Par Vincent J., Consultant Cybersécurité Squad
Introduction
La cybersécurité est un vaste domaine peuplé de personnels spécialisés. Malgré leur compétences, leur implication et la mise à disposition de ressources toujours plus conséquentes, il est impossible de garantir à 100% qu’une organisation est pleinement protégée contre les cyber-menaces.
Quand une entreprise souhaite évaluer son niveau de sécurité, elle a bien souvent recourt à des tests d’intrusion ; ces derniers sont menés par la « red team », c’est-à-dire une équipe d’attaquants qui va simuler de réelles attaques sur le SI de ladite entreprise avec pour objectif de détecter et exploiter un maximum de vulnérabilités qui seront par la suite corrigées.
En face, une autre équipe est en charge de la défense au quotidien du SI de l’entreprise : la « blue team ». Qui sont-ils ? Que font-ils ? Comment sont-ils organisés face à des acteurs malveillants de plus en plus performants ?
La « blue team » a principalement deux axes de travail : la détection et la réaction aux incidents de sécurité. Il est communément admis que la détection est assurée par le SOC tandis que la réaction est pilotée par le CSIRT, éventuellement en collaboration avec un ou plusieurs CERT.
Rôle et fonctionnement du SOC
Il existe deux canaux principaux permettant la détection d’un incident de sécurité : le canal humain et le canal technique. La détection par le canal humain intervient quand un utilisateur remonte de lui-même ses constatations sur un événement suspect. Le canal technique fournit des alertes grâce à une analyse automatisée des différents journaux d’événements collectés au sein du système d’information (serveurs, pare-feu, proxy, antivirus, …).
D’une manière générale, chaque équipement présent sur le SI transmet ses logs vers un collecteur qui les achemine ensuite vers l’outil principal du SOC : le SIEM (Security Incident and Event Manager). Le SIEM a pour rôle de centraliser, agréger et corréler les différents logs afin d’en produire des alertes sur la base de règles de détection préalablement définies.
Ces alertes sont alors analysées et enrichies par l’équipe en charge du SOC. Les faux-positifs sont écartés et les incidents avérés sont transmis au CSIRT qui se chargera d’apporter la réponse appropriée.
En fonction des moyens financiers et ressources humaines disponibles, une entreprise peut opter pour un SOC interne ou externalisé, c’est-à-dire qu’il serait info-géré par un prestataire. Dans le cas d’un SOC externalisé, l’entreprise s’assurera de la confiance qu’elle peut apporter à son prestataire. En effet, il faudra lui fournir tous les logs du SI, et donc livrer des informations potentiellement sensibles. L’ANSSI tient à jour une liste de prestataires qualifiés en détection et réaction aux incidents de sécurité (PDIS/PRIS).
Le CSIRT, la dernière ligne de défense
Dès la réception d’une alerte de sécurité de la part du SOC, le CSIRT est en charge de mener les investigations relatives à l’incident de sécurité. L’objectif est alors double : identifier la source de l’incident par une RCA (Root Cause Analysis) et appliquer les corrections nécessaires pour un retour en conditions de sécurité.
Leurs investigations vont de l’analyse d’en-têtes d’e-mails au forensic en passant par l’analyse de logs. Il est également courant qu’ils aient recourt à l’OSINT (Open-Source Intelligence – renseignement en sources ouvertes) ou à la Cyber-Threat Intelligence afin d’identifier précisément la source des attaques.
Il peut arriver, par exemple, que le SOC détecte des connections d’un poste de travail vers un serveur C&C. Le CSIRT va alors réaliser une analyse forensique sur le poste en question pour identifier un malware qui n’a pas été repéré par l’antivirus. L’extraction et la rétro-ingénierie du malware montrera qu’il est bien à l’origine des connections détectées. L’analyse permettra également de déterminer comment celui-ci est arrivé sur le poste, comment il s’est installé et quels sont ses moyens de persistence. Toutes ces informations sont utiles dans le cadre de la remédiation afin de rendre un ordinateur sain à son utilisateur, sans perte de donnée.
Les membres du CSIRT ont généralement un profil technique avec des compétences en réseaux, systèmes et, bien entendu, en sécurité. Chaque membre de l’équipe ayant sa propre spécialité, l’efficacité globale dépend de la collaboration de chacun.
D’autre part, il arrive bien souvent que les actions de remédiations doivent êtres réalisées par d’autres équipes au sein de l’entreprise (réseau, systèmes, postes de travail, …). Il est alors primordial que le CSIRT soit connu et visible de tous afin de faciliter les échanges d’informations.
L’utilisation d’un outil de ticketing est indispensable pour garder une trace des incidents survenus sur le périmètre, des actions réalisées et pour permettre la rédaction de retours d’expérience qui pourront être présentés au management.
Le CSIRT est généralement dirigé par un leader qui rend compte directement auprès du RSSI. Il a une connaissance globale des incidents survenus sur le périmètre, une connaissance précise des incidents majeurs et ses supports de communication se basent sur des KPI et autres statistiques relatives à l’incidentologie.
Le CSIRT participe également aux activités de prévention des risques et menaces par la veille et l’analyse de vulnérabilités.
CERT et CSIRT : quelle différence ?
Le 2 Novembre 1988, l’Internet est témoin de l’apparition du premier vers informatique : Morris. Pour répondre à cet incident sans précédent, la DARPA (Defence Advanced Research Projects Agency - USA) crée le premier CSIRT : le CERT/CC (Computer Emergency Response Team / Coordination Center). Aujourd’hui, le CERT/CC appartient au SEI (Software Engineering Institute) de l’université Carnegie Mellon à Pittsburgh (Pennsylvanie - USA). « CERT » est une marque déposée aux États-Unis par cette université.
Quand un CSIRT obtient l’autorisation de la part du SEI d’utiliser la marque CERT, celui-ci devient un CERT et intègre la communauté mondiale des CERT. A noter que chaque CERT est indépendant du SEI. Il n’y a donc pas de différence fondamentale entre les deux appellations concernant leurs activités.
En France, le CERT-FR est opéré par l’ANSSI et fournit ses services aux administrations françaises. Le CERT-IST est une association française qui propose ses services aux entreprises des secteurs industriels, services et tertiaire.
