Transcription

• Speaker #0

  Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Dans un épisode précédent, qui s'appelait les ailes du désir, je vous avais expliqué comment un SOC fonctionnait, et un SIEM surtout, et pourquoi il était très utile d'avoir ce genre de composants dans une organisation. Cette explication a été faite de manière un peu abstraite, en dehors d'un contexte professionnel bien précis. Et ce soir, j'ai la chance d'accueillir un vrai manager de SOC, c'est-à-dire vraiment un responsable du SOC, d'une grande entreprise, et je vais le laisser se présenter. Donc Raphaël, est-ce que tu veux bien te présenter et m'expliquer ce que tu fais ?

• Speaker #1

  Bonjour, donc oui, Raphaël Elouz, je suis responsable du CERT chez Hermès.

• Speaker #0

  D'accord. Alors déjà, première question, est-ce que tu peux faire la différence entre ce que c'est qu'un SOC et ce que c'est qu'un CERT ?

• Speaker #1

  Alors, grosse question. En fait, c'est assez compliqué de répondre simplement à cette question parce que chaque entreprise a une vision quelque peu différente et met des tâches et des responsabilités. légèrement différente entre leur SOC et leur CERT. Dans ma vision et dans notre entreprise, en fait, on met tout dans la même équipe. Comme ça, il n'y a plus de question. Mais globalement, le SOC va plus être sur la partie, la première étape, l'étape de détection. Et donc, elle va être responsable d'analyser, de détecter les alertes au plus tôt, de les analyser et... de prendre les actions d'investigation, en fait, ou de lever le doigt au moins, quand elles estiment que c'est un vrai positif. Le CERT, lui, va plus arriver sur la phase avale de réponse aux incidents, donc investigation approfondie, mitigation et remédiation sur les incidents de cybersécurité. Je trouve un peu dommage de garder une grosse différence entre les deux, parce que ça fait un peu le FBI. qui arrive et qui reprend le cas issusé de la police locale. États-Unis, Barnesville, 18 mai 1999. Pamela Rose, une jeune étudiante, est retrouvée morte chez elle. Une clé à molette plantée entre les homoplates et une bougie enfoncée dans la gorge. C'est Gerald Turner, son ami d'enfance et garagiste à Barnesville, qui prévient la police. L'enquête est confiée à deux inspecteurs du FBI,

• Speaker #0

  Richard Bolit et Douglas Ripper.

• Speaker #1

  Désormais, ils vont devoir répondre à une seule et unique question. Qui a tué Pamela Rose ? donc moi je trouve beaucoup plus efficace quand c'est une même équipe qui réalise les deux rôles

• Speaker #0

  Alors ce que tu viens de dire est ultra significatif des discussions qu'on peut avoir en cybersécurité parce que comme j'explique souvent chacun adapte un petit peu sa posture de cybersécurité en fonction du contexte en fonction de l'organisation on peut trouver des organisations qui sont divisées en première ligne, seconde ligne etc d'autres organisées de manière différente et d'autres Il n'y a pas forcément de bonnes ou de mauvaises solutions. Il y a des solutions qui marchent et d'autres qui ne marchent pas. et puis surtout une certaine on va dire un certain alignement avec l'entreprise alors justement parce que là on est à peine à la deuxième minute du podcast on est déjà rentré vraiment dans le sujet de plein pied pardon et alors justement j'aimerais bien que tu fasses d'abord une petite présentation peut-être sur sur qui tu es ton parcours ce que tu fais comment tu es arrivé à ce métier comment tu es arrivé dans la préparation de cet épisode aussi on a parlé un petit peu de Blue Team je pense que ça peut être intéressant aussi que tu expliques à nos éditeurs ce que c'est si tu pouvais juste faire une petite introduction sur qui tu es ce que tu fais aujourd'hui et ce qui t'a mené aussi à faire ce métier

• Speaker #1

  Ok. Alors, moi j'ai fait une école d'ingénieur en architecture réseau, donc plutôt généraliste en réseau informatique. Il n'y avait pas vraiment, alors je ne suis pas très vieux, mais c'est plutôt très récent, les écoles vraiment focus cybersécurité. Et j'ai eu la chance d'avoir été appelé... peu après la fin de mes études, pour me proposer un poste en MSSP, en analyste SOC NO, en 3.8. Donc ça a été une super expérience, ça m'a permis en fait, très simplement et très rapidement, de comprendre cet univers, d'apprendre ce que c'est que l'analyse d'alerte, donc ça a été très formateur. D'un côté, le métier de SOC en MSSP, en tout cas à cette époque-là, était assez frustrant parce qu'on ne pouvait pas aller au bout des choses. On ne pouvait pas avoir la main sur les postes, avoir les contacts avec l'ensemble des équipes des entreprises. Et donc, on devait laisser, en fait, quand on avait des alertes intéressantes, on devait laisser avec... envoyer à notre contact interne et dire Ok, on vous conseille de faire ça, on pense que c'est ça, mais on ne pouvait pas aller au bout.

