olly - Fotolia
SOC : les entreprises souffrent d’un vaste manque de maturité
A l’occasion des Assises de la Sécurité, SecuriView s’est prêté à un exercice délicat, mais mené sans concession : chercher à déterminer les raisons des déconvenues rencontrées dans la mise en place de SOC.
Mettre en place un centre opérationnel de sécurité (SOC) n’est pas une mince affaire, comme avaient déjà pu le montrer une table ronde organisée lors de l’édition 2016 du Forum International de la Cybersécurité. Et cela même lorsque l’on a recours à l’externalisation. Mais quelles sont les principales sources de déconvenues ? C’est que SecuriView a cherché à savoir et à présenter à l’occasion des Assises de la Sécurité, à l’automne dernier, en s’appuyant sur un sondage de 33 utilisateurs de SOC.
Lors d’un entretien, Stéphane Dahan, président de SecuriView, explique son approche : « beaucoup d’entreprises sont dans le brouillard pour leurs projets SOC. Il existe certes une littérature dense pour leur mise en place, mais pas pour leur exploitation ». D’où l’idée de collecter des témoignages, pour dégager des tendances, sur toutes les phases d’un tel projet, depuis sa conception jusqu’à son exploitation. L’échantillon pourra être critiqué pour son étroitesse, mais le but apparaît là moins de construire une représentation statistique juste que d’identifier les points saillants les plus remarquables, pour mieux aider à dépasser les écueils.
Un manque de maturité criant
Et le premier constat est bien simple : « beaucoup de choses sont faites sans maturité ». De quoi effectivement produire beaucoup de déconvenues. Dans le détail, Stéphane Dahan explique que les projets SOC sont souvent initiés de manière isolée par le RSSI, sans soutien de la direction générale, ni de la gestion du risque, ni du juridique, et encore moins des métiers.
Avec des conséquences évidentes lorsque le projet prend forme après, parfois, des années de réflexion : il s’agit alors d’impliquer des tiers, à commencer par les métiers, la production. Mais pour eux, « c’est alors une charge de travail qui n’était pas prévue, qui n’a pas été anticipée ». Et ce qui peut être perçu comme imposé brutalement ne manque pas d’avoir de quoi faire grincer quelques dents : « les phases de construction traînent, avec beaucoup d’équivalents temps plein qui n’avaient pas été provisionnés ». Et c’est sans trop de surprise que les budgets prévus s’avèrent in fine trop serrés.
Souvent également, les entreprises apparaissent se lancer seules, sans recourir à une prestation d’assistance à maîtrise d’ouvrage, dans des projets plus construits autour d’un système de gestion des informations et des événements de sécurité (SIEM) que d’une réflexion sur les risques. De quoi, là encore, trahir un manque de maturité.
Un rapport quasi-magique à l’outil
Bien sûr, le marketing des éditeurs n’est pas étranger à cela. « Effectivement, avec [leurs SIEM], on peut tout faire. Mais derrière, il faut des gens, des processus ». Car mettre en place un SOC, ce n’est pas « se doter d’un super-pare-feu, c’est mettre en place une structure pour détecter, analyser, rechercher ». Et justement, si « toutes les demandes tournent autour de la détection, elle demande du temps homme […] Les clients ont tendance à demander comme l’on fait pour détecter les signaux faibles. Et justement, ils ne se détectent pas automatiquement. Autrement, ce serait pas des signaux faibles ; il faut procéder à de l’analyse de journaux d’activité »… ce qui reste largement manuel.
Alors, certes, les outils de détection d’anomalies se multiplient. Mais pour Stéphane Dahan, « ils fonctionnent bien aux Etats-Unis, où la notion de conformité est différente de celle que l’on a en France ». Dans l’hexagone, celle-ci apparaît, selon président de SecuriView, centrée sur la notion de réglementation. Outre-Atlantique, il s’agirait plutôt de conformité avec un référentiel, comme un plan de sécurité du système d’information (PSSI), par exemple : « on y définit ce à quoi doit ressembler un poste de travail. Et si l’on trouve des divergences, alors cela doit conduire l’analyste à aller chercher ce qui se passe ».
Au final, pour lui, il n’y a pas de miracle à attendre d’un SOC : « si l’on trouve une menace installée au bout d’un jour ou d’une semaine, c’est un succès, et tout particulièrement par rapport à quelque chose resté non décelé pendant des mois ou des années ». Mais à lire certaines études sur les délais de découverte des menaces installées, c’est peut-être déjà un miracle.
De multiples cycles de vie à gérer
Mais alors que l’essentiel des sondés ont fait état d’une expérience de 1 à 3 ans, « il n’y a pas beaucoup de capitalisation sur l’expérience. Les scénarios [de corrélation] n’évoluent pas beaucoup, s’ils le font ». Pour autant, un SIEM s’entretient : « lors d’un changement ou d’une mise à niveau d’équipement réseau ou autre, il faut vérifier que l’on continue de recevoir les logs, et surtout des logs qui nous servent à établir nos scénarios de corrélation ».
Mais ce n’est pas tout : « se posent aussi les questions d’ajouts de dispositifs : il arrive que les équipes de production ajoutent des équipements, mais qu’ils ne soient pas intégrés au périmètre du SOC alors qu’ils devraient l’être ». En fait, de manière globale, « on a du mal à trouver un effort d’amélioration continue ».
Et puis certaines sources semblent négligées, du point de vue de Stéphane Dahan : « selon nous, il faut un SIEM, mais aussi des outils d’analyse des terminaux que l’on ne trouve généralement pas, ou encore des sondes passives de surveillance du réseau. On n’en trouve pas partout ». Et c’est sans compter avec les systèmes d’information qui ne sont pas cartographiés.