Externaliser (ou pas) son «SOC» ?

Devant le renforcement de la réglementation… devant aussi la recrudescence des cyberattaques… de plus en plus d’entreprises songent à se doter d’un centre d’opérations de sécurité. Face aux coûts et difficultés de tels projets, l’externalisation apparaît comme la meilleure solution.

Le SOC d’Airbus CyberSecurity, à Élancourt (78), fonctionne en 24/7 et ce sont entre 70 à 80 personnes qui y travaillent pour le compte de 25 clients français, dont TV5 Monde, à la suite à la cyberattaque qu’a connue la chaîne en 2015.

C’est sans doute le dispositif le plus emblématique de la cybersécurité. Dans le monde des séries, ou du cinéma, les SOC (cyberSecurity Operations Center) représentent de grands centres de supervision, équipés de murs d’écrans où des dizaines d’analystes cherchent à débusquer les pirates informatiques qui se sont introduits sur le réseau d’une entreprise. Si cette image diffère quelque peu de la réalité, de plus en plus d’entreprises disposent maintenant d’un SOC afin de veiller à la sécurité de leurs systèmes informatiques. Ainsi, la loi de programmation militaire oblige les OIV (Opérateurs d’importance vitale) à disposer d’un SOC pour veiller à la sécurité de ces opérateurs d’importance vitale ; un SOC dont le fonctionnement doit être audité par l’Anssi. Si pour des acteurs tels que EDF, Orange ou les grandes banques françaises qui s’appuyaient déjà sur des équipes InfoSec imposantes, décrocher la certification PDIS (Prestataires de détection des incidents de sécurité) de leur SOC a du sens, c’est trop compliqué et coûteux pour les OIV et des entreprises modestes. L’externalisation s’impose naturellement.

C’est tout un marché de l’externalisation des SOC qui s’est mis en place ces dernières années : le marché des MSSP (Managed Security Service Provider). On y trouve tous les poids lourds de la cybersécurité en France, dont Atos, Capgemini, Airbus, Thales qui ont – ou vont – décrocher cette qualification PDIS de l’Anssi, mais aussi des acteurs plus modestes. Ceux-ci ne visent pas nécessairement une qualification de l’Anssi car le marché des MSSP dépasse aujourd’hui la sphère gouvernementale/défense, comme l’explique Hugo Madeux, directeur de la Business Unit Security chez IBM France : « Le marché français des MSSP va bien au-delà des seuls OIV. Ceux-ci sont sans doute les premiers à y aller. Les banques ne sont pas allées vers l’externalisation et les MSSP dans un premier temps, mais elles y viennent après coup. »

Créer un SOC interne, un projet exorbitant
Le coût est bien évidemment une raison majeure pour les entreprises qui se tournent vers ces acteurs. « Le problème de la mise en place d’un SOC interne qui doit fonctionner en 24/7, c’est à la fois son coût exorbitant, de l’ordre du million d’euros au minimum, mais aussi des compétences qu’il faut trouver », résume Abdou Berghani, consultant expert en cybersécurité. « Les analystes d’un SOC interne ne seront jamais aussi pointus que ceux d’un SOC externe qui travaillent pour plusieurs clients et qui ont une vue très large sur les menaces, notamment les APT. Faire monter en interne des compétences est très coûteux et que survient-il lorsque celles-ci quittent l’entreprise ? »

Externaliser le SOC apparaît comme une solution séduisante pour les entreprises en termes de coût et de mutualisation des ressources, raison pour laquelle de nombreuses entreprises se tournent aujourd’hui vers les MSSP. Illustration de cet élargissement du marché français, IBM a inauguré son premier SOC français à Lille, en janvier 2018. Il s’agissait pour Big Blue d’être au plus près de son client Auchan, un acteur majeur du Retail. Cette proximité géographique est sans doute une des caractéristiques clés de cette externalisation : contrairement à l’infogérance ou au développement offshore, les entreprises privilégient les SOC proches de leur centre d’exploitation IT et ne vont pas sur des centres en Inde ou au Maghreb. Un RSSI souligne : « Un fonctionnement 24/7 est plus adapté aux contraintes de la sécurité qu’une approche follow-the-sun, par exemple. Une même équipe qui doit pouvoir gérer un incident en continu et ne va pas transmettre l’incident à un autre centre à partir d’une heure précise. » Une exigence que confirme Hugo Madeux : « La totalité de nos SOC fonctionnent en H24. Donc nous n’avons pas besoin de faire du follow-the-sun. Généralement les demandes de nos clients vont vers un SOC unique où va être centralisée la connaissance sur le client, même si le client est fortement internationalisé. En plus de capitaliser la connaissance, la langue est un critère, de même que la question réglementaire : autant de critères qui poussent vers le SOC unique. »

