Security Operation Center

Les cyberattaques se multiplient et toutes les organisations sont concernées. Pour se protéger, les entreprises ont de plus en plus souvent recours à un SOC, complétant ainsi une logique de prévention avec une démarche de surveillance de leur système d’information. Le même raisonnement doit prévaloir dans l’industrie, en adaptant les mesures de sécurité informatique à la spécificité des systèmes de contrôle industriels.

 

Toutes les études le prouvent, le nombre des cyberattaques augmente chaque année. En 2013, 70 % des entreprises du monde entier ont été touchées et la valeur économique pillée représentait 190 milliards d’euros. Pour se protéger, la plupart des organisations ont mis en place des mesures de prévention contre les menaces informatiques. Mais cela ne suffit pas, ou plus, car en matière de cybersécurité, le risque zéro n’existe pas. Quelles que soient les mesures prises, les entreprises seront victimes d’une attaque un jour ou l’autre. Il est donc nécessaire qu’elles sachent se défendre et répondre lorsque la sécurité de leur système d’information est menacée. Pour y arriver, l’implantation d’un SOC (Security Operation Center) est un impératif.

 

Pourquoi un SOC est nécessaire à la sécurité des systèmes d’information ?

 

Un SOC est un dispositif de supervision et d’administration de la sécurité du système d’information permettant, grâce à la collecte d’événements, de détecter des incidents de sécurité informatique, de les analyser et de définir les réponses en cas d’émission d’alerte. Son objectif final est d’assurer une surveillance 24h/24 et 7j/7 afin de rétablir dans un délai le plus court possible la sécurité du système d’information lorsqu’elle est menacée.

 

Pourtant, encore trop peu d’organisations sont équipées d’un tel dispositif. Les raisons d’un tel manque peuvent se lister en 3 points :

  • Les organisations n’ont pas toujours les compétences en interne pour piloter un SOC.
  • La mise en place d’un SOC coûte cher et les entreprises n’ont pas forcément les moyens financiers.
  • Certaines organisations n’ont ni les outils, ni les méthodes pour piloter un SOC.

Et même lorsqu’une entreprise est équipée d’un SOC, celui-ci peut s’avérer inefficace. Une enquête menée par HP en 2014 montre en effet que 87 % des SOC étudiés n’ont pas le niveau de maturité recommandé pour atteindre leurs objectifs.

Des solutions existent cependant pour mettre en œuvre un SOC efficace. Le SANS Institute en livre les 4 étapes clés.

 

Les 4 étapes à respecter pour mettre en œuvre un SOC efficace

 

1 – Cartographie des risques liés à la cybersécurité

 

Pour réaliser la cartographie des risques, l’organisation doit tout d’abord identifier quels sont ses process critiques. Elle identifiera ensuite les vulnérabilités et les menaces, basées sur la probabilité et l’impact financier, dont peuvent faire l’objet ces process critiques. Elle s’assurera également de la pertinence et de la mise à jour de toutes les informations liées aux problèmes de cybersécurité. Il est en outre recommandé de classer l’ensemble des risques.

 

Dans un second temps, l’organisation devra mettre en œuvre des tests d’intrusion afin de fournir des informations précises sur les risques liés à la cybersécurité. Ces tests consistent à simuler une attaque informatique d’un utilisateur mal intentionné ou d’un logiciel malveillant. Ils permettent d’analyser les risques potentiels dus à une mauvaise configuration d’un système, à un défaut de programmation ou encore à une vulnérabilité liée à la solution testée. Son principal objectif est de détecter des vulnérabilités qui permettront de proposer un plan d’actions visant à améliorer la sécurité du système d’information.

 

2 – Identification et mise en place d’une équipe dédiée

L’organisation devra mettre en place une équipe dédiée et fixer ses objectifs. Le but est de lister les compétences de chacun des membres de l’équipe et de les comparer par rapport aux objectifs fixés. Cette étape permet de mettre en place un plan de formation pour l’équipe. Avoir des équipes informées des dernières nouveautés et dotées d’une compétence technique adéquate est en effet primordial. Une veille interne et des sessions de formation régulières sont donc à prévoir.

3 – Implémentation d’une technologie de supervision des événements du système d’information

 

L’équipe dédiée devra s’équiper d’une technologie visant à superviser les événements du système d’information industriel, et être compétente afin de ne pas commettre des erreurs de qualification ou d’investigation. Il est impératif que les structures soient en mesure de surveiller leur système d’information et détecter les événements suspicieux, à travers la génération d’alerte. Ces alertes feront l’objet d’une investigation pour déterminer les raisons d’un tel événement.

 

Cependant, compte tenu de la complexité et de l’expertise pointue nécessaire à la gestion d’un tel outil, un certain nombre d’entreprises décident de confier la maintenance et l’exploitation d’un tel outil à un prestataire à travers une appliance.

 

4 – Définition d’un process de management des incidents

 

Ce process de gestion des incidents doit comprendre 3 phases principales :

  • identification de l’incident ;
  • réponse en fonction du niveau de criticité ;
  • rétablissement du réseau à un niveau normal.

A noter également que le SOC doit répondre à des exigences légales et réglementaires. Elles visent notamment à mettre en œuvre un dispositif de détection d’attaques informatiques et à notifier les incidents de sécurité aux autorités compétentes.

 

La spécificité de la cybersécurité du système industriel

 

Le cabinet Gartner souligne dans son blog que si 80 % des problèmes de cybersécurité rencontrés dans le cadre des systèmes de contrôle industriels sont identiques à ceux des systèmes d’information, 20 % sont totalement différents.
Parmi ces différences, soulignons que :

  • La nature des risques est beaucoup plus grande, dans la mesure où ils peuvent avoir un impact environnemental extrêmement grave et entraîner la mort physique.
  • Les équipements industriels, automatisés, doivent être disponibles en continu. Il est donc très difficile, voire impossible, de les interrompre. Or, dans la mesure où les mises à jour de sécurité d’un système ou d’un service nécessitent le plus souvent leur redémarrage, on comprend bien que les systèmes industriels sont rarement à jour et par conséquent vulnérables aux failles de sécurité.
  • Alors qu’à l’origine ils ont été conçus pour fonctionner de façon isolée, les systèmes de contrôle industriels sont de plus en plus interconnectés avec le reste de l’entreprise et des acteurs qui l’entourent, ce qui augmente les risques.

Pour répondre à cette spécificité, il faut développer des solutions de gestion de la cybersécurité adaptées à l’univers des technologies opérationnelles (OT). En d’autres termes, ces solutions doivent être spécialement conçues pour ne pas avoir d’impact sur l’outil de production. La mise en place de sondes permettant de cartographier le réseau industriel et d’analyser le comportement des automates est une solution.

Dans ce cas, la mise en place d’un SOC dédié aura pour objectif d’assurer une surveillance en temps réel des données collectées, de générer des alertes en cas d’incident et de formuler des
recommandations pour la remise en l’état du système de contrôle industriel.

 

La nécessité d’un SOC est commandée par la multiplicité et la complexité des cybermenaces dont les organisations font aujourd’hui l’objet, et notamment les industriels. Une surveillance continue et en temps réel des systèmes d’information et des systèmes de contrôle industriels est en effet impérative pour leur protection optimale.
Pour en savoir plus, inscrivez-vous à notre atelier lors des prochaines Assises de la sécurité à Monaco le 6 Octobre 2016 à 12H.

Crédit photo : Fotolia / © chombosan