À partir de maintenant, nous allons nous intéresser aux équipes assurant la défense contre les attaquants, et notamment les acteurs de la cybersécurité : équipes, métiers, rôles. Vous allez découvrir qu’il y en a pour tous les goûts : métiers dédiés à la cybersécurité ou qui interagissent avec l’écosystème, tâches techniques ou organisationnelles… Accrochez-vous, car vous allez rencontrer du monde !
Pour cela, nous nous appuyons sur plusieurs référentiels concernant les métiers de la cybersécurité. Vous pouvez consulter ces ressources ici. Ces référentiels sont très détaillés. Ils listent les activités des différents métiers autour de la cybersécurité mais également les compétences et les qualités à avoir pour chacun d’entre eux. Je vous recommande fortement d’aller y jeter un coup d'œil si un métier en lien avec la cybersécurité vous intéresse.
Découvrez les rôles et métiers de l’équipe Surveillance et détection
Revenons à notre attaque sur l’hôpital afin de comprendre quels sont les différents métiers qui ont joué un rôle dans la prévention, la détection et la réponse à l’attaque. Dans notre cas, une fois que le médecin a remonté le problème identifié, ce sont les équipes de sécurité qui analysent et gèrent l’alerte. Dans d’autres cas, les utilisateurs ne détectent aucun comportement malveillant, et ce sont les équipes de sécurité qui parviennent à le faire : elles ont notamment pour mission de détecter en amont les incidents de sécurité, grâce aux diverses compétences des membres de l’équipe, et grâce à des outils spécifiques. Voyons ensemble quelles sont les personnes impliquées dans cette tâche, et comment cela est possible.
Tous les jours, à chaque minute et même chaque seconde, des événements se produisent sur le système d'information : ouvrir un fichier, supprimer un dossier, accéder à une application… Toutes ces activités, aussi anodines soient-elles, peuvent être tracées dans le système d'information.
Mais ce travail est titanesque, il doit y avoir des milliers, voire des millions de traces à surveiller !
En effet, étant donné le volume de traces (de plusieurs milliers à des millions de lignes par jour, voire plus, selon la taille de l’entreprise concernée), ce travail n’est pas faisable par un humain… Il faut donc s’aider d’un ou de plusieurs outils ! L’équipe de surveillance et détection peut notamment utiliser un outil qui s’appelle le SIEM.
Le SIEM (Security Information & Event Management, ou gestion des informations et des événements de sécurité, en français) est un outil permettant de centraliser et d’analyser les traces disponibles sur les différents éléments composant le système d'information (ordinateurs, applications, etc.). Le but est de pouvoir détecter toute activité anormale (téléchargement d’un grand nombre de fichiers, tentative d’accès à des applications non autorisées, envoi de fichiers vers l’extérieur de manière anormale, etc.).
Finalement, à quoi servent les membres de l’équipe si tout est fait par les outils ?
L'équipe SOC
Justement, tout n’est pas fait par les outils ! Les membres de l’équipe de surveillance et détection réalisent les tâches suivantes :
définir les événements qui doivent déclencher une alerte de sécurité ;
paramétrer les outils en fonction des besoins ;
mettre à jour régulièrement les règles de détection entraînant les alertes, et les procédures associées ;
recevoir, trier et prioriser les alertes reçues via les outils mis en place ;
analyser l’impact des incidents détectés ;
alerter à un niveau supérieur si l’impact est important et/ou si la remédiation nécessite d’impliquer d’autres équipes (équipes de réponse à incident, notamment) ;
proposer des recommandations pour remédier à certains incidents.
On parle d’équipe SOC (Security Operations Center, ou centre de sécurité opérationnelle, en français) : il s’agit de l’équipe chargée de la détection d’activités suspectes ou malveillantes.
Pour rappel, les métiers associés sont :
analyste SOC ;
responsable du SOC (chargé d’assurer la gestion de toutes les activités du SOC).
Ces rôles peuvent être soit en interne au sein de l’organisation (pour les plus grosses organisations), soit externalisés chez des prestataires de services.
