Mathieu Rigotto : Un SOC structure le fonctionnement de l’entreprise

Solenn Eclache
7 décembre 2017

Share on LinkedInShare on FacebookTweet about this on Twitter

Mathieu Rigotto dirige le pôle cybersécurité d’IMS Networks et détaille en quoi la mise en place d’un SOC est structurante pour le fonctionnement d’une entreprise et pour répondre à l’impératif actuel d’installer la cybersécurité comme une responsabilité transversale.

Quelle place tient la cybersécurité pour une entreprise comme IMS Networks ?

Notre activité historique d’opérateur télécom pour les entreprises nous a rapidement poussés à assurer la défense périmétrique de notre cœur de réseau pour protéger nos clients. Mais à partir de 2011, nous nous sommes également rendu compte que ces outils méritaient un accompagnement beaucoup plus proactif, permettant d’améliorer les réactions en cas d’incident. Nous avons donc dédié un pôle cybersécurité à cet enjeu de supervision et d’accompagnement, avec une offre SOC complète. Nous aidons des entreprises de toutes tailles mais le SOC intéresse souvent les structures de plus de 500 salariés. Leurs demandes coïncident généralement avec l’arrivée d’un RSSI ou au renforcement d’une équipe dédiée à la sécurité, qui réalise un audit. Cette remise en question permet d’intégrer dans la stratégie de l’entreprise la dimension de proactivité que je décrivais précédemment.

Que faut-il pour qu’un SOC soit vraiment utile ?

Si toutes les activités économiques ne sont pas en 24/7, il est évident qu’un système d’information reste lui exposé en permanence. Un SOC basé sur des horaires de bureau classiques n’a donc aucun sens. Or, le 24/7 n’est pas neutre en coût RH. Pour qu’un SOC soit vraiment utile, il faut qu’il sache détecter et contenir des fuites de données en collectant en parallèle les traces qui vont servir à mener une véritable investigation numérique. Mais il faut également une équipe qui sache faire le lien avec les compétences spécifiques et métiers de l’entreprise pour être capable de réagir rapidement en cas d’incident. Enfin, un SOC utile intègre des ingénieurs de niveau 3 qui vont « comprendre l’attaque », parce qu’ils ont été pentesters par exemple, mais aussi des analystes en threat intelligence, des compétences d’investigation et de retro-ingénierie.

Et en cas d’externalisation de la supervision ?

La compréhension de la nature des enjeux métiers et du risque pour l’entreprise revêt alors une importance primordiale. En la matière, la présence d’un responsable sécurité opérationnelle client (RSOC) permet d’apporter une solution cohérente. Le RSOC qui fait le lien entre le prestataire et l’entreprise, doit être intégré de façon à porter les enjeux et les risques du client et à partager les objectifs de sécurité de l’entreprise. Au prestataire également d’apporter la preuve qu’il sait définir les indicateurs les plus utiles : le nombre d’incidents traités, le nombre d’attaques stoppées, la diminution du nombre de faux positifs, le nombre de détection de violation de la PSSI…

Quels liens établir avec la réponse à incident ?

La cybersécurité est très structurante pour les processus d’une entreprise. En effet, au-delà des outils et technologies qui peuvent être mis en place, la gestion de la remédiation demande de clarifier et d’installer durablement une organisation appropriée. C’est toujours à l’entreprise de déterminer qui est responsable de quoi au niveau de son système d’information, de ses actions métiers, de ses données. Il est fondamental, quelle que soit la recette choisie, qu’elle reste maître à bord. Pour y parvenir, il est important de cartographier le système d’information et les « postes » clés qui permettront toujours d’avoir le bon interlocuteur au bon moment. Pour autant, ce niveau d’anticipation doit aussi laisser la possibilité d’adapter et d’améliorer au fil du
temps les processus. Par exemple, il est essentiel d’adapter le processus de communication de gestion des incidents au contexte du client : si un virus se propage sur les machines qui font fonctionner une chaîne de production, il est pertinent d’appeler la DSI mais aussi les responsables de production. Pour que cela se passe sans accroc, il faut avoir défini en amont dans quel ordre ces contacts vont être pris, tout en laissant la porte ouverte à l’adaptation à de nouvelles situations.

Peut-on vraiment espérer atteindre ce degré de personnalisation, tout en restant dans des coûts raisonnables pour une entreprise ?

Un MSSP doit être capable de mettre à profit sa capacité de mutualisation en matière de réactions aux menaces, mais celle-ci est également utile pour lui permettre de capitaliser sur les points communs de ses clients. Il peut alors consacrer les efforts de personnalisation sur ce qui compte vraiment pour l’entreprise. Il est illusoire de penser que l’on sera plus efficace parce que l’on a tout bâti à partir de zéro : au contraire, il y a un vrai intérêt à s’appuyer sur les recettes qui ont fait leur preuve, ne serait-ce que pour faire en sorte que la mise en place du SOC se fasse rapidement et de façon parfaitement maîtrisée au quotidien. Ainsi, à partir de la création d’un plan d’assurance qualité qui définit le fonctionnement du SOC, il est possible de capitaliser bien plus facilement sur des existants et de ne rien oublier pour le client. Règles de détection spécifiques à un métier, règles de corrélation d’un SIEM… un MSSP doit s’appuyer sur une véritable « base de connaissance » qui évite des redéveloppements complètements inutiles.

" Quel que soit le modèle choisi, l'entreprise doit rester maître à bord" 

Les PME et ETI sont-elles vraiment plus proactives quand il est question de leur cybersécurité aujourd’hui ?

Les médias attirent de plus en plus l’attention, ce qui est à double tranchant : la prise de conscience des non-spécialistes est facilitée, mais de plus en plus de personnes en profitent également pour se présenter comme des experts de manière opportuniste. Dans de nombreuses entreprises, le RSSI commence à être bien installé, mais il se retrouve souvent débordé parce que l’on se défausse entièrement sur lui et son équipe. Or, la donnée, au cœur du fonctionnement de l’entreprise, n’est pas la propriété du RSSI ou même du DSI, c’est aux métiers d’être acteurs de sa protection. J’ai eu l’occasion d’assister ces dernières années à de très beaux exemples où les organisations se sont mises en ordre de bataille sur le sujet. Par exemple le ministère de la Santé au Québec qui a réussi à mettre en place une vraie granularité dans sa stratégie de sécurité, grâce à l’implication d’une myriade d’acteurs directement sur le terrain. C’est la preuve qu’une responsabilisation transversale peut porter ses fruits et devenir un véritable asset pour le RSSI et son SOC.

La rédaction d’Alliancy, le mag a mené l’enquête sur les impacts organisationnels et managériaux de l’infogérance de la sécurité du système d’information. Retrouvez cet interview et les témoignages de 9 responsables de la SSI qui sont allés au-delà de l’expérimentation dans ce carnet à télécharger :

Télécharger le carnet d’expérience
pour découvrir les autres interviews