Dossiers
Chroniques
Guides et carnets
Évènements
Podcast
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Dossiers
Chroniques
Guides et carnets
Est-il raisonnable d’automatiser la gestion des données qui permettent aux entreprises de mieux appréhender la menace cyber et jusqu’où aller ? Thomas Burnouf, manager adjoint du security operations center (SOC) du groupe EDF et Georges Bossert, chief technology officer de SEKOIA, entreprise spécialiste de la threat intelligence (la collecte d’informations sur les menaces cyber pour mieux protéger l’entreprise), décrivent les enjeux actuels des entreprises en termes d’analyse de ces données et de modes de fonctionnement.
Thomas Burnouf, manager adjoint du security operations center (SOC) du groupe EDF et Georges Bossert, chief technology officer de SEKOIA
Alliancy. Quel a été le parcours d’EDF en matière de threat intelligence ?
Thomas Burnouf. Nous nous sommes surtout donnés plus de moyens il y a deux-trois ans. Il fallait à l’époque faire face à la montée en puissance des groupes d’attaquants structurés et professionnalisés et à la multiplication des attaques, en nombre et en variété. Comme toutes les entreprises, nous faisons face depuis des années à de forts besoins de recrutements de talents sur un marché de l’emploi extrêmement tendu quand il est question de cybersécurité. La question pressante était donc : comment couvrir un périmètre plus large sans augmenter forcément la taille de nos équipes ? Le security operations center (SOC) d’EDF compte environ 30 personnes, mais ses missions sont un peu plus ambitieuses que celles d’un SOC traditionnel. Nous connaissons une grosse croissance, notamment avec la volonté de réinternaliser des compétences gérées par une entreprise de services de sécurité.
Dans ce contexte, il y a un peu plus de deux ans, nous avons mis en place notre propre plateforme de threat intelligence, avec le parti-pris de la nourrir de données fournies par les équipes internes, du SOC et du CERT (computer emergency response team), et récupérées sur Internet à partir des flux étatiques ou Osint (Open source intelligence, des informations non classifiées accessibles à tous, ndlr). Mais nous voulions aussi passer rapidement à la vitesse supérieure : avoir la donnée en masse, pouvoir automatiser et pouvoir entrer dans une logique de réutilisation systématique, afin de perdre le moins de temps possible en traitements. En rencontrant Sekoia a cette époque, on a vu que l’on avait des approches assez convergentes et on a pu échanger sur le fond.
Quels ont été les sujets de discussions ?
T.B. Les premiers échanges avec Sekoia n’étaient pas commerciaux : nous avons rapidement commencé à travailler, mais en mode partenarial, sur un pied d’égalité. Cela était notamment dû au fait qu’à l’époque, leur solution ne s’interconnectait pas avec notre plateforme, alors que pour nous c’était un prérequis technique. Il y a donc eu un vrai travail commun pour bâtir ce connecteur, sans qu’il y ait pour autant d’engagement commercial. On a fait cela en bonne intelligence. Ce n’est qu’une fois que tout a vraiment bien fonctionné que l’on a pris le parti de devenir client.
« La force d’une entreprise comme EDF sur ces sujets, c’est d’avoir anticipé et de s’y être pris tôt, voilà plus de deux ans » Georges Bossert, chief technology officer de SEKOIA Cliquez pour tweeterGeorges Bossert : Dans nos milieux, ce type de coopération est une réalité très opérationnelle, très pragmatique. Toutes les entreprises connaissent de fortes difficultés au quotidien sur la cyber, qui encouragent vraiment à des coopérations originales pour être plus forts ensemble. De leurs côtés, on voit bien que les criminels réutilisent leurs bonnes pratiques, leurs infrastructures, leur mode d’attaques…. Ils cherchent le ROI le plus élevé et en coopérant entre eux, ils gagnent en réactivité et en efficacité. Côté défense, une entreprise ne peut plus décider de rester seule dans son coin. Une approche partenariale est l’un des meilleurs moyens d‘empêcher les attaquants de capitaliser sur leurs capacités. La threat intelligence se prête bien à ce type d’initiative, en permettant le partage de renseignements actionnables. Être bien informé c’est un moyen de faire baisser le ROI des criminels. Et plus on baisse leur ROI, plus cela les dissuade. Collaborer, c’est commencer à casser leur rentabilité, en permettant aux entreprises d’adapter leurs postures.
Avez-vous des exemples concrets qui illustrent ce type de gains ?
T.B. C’est le mot clé actionnable qui compte vraiment pour que cela fasse la différence. J’ai un bon exemple avec Emotet (un malware qui a d’abord ciblé le secteur bancaire en 2020 avant de toucher les autres entreprises, ndlr). Cela ne m’a vraiment coûté aucun temps humain, pour envoyer directement en détection au niveau du système de gestion des informations et événements de sécurité (Siem), mais aussi jusqu’au niveau des équipements de sécurité eux-mêmes dans le système d’information. C’est une menace d’ampleur sur laquelle on a pu réagir sans perdre un temps précieux. Mais pour que cela fonctionne, il faut accéder à une information qui soit de confiance et contextualisée, applicable à nos scénarios de menaces.
