Terminaux, applications, identités… Protéger votre système d’information est une chose. De la détection des incidents à leur résolution, le superviser en est une autre.
C’est le principal argument des fournisseurs de SOC (Security Operations Center), ces centres opérationnels de sécurité qui proposent des offres associant ressources technologiques et humaines.
Si les grands comptes restent leur principale cible, la promotion auprès des PME prend de l’ampleur, sous l’angle de l’externalisation avec son lot de bénéfices annoncés, notamment des temps d’intervention élargis et un niveau d’expertise supérieur aux équipes internes.
Un périmètre d’intervention variable
Si on retrouve généralement le triptyque prévention – détection – réponse aux incidents -, les offres de SOC sont variées.
Au-delà de l’inventaire des ressources et de la définition de stratégies, la prévention peut englober la formation des collaborateurs, la veille juridique ou encore la conception d’un plan de reprise d’activité.
Avec le SIEM (« Security Information Management System »), la détection est fondée sur la collecte et la corrélation de données à l’échelle du système d’information.
La réponse aux incidents – souvent orchestrée à renfort de services cognitifs – peut comprendre aussi bien la lutte défensive que l’investigation ou la gestion de crise.
La plupart des fournisseurs visent une disponibilité en continu. Dans la pratique, ce n’est pas toujours le cas au lancement des offres.
Chez Hub One, elle est pour l’heure opérationnelle du lundi au vendredi, aux heures ouvrées. Le 24/7 est visé pour le 2e trimestre 2019.
La disponibilité peut être favorisée par la présence de multiples implantations au niveau mondial. Certains, comme Orange Business Services, ont constitué ce réseau en propre.
D’autres l’ont construit au travers de partenariats, à l’image d’ITrust. La société toulousaine, qui vient d’ouvrir son deuxième SOC en France (à Issy-les-Moulineaux), s’est associée à Groupe Access pour une présence en Amérique du Nord. Gfi, CGI et Claranet Scopelec sont ses partenaires en Europe ; LPMS, au Maroc.
Elle propose, en parallèle de son SOC, des services d’aide à la configuration et à l’installation des équipements de sécurité.
D’autres sociétés ont constitué des packs, à l’instar d’Advens pour la santé, les terminaux point de vente ou l’IoT.
Des outils construits sur des algorithmes
Les principaux fournisseurs de cloud public ont aussi pris position, avec des outils qui font la part belle aux algorithmes.
Microsoft l’a fait sous la bannière Centre de sécurité Azure.
Le niveau gratuit permet de voir l’état des charges de travail sur Azure (machines et réseaux virtuels, service SQL, web apps, solutions de partenaires intégrées) par rapport aux stratégies définies. Il fournit en outre des recommandations sur les mesures à prendre.
Le niveau standard permet de gérer des ressources locales (ordinateurs Windows et Linux) et d’autres clouds. Il peut aussi collecter des données de sécurité provenant de solutions tierces et non pas seulement de l’agent Microsoft.
Du côté d’Amazon Web Services, on avance sous le blason GuardDuty. L’offre n’est pas présentée comme un SOC, mais elle en réunit les principales composantes. La collecte des données s’effectue via CloudTrail (activité des utilisateurs AWS et des API), les journaux de flux VPC Amazon (trafic réseau) et les logs DNS.
Des passerelles sont établies avec les fonctions AWS Lambda pour automatiser les réponses par rapport aux résultats de sécurité.
Des outils complémentaires permettent d’affiner l’analyse, à l’image d’Inspector et d’Organizations. Le premier permet l’évaluation de la sécurité des applications déployées sur AWS. Le second, la création de stratégies de groupes.
Chez Google, l’offre Cloud Security Command Center est encore en version préliminaire (alpha). Elle couvre App Engine, Compute Engine, Cloud Storage et Datastore. Mais pas d’éventuelles ressources locales. Six partenaires y ont connecté leurs solutions : Cloudflare, CrowdStrike, Dome9, Palo Alto Networks, Qualys et RedLock.
Son utilisation n’est pas directement facturée. Elle a toutefois des répercussions sur le quota des instances App Engine et des appels d’API ou encore sur les frais de bande passante.
IBM aussi a son offre SOC : X Force est basée sur un réseau d’une soixantaine de centres dont un ouvert début 2018 à Lille. Le groupe américain a la particularité d’avoir ouvert, en 2015, sa brique SIEM, autour de laquelle s’est créée une place de marché d’applications et d’extensions.
La technologie a été intégrée par des partenaires dans l’offre SOC de Capgemini. L’ESN compte une douzaine de centres dans le monde, dont un en France (à Toulouse). Elle met, à l’instar d’ITrust, l’accent sur la modularité de son offre : ses composantes peuvent être installées et/ou managées de manière unitaire.
Au dernier pointage de Kaspersky, 27 % des TPE françaises (moins de 50 employés) et 33 % des PME (50 à 249) ont externalisé au moins partiellement la gestion de leur cybersécurité.
La difficulté à assurer une protection sur l’ensemble du périmètre est citée par 45 % des salariés de l’IT interrogés.
Crédit Photo : Hywards-Shutterstock
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…