Sécurité informatique : les mots à connaître en SOC (et Cyber SOC)

MSP, MSSP et MDR

Les équipes chargées de la sécurité informatique doivent aujourd'hui gérer des silos de données provenant de sources très diverses et complexes : applications SaaS, un ou plusieurs Cloud(s), des systèmes OT, des objets connectés, des connexions SD-WAN et un nombre grandissant de postes de travail (allant de l'ordinateur au smartphone). Les services de sécurité gérés (ou managés) sont eux aussi très nombreux sur le marché. Ils ont fortement évolué depuis le début des années 2000 :

• MSP (Managed Service Provider) : ce terme existe depuis le début des années 2000 et fait référence à une simple gestion externe de l'infrastructure (services managés), sans gestion des consoles de sécurité.

• MSSP (Managed Security Services Provider) : les services MSP ont évolué au fil du temps pour prendre en charge la gestion des consoles de sécurité et des alertes de sécurité. Objectif : faire remonter d'éventuelles alertes, tout en s'assurant que les consoles restent à la fois fonctionnelles et à jour.

• MDR (Managed Detection and Response) : là encore, avec la prolifération d'attaques de plus en plus sophistiquées, de nouveaux besoins ont émergé. Il faut ainsi pouvoir éliminer les failles potentielles, comprendre l'origine des alertes de sécurité et identifier les impacts potentiels. Le MDR offre ainsi une approche sécuritaire proactive, mais aussi réactive en avançant les réponses à apporter en cas d'attaque.

Joséphine Russello : « Les besoins des organisations en matière de sécurité (et de cybersécurité) ont évolué avec le temps : les MSP sont devenus au fil du temps MSSP. L'évolution fulgurante des menaces sur les réseaux informatiques a fait évoluer le modèle vers des services MDR plus proactifs. »

EDR, XDR et NDR

EDR, XDR et NDR sont trois termes liés à la cybersécurité, mais avec des significations et des implications très différentes.

• EDR (Endpoint Detection and Response) signifie littéralement "Détection et Réponse sur les Endpoints". Le terme fait référence à une solution de sécurité qui surveille les terminaux (endpoints) - ordinateurs, serveurs, dispositifs mobiles - pour détecter les menaces et les comportements suspects. L'EDR est utilisé pour surveiller les activités des utilisateurs, détecter les attaques de logiciels malveillants, identifier les vulnérabilités du système et automatiser la réponse à ces menaces.

• NDR (Network Detection and Response) signifie "Détection et Réponse Réseau". Il s'agit de solutions logicielles ou matérielles qui surveillent le trafic réseau et les événements pour détecter les menaces et les comportements malveillants. Les données sont collectées à partir de différents points de surveillance du réseau pour identifier les anomalies, les schémas de trafic suspects et les comportements inhabituels. Le NDR utilise également l'analyse comportementale, l'apprentissage automatique et l'analyse de big data pour identifier les menaces complexes. Si une menace est détectée, la solution va déclencher des alertes et prendre des mesures pour isoler ou bloquer les éléments malveillants.

• XDR (Extended Detection and Response) signifie "Détection et Réponse Étendues". Il s'agit ici d'une évolution de la technologie EDR étendue aux autres couches du réseau et des systèmes d'information. XDR va en effet couvrir les réseaux, applications, les Clouds et les environnements de sécurité (Cloud). Objectif : avoir une vue d'ensemble de l'infrastructure de sécurité, pouvoir détecter les menaces et attaques sophistiquées et, finalement, aider à automatiser la réponse à ces menaces.

Joséphine Russello : « EDR, NDR et XDR sont des solutions distinctes, qui nous permettent de construire la sécurité couche par couche, contrairement aux anciennes pratiques qui se contentaient d’une ou deux briques. Aujourd’hui, les attaques viennent tant de l’extérieur que de l’intérieur. Ce sont des outils réactifs, complémentaires aux outils préventifs, qui viennent enrichir le Cyber SOC. »

SIEM, SOC et Cyber SOC

SIEM, SOC et CyberSOC sont des concepts de sécurité informatique. Voici leurs différences :

• SIEM (Security Information and Event Management) recouvre des outils de sécurité qui collectent, agrègent, corrèlent et analysent des données provenant de différentes sources (logs système, journaux d'événements, flux de données réseau). Le but est de détecter les anomalies, les comportements malveillants et les menaces de sécurité. Les solutions SIEM permettent également d'alerter les équipes de sécurité en cas d'incident et de faciliter l'investigation et la réponse à l'incident. Le SIEM est avant tout une plateforme dans laquelle on injecte les journaux qui proviennent du système d'information, des outils de sécurité ou encore des serveurs, VPN et autres firewalls. En prenant soin de sélectionner les logs les plus pertinents, sous peine d'être noyé d'information.

• SOC (Security Operations Center) est un véritable centre opérationnel consacré aux opérations de sécurité. Il regroupe des équipes dédiées à la sécurité informatique d'une entreprise. Les équipes de sécurité du SOC surveillent les systèmes d'information de l'entreprise en temps réel, analysent les alertes et peuvent ainsi remédier aux incidents de cybersécurité.