Externaliser un SOC, un projet complexe
S’il y a désormais un choix important de prestataires MSSP en France, mener à bien la mise en place d’un SOC reste un projet complexe. Un document publié par la fondation Mitre en 2014 est considéré comme l’acte fondateur du SOC moderne. Intitulé Ten Strategies of a World-Class Cybersecurity Operations Center, ce document de plus de trois cents pages décrit de A à Z et de manière extrêmement détaillée l’ensemble des services de sécurité que doit délivrer un SOC. « C’est un document de référence qui permet d’être guidé sur l’élaboration d’une stratégie d’externalisation », explique le RSSI d’un grand compte français. « Cela permet de bien formaliser le périmètre de surveillance que l’on veut assigner au SOC, quel niveau de maturité on souhaite atteindre en interne et quelles briques et services du SOC on va choisir d’externaliser. » En effet, un SOC n’est pas une entité monolithique, mais un ensemble de services et de briques fonctionnelles qui peuvent être opérées indifféremment en interne ou en externe, sachant qu’une entreprise ne va pas nécessairement confier au même prestataire tous les services de son SOC qu’elle souhaitera externaliser. Parmi les grandes briques fonctionnelles du SOC figure en amont la Threat Intelligence, c’està-dire la veille sur l’état des menaces, puis le call-center, le triage puis l’analyse des alertes, un service de FirstResponse pour répliquer aux attaques, puis la phase d’enquête (forensic) et la réparation des dégâts occasionnés par l’attaque (la remédiation).

Le scénario le plus commun est d’externaliser les premiers niveaux de traitement des alertes de sécurité, c’est-à-dire le volet call-center, tri des incidents de sécurité et première analyse, le SOC passant le relai au RSSI avec les événements de sécurité suffisamment sérieux pour nécessiter une intervention sur les firewalls ou les serveurs. « La partie certainement la plus difficile à externaliser est sans doute le volet réaction rapide car cela implique de donner autorité au SOC pour intervenir rapidement sur les systèmes de production pour “ mitiger ” une menace en cours de réalisation, qu’il s’agisse de passer des patchs en urgence, de fermer des ports sur les firewalls », confie un RSSI. « Le temps de réaction doit être très court, or un SOC externalisé aura du mal à faire la balance entre l’impact métier de la coupure de système en cours de compromission et l’impact de la compromission elle-même. » Bien souvent, les DSI et RSSI préfèrent ne pas donner accès à leur système d’information à leur prestataire de sécurité. Le SOC n’a accès qu’aux équipements de collecte des logs et toute l’efficacité de la réaction à une attaque repose alors sur la réactivité de l’équipe interne du RSSI et des équipes d’exploitation.

Une phase de « build » particulièrement lourde
Si l’externalisation permet théoriquement de se doter d’un SOC rapidement, puisque l’entreprise n’a pas à chercher à embaucher les experts, n’a pas à trouver des locaux et déployer toutes les applications et briques réseau nécessaires au fonctionnement du SOC, le projet de build n’en reste pas moins complexe. La cybersécurité n’est pas une discipline qui tolère l’improvisation et il faut penser absolument tous les processus de fonctionnement avant de déclarer le SOC comme opérationnel. « La sécurité est véritablement un domaine qu’il est très difficile d’externaliser », souligne Abdou Berghani. « Il faut donc absolument tout verrouiller en amont, tant en termes de processus que de contrats. Lorsqu’on s’appuie sur un SOC externalisé, ce n’est pas au moment d’une attaque qu’il faut réfléchir à qui doit avoir le lead sur les actions et mesures à prendre en urgence. Il faut réfléchir en amont aux différents cas de figure et absolument tout formaliser sous forme de processus et absolument tout documenter, puis entrer dans un cycle d’amélioration continue afin d’améliorer les procédures écrites en fonction de la réalité du terrain. » Lors de cette phase de build, l’équipe sécurité interne et les métiers vont être très sollicités car il faut paramétrer les règles de déclenchement d’alertes du SIEM.

