Afin de garantir la sécurité d’un environnement informatique, un centre d’opérations de sécurité (SOC) est essentiel. Toutefois, la plupart des entreprises ne sont pas en mesure de mettre en place elles-mêmes un tel SOC. La sous-traitance est en passe de devenir la norme, mais qu’est-ce que cela implique exactement ?
Stéphane Jacquis profite d’une petite pause devant la majestueuse façade du bureau d’Advens, dans le centre de Lille. À notre arrivée, le patron du département Security-as-a-Service du spécialiste français de la sécurité nous fait immédiatement entrer par les grandes portes noires, en passant par un hall d’entrée moderne qui semble sortir directement d’un cabinet d’avocats de luxe. Nous accédons à une cage d’ascenseur rénovée vers le milieu des trois étages qu’Advens occupe ici.
« Advens a une empreinte internationale », souligne Jacquis alors que nous cherchons une salle de réunion vide. « Nous protégeons les entreprises dans tous les pays où elles opèrent. Nous fournissons la solution EDR pour 450 000 points finaux et 30 % d’entre eux se trouvent hors de France, dans 95 pays différents. »
SOC-as-a-Service
Advens est un spécialiste français de la cybernétique et a de grandes ambitions. La société intègre des solutions de sécurité provenant de toutes sortes de fournisseurs, mais s’efforce de conserver une orientation européenne si possible. Le service le plus intéressant de l’offre d’Advens est entièrement le sien : Jacquis et son équipe gèrent un Security Operations Centre qui fait partie d’une solution SOC gérée (« managed »). Autrement dit, les clients peuvent y externaliser la surveillance et la détection au sein de leur environnement informatique.
A l’étage intermédiaire, toutes les salles de réunion sont occupées. On remarque une agréable ambiance pour le déjeuner. Les équipes commerciales s’affairent parmi leurs postes de travail personnalisés, on trouves des boîtes de dispositifs de sécurité partout. Sur une table au fond, on voit une bouteille de champagne.
Jacquis nous conduit à un étage plus bas pour un petit café. Nous y rencontrons le directeur marketing Benjamin Leroux. « Je n’ai pas toujours été un expert en marketing », rit-il. « Il y a longtemps, j’étais un RSSI. Aujourd’hui, je représente toujours l’organisation française du secteur de la sécurité. » Leroux a arrangé une salle pour nous.
Le fait que nous visitions Advens aujourd’hui n’est pas un hasard. Le SOC-as-a-Service est à la mode, et de plus en plus de spécialistes de la sécurité bien établis lancent leurs propres offres. Rappelez-vous Palo Alto ou Check Point, qui a récemment lancé Horizon ? La détection est aujourd’hui un élément essentiel de la sécurité informatique, mais peu d’organisations disposent des ressources nécessaires pour la surveiller elles-mêmes en permanence. L’externalisation est alors la conclusion logique et un partenaire européen local peut inspirer une confiance supplémentaire.
L’Europe (parfois) d’abord
« De nombreux clients préfèrent se fier à la technologie européenne », précise Jacquis. « Lorsqu’une organisation a le choix entre une solution locale et une alternative américaine, elle choisit généralement l’européenne. Dans la plupart des cas, cependant, l’efficacité est le facteur le plus important et nous devons être pragmatiques. »
Leroux est d’accord avec lui. « En Europe aujourd’hui, nous n’avons pas les mêmes acteurs. À Tel Aviv de nombreuses sociétés de sécurité sont créées, puis déplacent leur siège social aux États-Unis. Nous voulons intégrer autant de solutions européennes que possible, mais les éléments de base ne peuvent pas tous être trouvés ici aujourd’hui. La meilleure option est alors d’intégrer des produits internationaux par le biais d’un partenaire local. »
Advens espère se distinguer par ses équipes et son expertise françaises. Ces experts jouent à Fifa dans la salle à manger à côté de notre salle de réunion avant la pause déjeuner. « C’est pas seulement pendant leurs pauses qu’ils font ça », plaisante Jacquis. À part les joueurs, cet étage est beaucoup plus vide que l’étage inférieur. C’est logique, car ici on trouve plus de profils techniques qui pourraient tout aussi bien travailler à domicile. Le travail hybride fait fureur chez Advens, et il sera bientôt encore plus évident pour le Securitu Operations Centre lui-même.
« L’approche européenne n’était pas une priorité absolue jusqu’à récemment », poursuit Jacquis. « La situation géopolitique évolue tranquillement dans ce sens. On constate ainsi que de plus en plus de nouvelles entreprises européennes de sécurité développent des solutions intelligentes. Ils connaissent une croissance extrêmement rapide. »
DVD avec fichiers journaux
Le service SOC est au cœur de l’offre franco-européenne d’Advens. Il est disponible chez nous via le revendeur Cyber Security Management. C’est surtout dans le sud du pays qu’Advens enregistre des succès aujourd’hui. Leroux et Jacquis, par exemple, ont parmi leurs clients la RTBF. Advens compte aujourd’hui quelque 200 clients SOC, dont environ la moitié dans le secteur des soins de santé.
Il y a plus de dix ans, les clients ont envoyé des journaux sur DVD.
Benjamin Leroux, directeur marketing d’Advens
Le SOC est dans l’ADN de l’entreprise, souligne Leroux. « Il y a plus de dix ans, nous recevions déjà des journaux à examiner. À l’époque, cela ne se faisait pas en temps réel : les clients les envoyaient sur des DVD. Pour un service SOCaaS efficace, le client doit non seulement avoir le bon état d’esprit, mais la technologie doit également être prête. »
Algorithmes indispensables
Nous quittons la salle de réunion et montons encore deux étages. C’est là que se trouve le SOC actuel. Le centre vital pour la sécurité de centaines d’organisations n’a pas l’air spectaculaire. Nous voyons surtout beaucoup d’ordinateurs et d’écrans, orientés vers un lac d’où pendent six grands écrans avec des graphiques.
