir sur tout type d’incident. Leur très haute disponibilité et leurs compétences pointues en font une unité d’intervention d’urgence à part entière.

En cas de sollicitation, les analystes interviennent directement sur le Système d’Information impacté pour procéder aux collectes des traces laissées par l’attaquant, et à leurs analyses. L’objectif final est de reconstruire de façon précise le mode opératoire de l’attaque. L’analyse détaillée de la compromission permet de détecter tout effet de bord qui lui serait lié, et pouvant impacter les collaborateurs, les secrets professionnels ou encore les clients externes de l’entreprise victime.

La réactivité et la rapidité d’intervention sont les éléments clés de cette activité. Il est nécessaire de prendre en amont d’un incident, toutes les dispositions pour permettre une intervention des plus rapides. Le choix d’une société spécialisée en réponse à incident est aujourd’hui devenu nécessaire.

Pourquoi choisir un même acteur pour votre futur SOC/CERT ?

En cas d’externalisation des méthodes de détection et de réponse aux incidents de sécurité, le choix d’une société peut être rendu difficile compte tenu du nombre d’acteurs présents aujourd’hui.

Au-delà du coût financier du service, il est intéressant de rechercher une société proposant à la fois un service de détection (SOC) mais également un service de réponse aux incidents (CSIRT/CERT).

En effet, plusieurs problématiques peuvent être rencontrées lors d’une réponse à incident lorsque les acteurs SOC et CERT ne sont pas issues de la même société : délais de prévenance allongés, récupération d’informations sur l’incident complexifiée (ségrégation des données entre client pas toujours efficace pour permettre une investigation optimale), tension possible lors des échanges liée à la responsabilité de l’incident et des découvertes, etc.

Le fait de contractualiser sur les deux aspects, détection et réponse, avec un unique acteur, permet non seulement de simplifier la gestion de ces deux activités, mais également de fluidifier et d’accélérer les échanges entre les deux équipes en cas d’incident nécessitant une escalade.

De plus, une étroite collaboration au sein d’une même société permet une amélioration continue du service rendu. Cet échange constant permet de créer de nouveaux scénarios de détection de menaces auprès du SOC, développés avec les informations anonymisées recueillies durant les différentes interventions du CERT. Cela permet de s’assurer de capacités de détection à jour et complétées avec des indicateurs de compromission récents et pertinents.
____________________________

par Louis Leschallier de Lisle, Manager CERT chez Synetis,
et Paul Gerfault, consultant Sécurité Opérationnelle chez Synetis