• Speaker #0

  Juste pour nos éditeurs qui n'ont peut-être pas forcément trop de connaissances sur ce que c'est qu'un SOC, si on résume assez rapidement l'activité d'un SOC, donc un SOC pour un Security Operations Center, ce sont des gens qui sont, comme tu l'as dit, qui veillent H24 sur le système d'information, qui vont recevoir des alertes. Souvent ces alertes vont être significatives ou pas. C'est un petit peu aussi le rôle du SOC de pouvoir analyser les différents cas et déterminer si c'est vraiment une vraie alerte, un vrai positif ou simplement un faux positif. Et donc ce que tu expliques, c'est que la première étape justement, c'est de pouvoir traiter ces alertes, les quantifier, puis ensuite passer la main à d'autres personnes. C'est là où tu soulignes une certaine frustration et je la comprends parfaitement. qui est de tout simplement parfois avoir un petit peu le sentiment du devoir pas totalement accompli puisque tu n'as pas été au bout de l'action. Mais en tout cas, tu as été un élément fondamental de la chaîne d'alerte puisque c'est un petit peu l'ange gardien qui surveille le système d'information. Donc ça, c'est juste pour donner un petit peu plus de définition pour nos éditeurs qui ne sont peut-être pas forcément hyper sensibilisés à cet aspect-là. Donc une activité plutôt dans le soc, avec comme tu l'expliquais, cette volonté d'aller au bout des choses. Et maintenant sur SP, peut-être un peu Blue Team, si tu pouvais peut-être nous expliquer.

• Speaker #1

  Déjà, je pense que c'est intéressant de parler, de spécifier ce que c'est qu'un MSSP.

• Speaker #0

  Parce que ça parle à tout le monde.

• Speaker #1

  Donc un MSSP, c'est une entreprise qui vend des services, qui fournit des services de cybersécurité à d'autres entreprises. Donc une entreprise en fait a le choix de créer une équipe interne et de gérer elle-même. C'est souvent en fonction de sa taille qu'elle va pouvoir ou pas le faire, ou alors de souscrire des services de cybersécurité à une entreprise tierce. Donc l'intérêt dans un MSSP c'est qu'on va voir plein de clients différents avec leur environnement, leur spécificité, et donc c'est extrêmement formateur pour un début de carrière. par contre du coup après en fait justement j'ai eu la chance d'évoluer dans différents socs certes internes et donc de découvrir les autres aspects de la blue team en fait avec justement la capacité d'aller faire l'analyse L3 donc aller jusqu'au bout de l'analyse de l'investigation et la réponse sur les incidents mais aussi toute la partie qu'on va appeler build qui va être en fait construire, améliorer continuellement les capacités du choc et du cert. Et donc, ça va représenter notamment l'amélioration de la détection, c'est-à-dire construire, améliorer les patterns, les règles de détection qui vont détecter les comportements malveillants, mais aussi automatiser autour de ce qu'on appelle le sort, qui est en fait l'orchestrateur, et donc ce qui va permettre notamment d'apporter énormément d'enrichissement, d'aller plus vite sur les actions de remédiation, et en fait, pour faire simple, d'automatiser toutes les actions qui sont répétitives et chronophages. Et derrière, on va aussi travailler sur tout ce qui est benchmark, RFP, époque et intégration de nouvelles solutions de sécurité. Et quelque chose qui est assez peu fait, malheureusement, c'est le travail sur les différentes solutions qu'on a, en fait les solutions de sécurité périmétrique qu'on a sous la main pour s'assurer qu'on en tire toujours le meilleur et donc améliorer la configuration, les règles internes de ces solutions. Malheureusement, je trouve que... trop souvent, je dis ça un peu, mais trop souvent, les entreprises prennent une solution de sécurité, l'allument et se disent c'est bon. Et malheureusement, elles ne vont pas au bout des choses.

