NGE mise sur un SOC co-managé avec son MSSP

Une feuille de route bousculée par l’incident de sécurité

Plutôt que de choisir directement des solutions, la démarche du DSSI fut de créer une matrice de TTP (Tactiques, Techniques et Procédures) avec les cas d’usage et les scénarios de menaces qu’il fallait couvrir. A partir de cette matrice, l’équipe Cyber a regardé quels outils pouvaient l’aider à améliorer rapidement ses capacités de détection : « cette matrice comptait une quarantaine de lignes que nous avons priorisées, regroupées et loties de manière à les implémenter en menant des sprints d’intégration ».

Face à cette situation, la feuille de route établie 4 ans plus tôt est revue et les déploiements d’outils re-priorisés en fonction de ce besoin de rehausser la capacité de détection et la mise en corrélation des incidents de sécurité : « lorsque nous avons écrit notre feuille de route, on commençait un peu à entendre parler des XDR, mais le SIEM restait la solution privilégiée. Lorsque nous avons reconsidéré cette feuille de route, les XDR étaient plus matures ».

Ce n'est pas tout : les retours d'expérience « que nous avons eus sur les SIEM pointaient le coût de ces solutions, l’importance des ressources nécessaires, de formation du personnel pour leur prise en main et le temps nécessaire pour rendre ces solutions réellement utilisables, or nous avions besoin d'une solution rapidement exploitable par les équipes ».

En outre, les témoignages étudiés par Jérôme Benali faisaient apparaitre une dérive des coûts des SIEM au fil des années, avec une vraie difficulté à estimer le coût de ces solutions quelques années en avant. Sur ce plan, c’est la solution XDR de l’éditeur français Sekoia.io qui va retenir l’attention du responsable : « le modèle économique de Sekoia, non pas basé sur les volumes, mais sur le périmètre, nous a séduit. De même, les règles embarquées nativement sont directement exploitables, ce qui est très intéressant en termes de ressources à consacrer à l’outil lors de la mise en place ». En outre, Synetis, le MSSP choisi par NGE maîtrisait déjà l’outil. 

Qui plus est, Sekoia.io implémente déjà des règles de détection adossées au framework MITRE ATT&CK qui est aussi le modèle ayant servi à Jérôme Benali pour construire sa matrice de TTPs : « sur ce plan, nous avons jugé Sekoia plus pertinent sur les règles qui étaient déjà intégrées. Notre matrice est bien évidemment basée sur MITRE ATT&CK, ce qui nous permettait de tirer profit immédiatement des règles natives de la solution. Nous avons activé entre 300 et 350 règles préconfigurées dans l’outil et ajusté avec une quarantaine de règles personnalisées pour répondre à nos cas d’usage ». 

Un modèle de gestion hybride entre l’équipe interne et le MSSP

L’originalité du projet mené par Jérôme Benali est d’opter pour un SOC hybride, c'est-à-dire co-managé entre l’équipe Cyber interne et celle du partenaire MSSP.

Le responsable explique sa démarche : « notre ligne directrice est de garder la maîtrise de nos solutions Cyber et ne pas dépendre de processus sur lesquels nous n’avons pas de visibilité. En cas d’incident, c’est vers moi que la direction va se tourner. J’ai donc besoin de savoir ce qu’il se passe à tout instant. Je préfère maîtriser ce sur quoi j’ai la responsabilité. L’idée n’est pas de nous contenter d’ouvrir un ticket ou d’appeler un contact chez un tiers pour savoir de quoi il retourne ».

Dans cette approche, le rôle du MSSP est de fournir un complément d’expertise car il gère plusieurs clients et dispose de ressources formées qui ont une forte expertise : « un MSSP a une vision croisée et critique entre les différentes approches de ses clients et c’est ce qui est intéressant pour nous. De plus, nous n’avons pas la capacité d’avoir les ressources humaines afin d’assurer une surveillance en 24/7 ».

L’équipe Cyber interne assure l’analyse des incidents de niveau 2 et 3 et s’appuie sur son partenaire pour filtrer le bruit et optimiser la plateforme Sekoia.io en conséquence : « notre compétence par rapport à eux, c’est la connaissance de notre organisation. Notre force est d’apporter des réponses aux analystes du MSSP pour décider ce qui doit être fait dans telle ou telle situation ».

Pour David Bizeul co-fondateur et Chief Scientific Officer de Sekoia.io, l’approche de NGE est plutôt originale sur le marché français : « NGE est l’un de nos clients à avoir souhaité porter lui-même sa licence Sekoia.io, même si l’usage est en partie délégué à un MSSP. Pour la plupart de nos clients, le MSSP achète les environnements et les licences, puis les opère pour ses différents clients. Dans un cas, toute la création de valeur est propre à NGE, dans l’autre cas, elle appartient au MSSP. L’approche de NGE vise à capitaliser sur ce travail pour le futur et éventuellement engager des clauses de réversibilité le jour où ils seront amenés à changer de partenaire, tout en restant maîtres de leur solution ».

Les déploiements des règles de sécurité ont été menés selon les méthodes agiles, avec des lots bien définis et des séries de sprints. Avant le passage en « run » des règles, une phase de recette est réalisée avec l’outil Open Source Caldera. Celui-ci permet de vérifier que le scope est bien couvert comme attendu : « cette approche nous permet de générer un indicateur de performances (KPI). En rapprochant ces KPI de notre matrice TTP, nous pouvons calculer un taux de détection global. Cela nous permet aussi d’avoir des KPI à remonter auprès de notre direction et démontrer les progrès réalisés ».

Sur la quarantaine de lignes de la matrice, l’intégration des 15 premières lignes, les plus critiques, doit être achevée en fin d’année. Pour 2025, l’objectif est de couvrir de 80 à 85 % des règles, puis traiter les reliquats au-delà de cette date.

Propos recueillis lors des Assises de la Sécurité 2024.