Supervision de sécurité des systèmes d’information: les limites du modèle actuel

de | 17 février 2018

Le panorama des cyber menaces a radicalement changé ces dernières années : d’un côté des attaques de plus en plus violentes et qui exploitent les dernières vulnérabilités voire des vulnérabilités qui n’ont pas encore été dévoilées et d’un autre côté des attaques de plus en plus sophistiqués menées par des groupes de personnes très organisées, des attaques diligentées également par les états !

Dans ce contexte, la supervision de sécurité devient une composante structure du dispositif de protection contre les cyber attaques. Là où elle était un nice to have, elle est devenue le must have.

Les fonctions de collecte, centralisation et d’analyse des traces générées par les systèmes d’information, désignées par Security Information and Events Management SIEM, constituent la brique fondamentale des SOC “historiques”. Ce SIEM, si essentiel dans la supervision de sécurité, devient aujourd’hui la faiblesse du SOC, car

  1. Il est limité en performances qui nécessite de limiter le périmètre du système d’information à superviser
  2. Il ne prend pas en compte des pans complets du système d’information, ciblent privilégiés des nouvelles attaques

Il est limité en performances qui nécessite de limiter le périmètre du système d’information à superviser

Le talon d’Achille d’un SIEM est sa performance qui se matérialise en nombre d’événements traités à la seconde (les EPS, events par second). La limite en EPS peut être technique, capacité de l’outil et/ou de la plateforme matérielle… ou en terme de licence, cette solution bride le nombre d’ESP à traiter en fonction du budget du client !

Cette limite en EPS structure les choix du(des) périmètre(s) à superviser : afin de “préserver” les performances du SIEM des choix doivent être pris. La majorité des implémentations d’un SIEM favorise la supervision des points d’entrée et sortie du système d’information (principalement les pare-feux) et les interconnexions du réseau (proxy et reverse proxy)…. et, lorsqu’elles sont activées dans les pare-feux ou déployées dans les réseaux internes, des sondes de détection d’intrusion. Dans le meilleur des cas, des traces systèmes, principalement d’authentification, sur les systèmes d’exploitation des composants qui portent les applications critiques de l’organisation.

Ces périmètres limités de supervision permettent de mettre en œuvre un faible nombre de scénarios d’attaque à superviser. Par ailleurs, les scénarios d’attaque supervisés adressent des scénarios connus et documentés. Des scénarios qui ne permettent pas systématiquement les attaques furtives ou de niveau étatique.

A mon sens, les SOC “historiques” sont aujourd’hui capables de détecter les attaques qui font du “bruit”.

Il ne prend pas en compte des pans complets du système d’information, ciblent privilégiés des nouvelles attaques

Comme précisé précédemment, le périmétrique est généralement favorisé pour la supervision de sécurité pour des raisons de performance… mais pas que.  Ne pas remonter vers les couches applicatives est lié à deux raisons :

  • Les applications développées par l’organisation ne produisent pas des traces pertinentes pour la supervision de sécurité : la problématique de supervision n’a pas été intégrée dans la conception de l’application !
  • La complexité d’intégrer les progiciels tels que les ERP dans le SIEM… sans oublier que les experts des SOC viennent principalement du monde de la sécurité l’infrastructure : ils sont loin, en terme d’expérience, des problématiques des métiers.

De plus, les SOC se concentrent historiquement sur le système d’information “historique” : il ne prend pas en compte les ciblent des nouvelles attaques : les postes de travail, les flottes de mobile et les systèmes industriels de plus en plus connectés.

Il y a aussi les nouveaux composants du système d’information qui ne sont pas encore pris en compte dans les SOC : les applications et les services dans le cloud, les objets connectés… sans parler des systèmes industriels composants qui sont de plus en plus la cible des attaques.

Dans ma prochaine publication, je reviendrai sur les transformations que les SOC “historiques” doivent engager afin d’adresser les nouveaux challenges de la cyber sécurité.

Une réflexion au sujet de « Supervision de sécurité des systèmes d’information: les limites du modèle actuel »

  1. Ping : Veille Cyber N169 – 19 février 2018 |

Les commentaires sont fermés.