Une grande partie du travail du SOC s’effectue en arrière-plan par des logiciels. « Nous avons développé nous-mêmes trois algorithmes d’apprentissage automatique différents », explique Jacquis. « Ils découvrent, à partir de la télémétrie et des données du journal, s’il y a des événements qui nécessitent plus d’attention. Par exemple, nous recherchons les variations du comportement standard connu au sein d’une organisation et nous voyons automatiquement quand un serveur tente de se connecter à un nom de domaine nouvellement enregistré, ce qui indique généralement que quelque chose ne va pas. »
Advens a construit elle-même les algorithmes à partir des données que la société a accumulées au fil des ans. « Notre directeur technique a heureusement pensé à l’automatisation dès le début », sait Jacquis. « Toutes les données que nous collectons ont été normalisées depuis des années. Cela nous permet de travailler avec un lac de données rempli de fichiers journaux provenant de solutions de différents fabricants. » C’est essentiel, car Advens est agnostique vis-à-vis des fournisseurs et équipe ses clients de la solution de sécurité qui leur convient le mieux.
Centre de commandement vide
Les algorithmes formés identifient les problèmes potentiels pour les analystes d’Advens. Cependant, on ne les voit nulle part. L’ensemble de l’étage SOC de Lille est vide, bien que l’on y voie des traces de vie. Ici aussi, les bureaux sont personnalisés avec des accessoires. Les doubles écrans devant chaque poste de travail indiquent clairement que les choses peuvent devenir sérieuses ici. Cependant, le SOC fonctionne entièrement par voie numérique et la majorité des employés travaillent aujourd’hui à domicile. C’est logique : Advens est facilement accessible par les transports publics et se trouve à quelques minutes à pied de la gare de Lille, mais aujourd’hui la SNCB est en grève. Pour notre plaisir, cependant, les grands écrans muraux sont allumés.
« Ils montrent sur quoi les analystes travaillent et combien de questions sont encore en attente », explique Eric Arnoult. Il est responsable du Cyber Centre du SOC. « Au fait, il y a bien des des gens au bureau aujourd’hui », sait-il, « mais la pause déjeuner a commencé ». Arnoult souligne que le SOC est bel et bien doté d’un personnel permanent, même lorsque nous ne voyons personne.
Distribution des tâches
Il y a normalement trois niveaux d’analystes dans la salle. Ils ont tous le même niveau d’éducation mais des années d’expérience professionnelle différentes. Les analystes de niveau 1 doivent évaluer les problèmes en première ligne en les classant ou en les référant lorsqu’il semble y avoir plus que cela. Ils constituent donc le premier filtre des inévitables faux positifs. Les analystes de niveau 2 et 3 peuvent examiner les alertes de manière plus détaillée et tirer la sonnette d’alarme si nécessaire.
Nous terminons rapidement dans le SOC. Ce qui se passe dans les coulisses est ingénieux, mais visuellement ce n’est pas si spectaculaire. « Pourtant, de nombreux clients veulent aussi voir le SOC », dit Jacquis. Après tout, les bureaux, les écrans et les personnes qui se trouvent derrière sont la représentation la plus physique du travail du Security Operations Center. Les deux centres de données sécurisés autour de Lille où les données télémétriques sont collectées par Advens sont peut-être encore plus importants, mais ils se prêtent moins à une visite
Équipe SWAT verte
Et si les analystes découvrent un problème avec un client ? « Alors notre Green Team entre en action », dit Jacquis fièrement. « Le Green Team est une spécialité chez nous. Elle comprend des spécialistes de toutes les technologies de sécurité que nous avons installées sur le site d’un client. Ils peuvent agir à la vitesse de l’éclair en bloquant une IP, un serveur ou un point final. Il est toujours délicat de manipuler le pare-feu, car il est évident que nous ne voulons pas avoir un impact sur l’ensemble de l’environnement d’un client. Le Green Team dispose de l’expertise nécessaire pour prendre immédiatement ces premières mesures en toute confiance. »
Le Green Team a l’expertise nécessaire pour prendre immédiatement ces premières mesures en toute sécurité.
Stéphane Jacquis, responsable de SECaaS Advens
On considère le Green Team comme un mélange numérique de pompiers et de SWAT, toujours prêt à glisser d’un poteau et à foncer vers la brèche, sirènes hurlantes. Malheureusement, il n’y a aucune trace de ces poteaux au bureau d’Advens.
Pétanque
En sortant, Jacquis partage encore les ambitions de croissance d’Advens. Sa présence sur son marché d’origine, la France, et en Belgique est bonne, et l’Espagne et l’Italie sont des marchés en croissance. La croissance internationale crée des obstacles imprévus. Par exemple, Advens a récemment perdu un important client flamand parce qu’elle craignait une barrière linguistique.
« Une crainte légitime », reconnaît le patron de SECaaS. « Lorsqu’il y a un réel problème de sécurité et que les experts du client doivent communiquer avec notre SOC, un anglais parfait à 95 % ne suffit pas. Le moindre malentendu peut être fatal. Il faut encore travailler là-dessus. »
Avant de sortir du SOC, on remarque une deuxième bouteille de champagne. Nous nous demandons combien de temps Advens a encore à célébrer. « La bouteille est un prix pour notre tournoi de pétanque annuel », explique Jacquis avant de partir lui-même déjeuner. Advens est peut-être un acteur européen, dont le siège est situé à l’ombre d’une église gothique flamande près de la frontière belge, mais le sang français coule dans ses veines.