Face à la grande variété des attaques, le SOC doit s’adapter en permanence, mais avec des analystes débordés par le nombre d’incidents à traiter au quotidien, Sopra Steria propose d’appliquer les recettes du DevOps qui ont démontré leurs vertus dans le monde du développement.
La vocation d’un SOC est de détecter des cyberattaques et réagir et, face à de nouveaux types d’attaques, il doit pouvoir évoluer en permanence avec des experts qui doivent intervenir au niveau des outils de détection, des SIEM, mener leurs analyses d’incidents et réagir. « Face à l’explosion du Cloud, des objets connectés, cette approche essentiellement manuelle n’est plus tenable. Il suffit d’une heure pour un ransomware pour chiffrer des fichiers d’une entreprise. Les analystes sont dépassés par l’ampleur des attaques », argumente Alexandre Cabrol Perales, MSSP manager et responsable de l’innovation en cybersécurité de Sopra Steria. « Notre idée est d’augmenter la capacité de réaction de l’analyste qui va penser, décrire ses scénarios de réaction à un incident et la machine va exécuter ces scénarios. »
Des cas d’usage de développement orientés vers la cybersécurité
Sopra Steria s’est appuyé sur des pratiques venues du monde du développement, celles DevOps, pour les appliquer dans le domaine du SOC. La démarche a été mise en place pour un industriel qui a souhaité migrer ses applications en infrastructure Cloud, et pour lequel le SOC a dû accompagner le changement. « La cybersécurité doit apprendre d’autres métiers qui sont plus en avance dans l’industrialisation des processus. Cela permet d’utiliser un même vocabulaire pour tous, avec des cas d’usage qui ne sont plus orienté développement, mais cybersécurité » ajoute l’expert.
La solution s’appuie sur des repository de type Git/GitLab/GitHub, des solutions de déploiement continu CI/CD, des outils tels qu’Ansible/Terraform afin de fournir à l’analyste de sécurité une solution avec laquelle il va pouvoir décrire le comportement qu’il souhaite sous forme de script, le cas le plus fréquent, où via un assistant graphique développé par Sopra Steria. Ainsi, pour faire face à une attaque « Brute-Force », l’analyse définit la liste de ses stratégies de détection pour la liste des méthodes d’attaques connues, établit un diagramme d’investigation et définit ce qui peut être automatisable et ce qui ne doit pas l’être. Dans cette phase, Sopra Steria s’appuie notamment sur le framework MITRE ATT&CK. Enfin, pour la partie réaction, Alexandre Cabrol Perales suggère la mise en place d’arbres de décision, et la mise en œuvre d’outils de type SOAR pour déclencher la réponse à incident. L’analyste observe ensuite via les tableaux de bord ou analyses réalisées par IA le comportement de la plateforme SOC en production et effectue le tuning de ce qui a pu être déployé.
« C’est un grand changement de paradigme en matière de SOC. L’analyse se livrait à la détection, l’analyse puis la correction. Dorénavant, l’analyse observe la machine qui détecte, analyse et qui, à terme, devrait décider et agir. On ne va pas encore jusque-là aujourd’hui, les entreprises ne sont pas prêtes pour cela, mais c’est ce vers quoi on ira à l’avenir » conclut l’expert.
Auteur : Alain Clapaud
