kentoh - Fotolia
Externalisation de SOC : une piste viable, pas une solution miracle
Sous-traiter la détection des incidents à tiers extérieur à l’entreprise peut présenter de nombreux avantages. Mais l’investissement ne produira de valeur qu’avec, en interne, les processus et les ressources nécessaires au traitement des alertes.
Sans surprise, l’externalisation d’un centre opérationnel de sécurité (SOC) n’a rien d’une solution miracle. Comme toute autre mise en place d’un SOC, c’est en fait un défi bien plus organisationnel que technique. Mais les avantages n’en sont pas moins nombreux, par rapport à une mise en place interne, comme ont pu le montrer les échanges survenus à l’occasion d’une table ronde consacrée au sujet lors de l’édition 2016 du Forum International de la Cybersécurité (FIC).
L’externalisation, clé de la transparence
Et Vincent Le Toux, consulté sécurité chez Engie, rattaché à la RSSI Groupe, ne manque pas de souligner ces avantages. Et cela commence par une transparence qui simplifie la promotion du projet en interne : « on fait un appel d’offres, ça rentre dans les processus, et on définit un budget que l’on valider à très haut niveau ». En l’inverse, à essayer de le faire en interne, « on va demander des petits budgets », peut être éparses, « sans être capables de démontrer les résultats. Ce sera beaucoup plus difficile ». Ken Ducatel, directeur de la direction général des systèmes d’information de la Commission Européenne, ne dira pas autre chose : « garder en interne rend plus difficile de voir exactement ce que l’on dépense ».
Vincent Laurens, responsable de la practice sécurité de Sogeti Luxembourg, reconnaît que les questions relatives aux budgets constituent « l’un des premiers facteurs évoqués par les organisations qui sont amenées à faire appel à nos services ». Mais comme il le souligne, l’externalisation du SOC recouvre bien d’autres questions.
Et Vincent Le Toux ne cache pas un autre avantage : « disposer de personnes immédiatement opérationnelles que l’on n’a pas à recruter ». Plus loin, Stéphane Lemée, responsable SOC chez Airbus Defense & Space Cybersecurity, estime d’ailleurs que l’externalisation « permet d’accéder à d’autres ressources, des compétences nécessaires pour que le SOC continue d’être pertinent au fil du temps, comme le renseignement sur les menaces, la réponse à incident ou des compétences produits ». Et de son point de vue, même pour un grand groupe, il reste difficile de maintenir et spécialiser ces ressources en interne.
Simplifier la gestion des compétences
Là, la dimension internationale de l’entité peut toutefois aider. Comme le souligne Vincent Laurens, la gestion des compétences est « un problème global dans la sécurité. Mais en globalisant la problématique, et en allant chercher des experts dans d’autres pays, on arrive à assurer un vivier de qualité ». De son côté, Benjamin Arnault, chargé de qualification des prestataires de confiance à l’Agence nationale pour la sécurité des systèmes d’information (Anssi), insiste sur le sujet des compétences spécifiques à certains environnements, en particulier les systèmes de contrôle industriel (ICS/Scada) : « c’est un sujet fondamental qui nous intéresse particulièrement pour les opérateurs d’infrastructures vitales (OIV). […] L’étude de ces systèmes met en évidence des particularités tant protocolaires que logicielles qui nécessitent clairement une expertise particulière ».
Accessoirement, externaliser – ou à tout le moins consolider avec des partenaires – peut être la seule solution viable pour assurer le fonctionnement d’un SOC en 24/7, suivant le rythme selon lequel fonctionnent les attaquants. La dimension internationale de certaines organisation peut renforcer cet impératif, quand bien même des problèmes spécifiques sont susceptibles d’émerger : SLA croisés, problématiques métiers différentes d’un pays à l’autre, etc.
Mutualiser les savoirs
Mais c’est sans compter avec une autre motivation à l’externalisation de SOC : le partage des connaissances. Et c’est un point essentiel pour Ken Ducatel : « ce qui m’empêche de dormir, ce ne sont pas les menaces récurrentes habituelles, ce sont les choses que l’on ne voit pas. Dans une organisation comme la nôtre, les menaces avancées persistantes (APT) sont la grande inquiétude. Sur le terrain, Vincent Laurens observe une importante demande à ce sujet : « c’est devenu une exigence des organisations qui nous demandent de prendre leur SOC. Je pense que cela a explosé avec la multiplication des APT ».
Benjamin Arnault ne les contredira pas : pour lui, il apparaît en effet très important que les clients d’un même prestataire puissent « profiter de l’expérience globale acquise auprès de tous. Bien évidemment, cela permet d’obtenir un meilleur service ». A une condition toutefois : « bien compartimenter les zones relevant de chaque client », afin de garantir la confidentialité des données de chacun.
Mais cela ne suffit pas forcément. Ken Ducatel relève ainsi « qu’il est très difficile d’externaliser sur des périmètres où se trouvent des informations sensibles. Là, même les métadonnées peuvent pour nous être considérées comme sensibles ».