Vous voulez en apprendre plus sur le métier d'analyse SOC ? Écoutez l'interview de Binetou qui nous en dit un peu plus :
L’analyste de la menace
Peut-on prévoir qui va attaquer, et quand ?
C’est justement l’enjeu d’un autre rôle au sein de l’équipe de surveillance et détection : celui d’analyste de la menace. On parle également d’analyste “threat intelligence”. Cette personne ou cette équipe est chargée d’étudier l’évolution des menaces qui pèsent sur l’organisation.
Plus concrètement, ses tâches sont les suivantes :
collecter et analyser des données sur les attaquants (motivations, techniques d’attaques, particularités, etc.) provenant de différentes sources (dark web, réseaux sociaux, sites institutionnels, etc.) ;
communiquer, aux équipes chargées de détecter et de répondre à un incident, des renseignements concernant les attaquants potentiels. Ces informations permettront aux équipes d’améliorer leurs propres activités.
Une partie importante de son travail est donc de faire de la veille, c’est-à-dire rechercher et collecter des informations utiles à l’évaluation et à la détection des menaces.
C’est super d’avoir des équipes dédiées et expertes dans la détection de menaces, mais pourquoi n’ont-elles pas vu arriver le ransomware de l’hôpital ?
Bonne question ! Ce sont les investigations qui permettront de le dire, mais il peut y avoir plusieurs raisons différentes :
l’attaquant a procédé selon un mode opératoire non connu des équipes de détection, et aucune alerte n’a donc été enclenchée ;
l’ordinateur utilisé n’était pas surveillé, car pas encore dans le périmètre couvert par le SOC ;
une alerte reçue a pu être interprétée à tort comme bénigne par un membre de l’équipe de surveillance et détection, et donc ne déclencher aucune action corrective.
Dans le cas de l’hôpital, vous avez vu que la réactivité de l’utilisateur ayant remonté l’alerte a été décisive pour agir vite ! Vous l’avez compris, nous avons tous un rôle à jouer pour empêcher les cyberattaques. 💪
Prenez un peu de hauteur sur l’incident en cours
Il est toujours intéressant de garder en tête les grandes étapes du déroulement d’un incident de sécurité. En effet, cela permet d’avoir un cadre de référence et de pouvoir prendre un peu de recul dans une situation qui peut être stressante !
L'ANSSI a publié des guides très intéressants sur la gestion d'un incident de cybersécurité, en y définissant les grandes étapes : je vous encourage à les consulter.
Nous allons voir quelques concepts clés issus de ces guides dans les prochains chapitres, mais nous pouvons déjà nous pencher sur ce schéma de l’ANSSI représentant les grandes étapes d’un incident.
Tout d’abord, durant l’incident il y a trois grandes briques nécessaires à la bonne gestion d’un incident cyber :
Le pilotage de l’incident : comment les équipes s’organisent pour gérer au mieux cet événement exceptionnel (vous verrez cela dans un prochain chapitre consacré à la gestion de crise) ;
La compréhension de l’incident : comment sont réalisées les activités de détection (que nous venons d’aborder !), d’investigation et de supervision (plus tard dans ce cours) ;
La remédiation de l’incident : comment l’endiguement, l’éviction et l’éradication sont assurés, en parallèle de la reconstruction. Nous verrons cette dernière brique dans le prochain chapitre !
En résumé
Vous avez vu au cours de ce chapitre que :
les équipes chargées de la surveillance et de la détection ont pour mission d’analyser les traces sur les systèmes informatiques, et d’essayer de détecter des attaques via la gestion des alertes de sécurité ;
les rôles d’analyste SOC et de responsable SOC font partie de cette équipe de surveillance et détection ;
le rôle d’analyste de la menace consiste à faire de la veille sur les attaquants et leurs modes opératoires, pour essayer de prévenir les attaques ;
L’incident de cybersécurité est composé de trois grandes briques qui évoluent en parallèle : le pilotage, la compréhension et la remédiation.
Nous allons maintenant vous faire découvrir comment se gèrent une crise et les investigations liées !