• Cyber SOC est une plateforme de surveillance en continu de l’architecture IT des organisations. Elle est composée d’experts, entièrement dédiée à la surveillance des systèmes d’information et repose sur des technologies de cyber-défense de pointe (SIEM, EDR, UEBA). Le Cyber SOC (hébergé dans un datacenter souverain) se profile comme un outil de protection essentiel pour permettre aux organisations de tout secteur d’activité de répondre à leurs enjeux métiers, de cybersécurité, de conformité et de souveraineté.

Joséphine Russello : « Aujourd'hui, le SOC intègre directement un SIEM, mais comprend une dimension supplémentaire, l'humain. Le SOC rassemble en effet une équipe d'experts. Cela dit, à l'heure où toute stratégie de sécurité se doit de prendre en compte le facteur cyber, le Cyber SOC renforce encore le dispositif en ajoutant des outils parfaitement adaptés pour faire face à toutes les dimensions de la sécurité, y compris la cyberdéfense. Dans cet arsenal, il y a la mise en place de plus en plus fréquente de pièges et autres honeypots pour attirer et leurrer les attaquants potentiels.

UBA et UEBA

UBA et UEBA sont deux approches de sécurité informatique et de cyber sécurité. Leur portée est différente :

• UBA (User Behavior Analytics) fait référence à une analyse comportementale des utilisateurs. Cette approche de sécurité vise à détecter les menaces en surveillant le comportement des utilisateurs. L'objectif est de détecter des anomalies : tentative de connexion non autorisée, modification des habitudes d'utilisation ou activités inhabituelles sur le réseau. Les UBA sont combinées à d'autres technologies de sécurité, par exemple la détection des intrusions (IDS) ou encore la prévention des intrusions (IPS).

• UEBA (User and Entity Behavior Analytics) fait référence à une analyse comportementale non seulement des utilisateurs, mais également des entités. Les UBA se concentrent uniquement sur les comportements des utilisateurs. UEBA est une approche plus large qui prend en compte d'autres entités (serveurs, applications, dispositifs IoT). Pour détecter les comportements anormaux ou suspects, les UEBA utilisent des algorithmes d'apprentissage afin de générer des alertes en cas de menace.

Joséphine Russello : « On retrouve les approches UBA et UEBA dans les outils qui sont mis en place dans le CyberSOC. Ce qui change ici fondamentalement, c'est que nous sommes dans l'analyse comportementale, des utilisateurs (UBA) et, si besoin en plus, des entités (UEBA). Ce sont des informations absolument capitales là encore, notamment en raison de la prolifération de risques comme le déplacement latéral, où un utilisateur tente d'obtenir les plus hauts privilèges possibles, qui peut s'être introduit de manière indésirable, par exemple, par une tentative réussie de phishing. »

CVE et CVSS

CVE et CVSS sont deux normes indispensables utilisées dans le domaine de la cybersécurité pour identifier les failles. Elles sont toutes les deux utilisées pour évaluer les vulnérabilités de sécurité dans les systèmes informatiques et l'impact des failles. CVE est un dictionnaire de référence pour les vulnérabilités de sécurité connues et CVSS est un système d'évaluation de la gravité des vulnérabilités.

Quelle différence ?

• CVE (Common Vulnerabilities and Exposures) est une forme de dictionnaire de référence. Il identifie les vulnérabilités de sécurité connues et leur assigne un numéro unique. Les CVE sont attribués par un organisme bien particulier, Mitre Corporation.

• CVSS (Common Vulnerability Scoring System) est un système d'évaluation (avec des notes allant jusqu'à 10) des vulnérabilités. L'idée est d'attribuer une cote permettant de déterminer la gravité des vulnérabilités identifiées. La notation va de 0 à 10. Le calcul se base sur différents critères comme la complexité, les impacts potentiels, la confidentialité, l'intégrité des données mais aussi la disponibilité d'un correctif pour la faille.

Commentaire de Joséphine Russello : « Ces bases de données, mises à jour quotidiennement, sont essentielles dans les métiers de la sécurité informatique. Les bases de données croisées permettent d'effectuer des audits et du scanning de sécurité, donc de travailler en mode préventif pour, par exemple, définir les zones sensibles et appliquer un patch s'il est déjà disponible. Là encore, avec CVE et CVSS, nous disposons de ressources précieuses dans le cadre de notre CyberSOC. »

CSIRT

Un CSIRT (Computer Security Incident Response Team) est une équipe spécialisée dans la gestion des incidents de sécurité informatique : la détection, l'analyse et la réponse à apporter aux incidents de sécurité, mais aussi la coordination avec d'autres équipes et organisations.

Son rôle consiste à maintenir la sécurité des systèmes informatiques et des réseaux. Le CSIRT va pour cela surveiller les activités suspectes et fournir une réponse rapide en cas d'incident afin de minimiser les dommages, protéger les données sensibles et préserver la continuité des activités.

Joséphine Russello : « Il existe différents CSIRT dans le monde - privés, commerciaux ou institutionnels (gouvernements par exemple) - qui viennent nourrir nos réflexions et notre savoir au quotidien. Les CSIRT sont un maillon essentiel dans l’arsenal que nous déployons avec le Cyber SOC, dans la mesure où ils vont reprendre et synthétiser un maximum d’informations sécuritaires (incidents, failles, attaques, risques). Ils agissent tant de manière préventive que réactive. »