Dans un premier temps, c’est donc une donc pluie d’alertes qui s’abat sur les équipes qui vont devoir décider si, en fonction du contexte de l’entreprise, il s’agit d’incidents de sécurité avérés ou de simples faux positifs. Peu à peu, la collaboration entre l’équipe sécurité et l’équipe SOC doit permettre d’abaisser ce nombre de faux positifs à un niveau plus acceptable par les équipes et le SOC peut basculer en mode run. Dès lors, comme pour tout projet d’externalisation, travailler avec un MSSP implique un pilotage serré de la prestation. Classiquement, ce pilotage passe par la mise en place d’indicateurs d’activité qui permettront d’évaluer la qualité du service délivré par le prestataire. Délais de réponse à incident, délais d’escalade des alertes, taux de faux positifs… tout un jeu d’indicateurs va permettre au Ciso et au RSSI d’évaluer la qualité de la prestation. Le club R2GS (Réflexion et recherche en gestion opérationnelle de la sécurité) travaille notamment sur des indicateurs clés spécifiques à l’activité bien précise d’un SOC.

En outre, certaines entreprises essayent de s’assurer que leur prestataire reste “à la page” et vérifient que les bases de menaces et les outils mise en œuvre par le MSSP soient mis à jour très régulièrement. Certains RSSI veulent aussi avoir à l’œil la stratégie RH de leur prestataire. « Le Mitre recommande que les analystes de niveau 1 puissent devenir analystes de niveau 2 à terme, puis experts de niveau 3 », affirme un RSSI. « Un analyste de niveau 1 ne va pas avoir l’intention de le rester longtemps, celui-ci va chercher à monter au niveau 2 puis devenir enfin un expert de sécurité. Les MSSP peuvent leur offrir ce type de carrière, ce qu’une entreprise aura du mal a faire avec un nombre de postes bien plus limité. »

C’est avec une politique RH cohérente que le SOC pourra s’appuyer sur des gens qui ont une compétence terrain, une expérience bâtie sur des cas réels, une forte expertise et des analystes de niveau 1 qui resteront motivés. C’est aussi un moyen pour le SOC de limiter son turn-over sur ces fonctions en forte tension sur le marché de l’emploi, un turn-over perpétuel plutôt mal accueillis côté entreprise car un turn-over élevé est synonyme de perte de connaissance du métier de l’entreprise chez le MSSP et donc de perte de temps dans les relations MSSP/ entreprise.

Sur le papier, on peut penser que, par la mutualisation de moyens et le fait de pouvoir travailler avec les données de multiples clients, les MSSP sont plus efficaces que les SOC internes. C’est sans doute vrai dans de nombreux cas, mais la protection assurée par le SOC est loin d’être infaillible, comme le souligne Martine Guignard, RSSI et membre du Clusif : « Il n’est pas rare que le SOC ne détecte pas les incidents de sécurité, notamment lors des tests de pénétration. Le SOC ne détectait ni les manœuvres d’approche, ni les manœuvres d’attaque, ce qui est un vrai problème ! Ce n’est pas lié à un prestataire particulier, mais général. » La RSSI souligne que si les SOC sont à la peine face à certaines menaces extérieures, ils sont un bon outil sur le plan de la conformité car le SOC fait remonter de multiples alertes sur les mauvaises pratiques internes. Toutes les ressources IT qui ne sont pas correctement identifiées dans les CMDB ou encore les ports réseau ouverts par commodité sans en informer le RSSI apparaissent au grand jour. Bien évidemment, seules des campagnes de PenTest renouvelées permettront d’estimer l’efficacité réelle du SOC vis-à-vis des menaces externes.