Le SOC-as-a-service ou les avantages d’un centre opérationnel de sécurité à coûts réduits. La proposition d’IBM et Excellium Services fait sens.

Vers le SOC-as-a-Service ! L’image du SOC est tronquée. D’emblée, on imagine une   réponse spécifiquement adaptée à la surface d’attaque d’une organisation. C’est vrai. Mais incomplet. A l’heure du «as-a-service», le SOC prend le même chemin. Il devient service, s’adressant aux entreprises de toutes tailles.

Présentée récemment par IBM et Excellium Services au cours d’un événement réunissant une poignée d’experts, mais aussi des clients et des prospects à The Hotel à Bruxelles, la proposition fait sens. Et donc attire. Le contexte, il est vrai, pousse au SOC-as-a-Service. La vulnérabilité est devenue permanente. La caractérisation des attaques -plus fréquentes et plus sophistiquées- repose sur trois éléments principaux. Un : l’industrialisation des méthodes, due à une diffusion simplifiée des vecteurs sur le web et une professionnalisation des acteurs. Deux : la diversification des sources de menaces, allant d’individus isolés mais motivés dans leurs actions à des groupes organisés de spécialistes. Et trois : l’augmentation des risques accrus, liée à la nature des attaques visant notamment au vol de données, la mise en rançon. L’impact est donc majeur sur les activités : perte de revenus, image de marque ternie, perte de confiance et perte de production…

Le SOC-as-a-Service rassure

Le principe du SOC est rassurant. Et  plus encore le SOC-as-a-Service. Pour IBM et Excellium Services, ce centre opérationnel s’impose comme le partenaire de l’entreprise pour la protection de ses actifs informatiques et une extension de ses équipes opérationnelles. Mission : prévenir les attaques en ayant une connaissance des menaces présentes dans son environnement -mais aussi celles à venir. Détecter, encore, une attaque quand elle se produit, grâce à des outils performants visant à garantir la réputation et la confiance des parties prenantes. Enfin, le SOC permet d’assurer la gestion d’un incident de façon efficace et proactive. Cela dit, l’enjeu majeur reste d’assurer la résilience. A entendre les spécialistes d’Excellium Services, l’approche de la sécurité a changé «Hier, on n’agissait qu’après un incident; aujourd’hui, on s’y prépare sachant que, de toute façon, des attaques se produiront !»

Qui dit SOC dit exploitation des outils et ressources en places, qui vont intervenir comme un réel rempart actif. Qui dit SOC dit aussi usage de technologies innovantes, capables d’identifier et d’analyser rapidement la menace. Ces technologies sont couplées à des compétences expertes en mesure d’innover dans la façon de surveiller et évaluer les risques en continu.

Dans les SOC, les outils quotidiens d’analyse se perfectionnent sans cesse pour s’adapter à la nature changeante des cyber-menaces. Les modes opératoires d’attaques sont de plus en plus sophistiqués, comme c’est le cas par exemple avec le phishing, relève Excellium Services. 

SOC, SIEM, SOAR…

Parmi ces outils, il en est un qui est central : le SIEM (Security Information and Event Management). Une fois en place, il est capable de corréler les données de journalisation de toute une liste d’hôtes, pour reconstituer une chronologie d’événements, puis déterminer la nature de l’attaque pour en évaluer les conséquences, tout ceci en quasi temps-réel. Mais vu la quantité déjà énorme de données à traiter, vu aussi l’accroissement permanent des informations liées aux traces d’activités, la simple analyse statistique ne suffit plus.

Aussi, on associe au SIEM des outils UEBA (User and Entity Behavior Analytics), qui incluent l’analyse du comportement de chaque utilisateur et de chaque entité, et des outils SOAR (Security Orchestration, Automation and Response), qui vont s’appuyer sur toutes les analyses disponibles pour conduire une forme d’orchestration de la sécurité car la détection sans la remédiation est inutile.

Les outils de SOAR, en particulier, permettent d’économiser du temps et des ressources. Ils vont pouvoir absorber la surcharge d’incidents. Mieux : ils vont accélérer le confinement des menaces et réduire l’ampleur des dommages potentiels, sans modifier l’architecture du système en place. Autrement dit, ils renforcent la résilience du système, ce qui est fondamental dans le domaine de la cybersécurité.

Détecter de manière avancée avec le Machine Learning

Dans ce contexte, l’opportunité de l’intelligence artificielle s’invite. En effet, outre leur complexité de déploiement, les règles classiques présentent un défaut : elles se basent sur des analyses statiques, génératrices de nombreux faux-positifs (sauf effort important de maintenance). De plus, l’approche par signature ne détecte que des attaques connues et n’est pas adaptée pour détecter des attaques sophistiquées. C’est là que le Machine Learning -et non l’intelligence artificielle au sens strict du terme- permet de réaliser de l’analyse comportementale et de la détection d’anomalies. Ces outils sont donc capables de détecter des attaques pour lesquelles la définition de signatures est impossible : nombre de cas à couvrir trop important ou niveau de corrélation nécessaire trop élevé.

Avec Watson for Cyber Security, IBM fait un pas de plus en introduisant la notion d’informatique cognitive. Watson apprend de chaque interaction pour mettre les menaces en corrélation et fournir des informations exploitables. «Watson peut maintenant aider les analystes de la sécurité à analyser des milliers de rapports de recherche en langage naturel qui n’avaient jamais été accessibles via les outils de sécurité modernes», assure IBM. De fait, l’introduction d’assistants cognitifs permet de faciliter la tâche des équipes de cybersécurité pour identifier les comportements suspects, détecter les attaques ou chasser les faux positifs plus rapidement. La solution SIEM QRadar d’IBM -en position leader du Gartner Magic Quadrant- s’en trouve donc sensiblement enrichie.L’externalisation plébiscitée

L’externalisation plébiscitée

Chaque semaine de nouvelles menaces arrivent, mais aussi de nouvelles technologies, de nouveaux produits… Il s’agit donc de pouvoir s’adapter. Prendre en compte les évolutions, continuer à contrôler, mesurer et, bien sûr, agir. De là, l’intérêt du SOC-as-a-Service dans une démarche préventive, évolutive et corrective. Chaque jour, IBM enregistre des dizaines de millions d’événements (moyenne quotidienne : 86,4 millions). A The Hotel, un cas client a été exposé. Une compagnie luxembourgeoise a expliqué comment elle a pu réagir face à une série d’attaques, et donc comment elle a pu préserver ses activités en termes de ventes. Car, finalement, c’est là le plus important : faire preuve de résilience d’opération.

Aujourd’hui, plus de 25 clients profitent de ce service. Une cinquantaine de collaborateurs d’Excellium Services y travaillent. Et tout indique que la proposition de SOC-as-a-Service s’inscrit dans la durée. Elle est aujourd’hui plébiscitée par les entreprises, quelle que soit leur taille. Parce que chronophage et toujours plus complexe, la cyberdéfense sera de plus en plus externalisée.

Axel Cleven