Stratégie

Cybersécurité : les SOC et les CERT sont encore insuffisamment exploités

Le retour sur investissement des SOC est encore limité note l'étude du R2GS (photo Bernard Rousseau).

Le club R2GS qui regroupe une cinquantaine d'OIV français a mené une étude sur l'adoption des SOC et des CERT.

PublicitéEn 2012, le club R2GS menait une première étude sur le degré de maturité de ses membres sur les solutions SOC et CERT. Il renouvelle l'exercice cette année. Le R2GS regroupant une cinquantaine d'OIV, la base de comparaison est faible numériquement, mais intéressante en termes quantitatifs, le club regroupant des acteurs majeurs de l'énergie, des télécoms ou de grandes administrations. Les entretiens nécessaires à l'étude ont pris une demi-journée en moyenne. Le résultat était présenté le 13 décembre lors de la conférence annuelle du R2GS.

Aujourd'hui, tous les responsables interrogés ont engagé une démarche SOC CERT. En 2012, 40% d'entre eux restaient à l'écart de ce type de solution. Ils l'ont tous adoptée, mais avec des niveaux de maturité différents. Leurs motivations sont également diverses. En tête arrive le respect de la LPM, puis une meilleure visibilité pour la DSI ou le RSSI, ensuite la pression de la direction, le respect d'autres lois ou même la simple volonté d'avoir un minimum de défense.

Depuis 2012, ces SOC et ces CERT ont permis d'améliorer la détection et la réponse aux incidents. L'étude note plusieurs points. La gestion des règles de corrélation des outils SIEM permet d'augmenter les taux de détection, les outils de big data avancés apparaissent pour détecter les incidents furtifs (en complément des outils SIEM), des plateformes de threat intelligence assurent la gestion des indicateurs de compromission, les cellules de crise cyber se mettent en place et la gestion des patchs s'améliore.

Le taux de détection par les SOC reste insuffisant

Des progrès indirects apparaissent comme l'amélioration de l'hygiène informatique interne, la facilité d'appliquer les règles de conformité quand le SOC est bien en place et apporte sa visibilité, l'amélioration de la cartographie, la réduction du shadow IT. Malgré cela note l'étude, l'utilisation des SOC et des CERT reste insuffisante pour satisfaire les attentes. Et de pointer plusieurs insatisfactions. Le retour sur investissement des SOC est par exemple encore limité, leur taux de détection des incidents restant encore faible. Ils ont également « une réelle difficulté à mesurer et afficher des progrès concrets notables dans le temps, avec un effet levier sur l'ensemble de l'entreprise ».

Pour le R2GS la solution est double. D'abord miser sur les innovations, comme l'IA dans les analyses, le big data pour la production automatisée d'indicateurs, le machine learning qui peut renforcer les équipes. L'arrivée de nouvelles plateformes d'orchestration permettent de mieux structurer la réponse aux incidents. Ensuite, le club mise sur le travail en commun par filière. Par exemple, au plan européen, l'aéronautique et les télécoms ont créé une fonction commune de threat intelligence qui peut être hébergée par chaque entreprise dans son CERT. Le R2GS travaille également sur la normalisation, en collaboration avec l'ETSI, sur 8 thèmes de cybersécurité. Il incite chaque pays à créer un équivalent du club, ils sont actuellement 7.

Publicité« On a l'impression de se répéter tous les ans »

Les responsables SOC et CERT se débattent pour que progresse la gestion opérationnelle de la sécurité. Avec beaucoup d'arguments, la conformité, l'innovation technologique, le contexte de cybersécurité les aident. Mais, comme le diagnostic Gérard Gaudin, président du R2GS « on a l'impression de se répéter tous les ans ». De nombreuses vulnérabilités de base pourraient être contrées si toute l'entreprise suivait les politiques de sécurité. Tout le monde fait-il les efforts nécessaires ? Utilisateurs et développeurs sont pointés du doigt.

Pourtant les RSSI ont de plus en plus de poids. Selon le président du club, une dizaine de RSSI de grandes entreprises sont déjà intervenus en Comex sur des périodes de temps significatives pour traiter de cybersécurité. Pour lui toutes les grandes entreprises françaises auront franchi ce cap dans les deux ans à venir. « La qualité de la réponse est en effet fondamentale pour être reconnue ».