G.B. En effet, c’est bien de pouvoir apprendre, détecter, bloquer mais ce n’est pas suffisant. Ce n’est que moins de la moitié du travail en threat intelligence : l’autre, c’est expliquer le « pourquoi ». Cela revient à donner les éléments qui permettent à l’entreprise de comprendre la nature de la menace. Est-elle générique ou ciblée ? Spécifiquement sur elle, sur son secteur, sur un type d’infrastructure ? Car cela changera en profondeur les réactions pertinentes à apporter et surtout, le temps que l’on mettra à les apporter.
Peut-on se dire qu’avec une donnée de confiance et suffisamment contextualisée, on pourra automatiser une grande partie de cette cybersécurité ?
T.B. Oui, mais il faut souligner tout de même que bloquer automatiquement n’était pas un pari gagné d’avance. Quand on a dit aux équipes réseaux qu’on allait bloquer, grâce à l’automatisation, certaines choses sur leurs équipements, il y a eu une levée de boucliers. Il a donc fallu prouver que ce n’était pas seulement dans l’optique de faciliter la vie aux équipes du SOC elles-mêmes, mais que cela allait faire également gagner du temps à toutes les équipes d’exploitation, réseau… bref à l’IT au global.
G.B. Pour un SOC, le gain est évident, cela permet de gagner du temps sur les alertes, de redéployer ce temps pour faire du threat hunting, de gagner en qualité… C’est-à-dire de mettre l’humain là où il a plus de valeur : dans l’analyse et l’investigation.
Concrètement, comment avez-vous convaincu les autres équipes ?
T.B. Il y a une dimension organisationnelle . Par exemples, les équipes « proxy / accès » sont rattachées au SOC depuis 2 ans déjà. Cela a permis de démontrer que sur nos accès et nos propres infrastructures, l’argumentation se tenait. On a montré pendant deux mois que nous n’avions pas de blocages problématiques. L’avantage, c’est que Sekoia utilise aussi de son côté ces informations pour sa propre sécurité. Donc on savait qu’ils seraient très réactifs s’il y avait un problème. Et au-delà de rassurer ainsi sur la qualité de la donnée et sur la fiabilité de l’automatisation, ce qu’il faut montrer, c’est sur quels sujets il est possible de voir des gains de temps notables, pour le traitement des tickets ou les astreintes de week-end par exemple. Et cela a fonctionné, aujourd’hui, on a l’effet inverse : une grosse demande de la part des équipes.
G.B. La force d’une entreprise comme EDF sur ces sujets, c’est d’avoir anticipé et de s’y être pris tôt, voilà plus de deux ans. Cela permet d’avoir un recul précieux sur ce qui fonctionne ou non. Or, aujourd’hui, c’est une tendance de fond et tout le monde s’en rend compte. Faire plus en sécurité avec la même capacité humaine, est devenue une demande forte de toutes les organisations.
Dans une optique de guerre des talents justement, est-ce un argument qui est mis en avant ?
T.B. Oui, c’est complètement un objet de recrutement et de fidélisation. Nous recrutons beaucoup et au départ, nous craignions vraiment que personne ne vienne taper à la porte d’EDF sur de tels métiers. Mais nous avons pu nous rendre compte à quel point nos partis pris envoient des signaux clairs sur la maturité de l’entreprise et sur l’intérêt du « terrain de jeu » pour des talents cyber. Et le fait d’avoir été en avance et de ne pas se contenter de suivre le mouvement, cela parle. D’autant plus, que de telles dispositions ont contribué à nous permettre d’absorber la vague liée à la pandémie, que l’on a clairement vu. Quand je vois que la direction et le management de l’entreprise sont très sensibles et satisfaits sur la réactivité du SOC et du CERT face aux publications de rapports de menaces de l’Agence nationale de la sécurité des systèmes d’information (Anssi)… c’est la preuve que cette anticipation a porté ses fruits.
G.B. Je dirais que depuis deux ans, les postures cyber ont vraiment changé au sein des directions et plus généralement dans les entreprises. Les nouvelles capacités sont mieux utilisées. Le sujet s’est élargi aux opérations, à la stratégie… Et sur le marché, on constate une attente beaucoup plus forte en matière de fiabilité et « d’actionnabilité » de l’information. L’opérationnalisation du renseignement, H24, devient un facteur de confiance clé.
T.B. Et on ne compte pas s’arrêter là en matière de threat intelligence : nous travaillons déjà sur les grandes menaces et leur transformation, mais nous allons aussi collaborer avec d’autres acteurs plus variés, nous muscler sur les attaques ciblées, etc. Nous comptons sur l’engouement généré autour de l’automatisation pour élargir le scope.
