Thales, le groupe d’électronique, a ouvert dans les Yvelines son nouveau centre dédié à la cybersécurité. Il compte parmi ses clients une trentaine de grands comptes, dont l’énergéticien Engie.

La vue est panoramique. Du haut de son phare, Serge Tapia surveille des navires. Ce qui lui importe, ce n’est ni leur nombre, ni leur taille. Le responsable mondial des activités Services de cybersécurité du groupe Thales est d’abord intéressé par leurs mouvements ; et les dangers dont ils pourraient être porteurs. « Il ne s’agit pas de supervision des équipements du client où nous serions à même de modifier leur configuration. Nous sommes sur un mode d’écoute et de collecte d’informations autour de la manipulation de données, dont nous ne connaissons pas le contenu. Nous repérons, dans la masse des événements produits par chaque système de nos clients, des traces de mouvements suspects, connus ou inconnus, qui peuvent être assimilés à des signatures d’attaques », détaille Serge Tapia, dont le groupe a investi le secteur en 2001.

Dans la masse des 3 milliards de logs journaliers – des événements décrivant, de façon chronologique, les activités survenues sur un système et l’ensemble des actions qui ont résulté de ces événements – reçus par le Centre opérationnel de cybersécurité d’Elancourt (CSOC, pour Cyber Security Operation Center), pas moins de 10 000 alertes sont générées par les outils.

« Après analyses par nos 120 experts, on identifie environ 400 anomalies. Une deuxième série de traitements sert à qualifier une cinquantaine d’incidents, qui seront remontés aux clients, pour les prévenir qu’il se passe quelque chose sur leur système d’information (SI). Au final, seulement 4 alertes nécessiteront une réaction urgente, et ceci sur l’ensemble de nos clients », résume Serge Tapia qui, depuis la banlieue parisienne, comme dans les autres CSOC du groupe, ne gère que la cybersécurité de grands comptes.

« Avec de telles volumétries, nous ne sommes plus dans des capacités de traitement à l’échelle de l’humain. En revanche, ce dernier est indispensable en bout de chaîne pour réaliser les analyses les plus fines, où l’expérience et l’intuition prennent le relais des traitements informatiques », reprend-il.

Dans un univers où, à l’instar d’un virus biologique, la malveillance est en perpétuel mouvement, si certaines attaques nouvelles possèdent le même ADN que d’autres connues, de nouvelles techniques apparaissent régulièrement. « Pour cela, même si le développement de technologies d’apprentissage automatique et d’analyse comportementale aident à tirer toujours plus d’informations du big data, une vigilance humaine accrue demeure nécessaire pour le dépistage », poursuit Serge Tapia. Dernièrement, Engie a choisi de confier, pour une durée de cinq ans, la supervision de la sécurité de son SI à Thales. Ce centre de supervision (24 heures/ 24 et 7 jours sur 7) sera basé au CSOC d’Elancourt, ainsi que dans les locaux de l’énergéticien à Saint-Ouen (Seine-Saint-Denis). Pour de grands comptes, tous les flux informatiques du SI ne sont pas matériellement analysables. « Leurs SI sont complexes. En premier lieu, nous définissons ensemble les parties du système qu’il faut surveiller en priorité, en fonction de leurs
métiers, de leur organisation… Une architecture de collecte des logs est alors mise en oeuvre. Ils sont ensuite envoyés sur un CSOC de Thales », poursuit l’expert qui précise que la confiance et la souveraineté sont des critères importants dans le choix d’un partenaire cybersécurité.

Superviser au niveau mondial

Les 130 clients des CSOC préfèrent généralement un partenaire ayant une infrastructure de supervision de sécurité dans le même pays que leur siège social. Ainsi, Thales possède aussi un CSOC aux Pays- Bas, au Royaume-Uni, et à Hong Kong. A terme, l’industriel entend ouvrir une dizaine de centres similaires pour tisser un véritable réseau à travers le monde. Cette logique de centre mondial d’analyses n’est pas propre aux grands groupes qui peuvent s’offrir financièrement des services à la carte, et sont souvent contraints par des réglementations spécifiques. De nombreuses entreprises de taille intermédiaires font appel à des prestataires, ayant des infrastructures dans des pays low cost.Ces prestataires proposent également des services de surveillance, à la différence notable qu’ils sont plus standardisés et très automatisés. Thales se focalise sur les opérateurs d’importance vitale (OIV). Un contexte dans lequel il apparaît naturel que Thales soit le premier client de ses propres CSOC.

Cet article est extrait du magazine Alliancy n°16 à commander sur le site.

Guide du RSSI de demain, la rédaction d’Alliancy, le mag a mené l’enquête ! Découvrez dans notre dernier guide le portrait-robot de cet acteur incontournable de la transformation numérique. > Je télécharge