Mais Vincent Le Toux a d’autres réserves, tirées de son expérience. « Nous avons plusieurs SOC. Le partage d’informations fonctionne très bien avec l’un de nos prestataires [en Norvège], spécialisé sur le secteur de l’énergie, mais je ne vois pas de bénéfice concret avec d’autres, plus génériques ». Et d’illustrer son propos : « lorsque vous surveillez un système, vous définissez des règles pour chercher des comportements. Certains de mes prestataires ne m’ont pas fait de recommandations de règles à partir de l’expérience de leurs autres clients ».
Améliorer image et communication
Disposer d’un SOC, c’est aussi « pour le top management, comme avoir une assurance. Et je pense qu’il préfère avoir une assurance d’un grand nom d’une secteur qu’une assurance fabriquée en interne ». Il s’agit donc de rassurer et de se rassurer. A sa manière, Benjamin Arnault renchérit : « lorsque l’on dispose d’un SOC interne, c’est une mesure de supplémentaire après laquelle le RSSI va avoir du mal à justifier des investissements supplémentaires », d’autant plus que, par nature, la détection d’incidents majeurs ne survient pas forcément tous les jours. Et de se souvenir, d’ailleurs, de RSSI lui ayant dit : « si le SOC ne détecte pas, je change de prestataire ».
Pour Vincent Laurens, le SOC doit justement servir d’aide à la vulgarisation, en rendant visible et de préférence lisible quelque chose de profondément technique et furtif. De sorte à permettre à la direction de comprendre, de prendre la mesure des besoins et des enjeux : « c’est le seul moyen pour le RSSI de démontrer une valeur, un retour sur investissement ».
Et Stéphane Lemée de voir dans le SOC un levier potentiel : « s’il le devient, il a atteint son objectif. Il est nécessaire de montrer ce qui est détecté, mais aussi ce qui ne donne pas lieu à alertes, pour que le RSSI puisse montrer que son SI est à risque et qu’il est nécessaire d’engager des actions ». Le tout pour améliorer graduellement le niveau de sécurité de l’organisation.
Un exercice qui a ses limites
Pour le responsable SOC d’Airbus DS, l’externalisation de cette fonction peut avoir une très saine conséquence pour les entreprises : pousser à l’industrialiser de la gestion des incidents. Et justement, pour lui, « la sous-traitance, c’est un partenariat. Il ne faut pas croire qu’externaliser au meilleur des prestataires va régler tous les problèmes ». Un SOC doit donc être capable de détecter, mais il doit pouvoir compter sur des ressources internes à l’organisation pour traiter les incidents.
Et Vincent Le Toux apparaît largement du même avis. Pour lui, l’une des principales difficultés est que « le prestataire externe ne peut pas remettre les événements dans un contexte métier. Et c’est un processus difficile. […] En général, c’est fait sur un mode un peu réactif ». Et le problème s’avère d’autant plus crucial que « plus un SOC fonctionne bien, plus il va générer des alertes ». Au risque de saturer l’organisation. Car ces alertes doivent être traitées par des personnes qui ne sont pas dédiées au sujet et qui se voient donc attribuer de nouvelles tâches. Stéphane Lemée renchérit au passage : « il est important de réaliser que le SOC va générer de l’activité supplémentaire sur des équipes SSI et SI qui ne lui sont pas dédiées ».
Une réversibilité à inventer
Pour peu que l’on soit à sauter le pas, se pose encore la question des outils et de leur maîtrise, notamment dans une perspective d’éventuelle réversibilité. Vincent Le Toux trouve la seule idée « assez inquiétant. Se dire que l’on a investi pendant trois et que l’on va peut-être devoir tout reprendre à zéro… et puis qu’est-ce que l’on en retire ? Les règles de détection ? Des processus ? » Voire des piles de DVD d’historiques de logs… Même son de cloche pour Ken Ducatel, même si lui n’a rien externalisé : « nous avons un SIEM sur lequel nous avons beaucoup investi ; cela rend tout changement très difficile ».
Vincent Laurens renvoie la question à la négociation contractuelle, notamment pour ce qui relève de la propriété des logs. L’Anssi a même choisi d’aborder très vite le sujet pour établir son référentiel de prestataires de SOC, « ne serait-ce que pour tenir compte du risque qu’un acteur perde sa qualification ».
Mais Laurens le souligne : la maîtrise des outils est un point critique ; le principe de réversibilité « reste pour l’heure très dépendant des choix techniques ». Et là, il lui semble pertinent d’aligner le choix d’un SIEM sur la chronologie d’une démarche SOC : « faire une erreur ou commettre un impair budgétaire est moins probable ».
Vincent Le Toux souligne pour sa part l’importance d’une approche réaliste du SIEM : quel que soit l’outil, « il y a toujours des adaptations à faire, notamment sur les parsers ». Et là aussi, pour lui, « aligner le choix du logiciel sur la durée de la prestation peut-être assez cohérent ».
En attendant, pour ceux qui auraient encore des doutes sur la pertinence d’un SOC, Ken Ducatel souligne que ses équipes « détectent trois fois plus de choses qu’en 2014, moitié parce que l’on a gagné en visibilité ». Et encore une fois, « cela veut bien dire qu’il faut la capacité de traiter ces alertes » - enquêter, analyser et répondre.