• Speaker #0

  Alors ça, malheureusement, c'est une grande maladie en cybersécurité. C'est de croire qu'il suffit simplement d'appuyer sur le bouton pour que ça fonctionne. Ça fonctionne rarement comme ça. Et disons que c'est encore un effet encore. pire je pense avec l'intelligence artificielle parce que là en plus tout le monde pense que l'intelligence artificielle va résoudre des problèmes assez complexes comme ça out of the box alors que bon quand on est un petit peu sur le terrain on voit que c'est la réalité beaucoup plus complexe et malheureusement il faut passer quand même pas mal de temps pour adapter les outils pour atteindre un point optimal alors justement peut-être que on peut commencer par un élément que tu as cité assez brièvement mais qui me semble être assez fondamentale dans l'activité du SOC, c'est l'alerting, donc les alertes. Et donc, tu as expliqué très brièvement, ça n'a l'air de rien comme ça, mais optimiser les alertes, c'est-à-dire vraiment avoir des alertes qui soient relevantes. Tu peux un petit peu nous expliquer ce que tu entends par là ? Est-ce que c'est un critère de qualité pour toi, par exemple, au niveau du SOC, d'avoir un système qui ne fait que très peu de faux positifs ou qui reproduit peu de faux positifs ? Comment tu vas adresser ce point-là ? Comment tu vas aussi t'adapter ? Parce que tu parlais effectivement du cas des MSSP. c'est-à-dire que tu vas avoir différents clients et certainement peut-être avec des profils différents d'activités et donc peut-être avec des postures des cyber défenses un petit peu différentes comment tu as géré ces problématiques ?

• Speaker #1

  Alors, il y a plusieurs questions du coup la première c'est comment on peut optimiser la capacité de détection ça va être en fait on va avoir dans notre SIEM donc l'élément qui collecte comme tu l'as expliqué tous les événements enfin un maximum d'événements de notre système d'information on va être capable de mettre des règles donc des comportements des patterns de détection donc ça on va avoir la veille qui va permettre d'identifier des nouvelles techniques on va avoir ce qu'on fait beaucoup chez nous qui est extrêmement Intéressant, c'est le Purple Team, où on va travailler directement avec une Red Team. Pour revenir juste, c'est vrai que je n'ai toujours pas expliqué. La Blue Team, c'est intéressant, c'est la Blue Team en cybersécurité, c'est toute la partie défense. Donc on va retrouver les métiers de la prévention, la détection, la réponse aux incidents. là-dedans. Et donc globalement on se retrouve avec le soc et le cert. La reptime, c'est un vocabulaire qui vient du vocabulaire militaire américain. Gump !

• Speaker #0

  Quel est ton seul et unique but dans cette armée ?

• Speaker #1

  Faire tout ce que vous me demandez, sergent instructeur !

• Speaker #0

  Putain de merde Gump !

• Speaker #1

  T'es un putain de génie ! Dans leurs exercices militaires, ils ont la reptime qui attaque et la blue team qui défend. Et donc la reptime... en cybersécurité, c'est l'équipe qui va simuler les cyberattaquants. Donc, on parle souvent des pen-tests. Les pen-tests, ils vont aller chercher toutes les faiblesses de notre système d'information qui pourront être utilisées par les cyberattaquants pour les corriger avant qu'ils arrivent, avant qu'ils soient utilisés par des attaquants. Et la red team, les exercices de red team, ça va un peu plus loin. Ça va être vraiment... d'essayer par ces mêmes types de profils, d'essayer d'exploiter et de réaliser une cyberattaque tout en simulant un cyberattaquant avancé et donc en étant très discret pour vraiment tester et challenger les capacités de la blue team qui défend pour voir à quel niveau elle a la capacité de détecter et de répondre parce que détecter c'est bien mais le fait d'analyser bien, de faire la différence entre un vrai positif et un faux positif, ce n'est pas toujours facile, et d'être capable de mettre en place la bonne procédure et la bonne réaction sur les incidents, c'est quelque chose aussi assez complexe. Et donc, en fait, ces exercices de Red Team vont être extrêmement efficaces parce qu'ils vont permettre de tester tout le service de Blue Team interne ou externe.

• Speaker #0

  Pour résumer, le SOC prévoit un certain nombre de cas d'alerte, etc. La vraie question, c'est de savoir si ça tilte au bon moment, c'est-à-dire est-ce que ça fonctionne vraiment en cas de problème ? Est-ce qu'on arrive vraiment à détecter les incidents en bonne et due forme ? C'est-à-dire est-ce que le système ne va pas tilter pour rien ? C'est ce qu'on appelle l'info positive, donc une fausse alerte. ou alors est-ce qu'on arrive vraiment à détecter un événement qui est probant, c'est-à-dire vraiment relatif à un vrai incident, donc ça c'est vraiment le vrai positif. Il faut savoir qu'en cybersécurité, la frontière entre les deux est assez fine, on peut souvent avoir des faux positifs, et ça pollue un petit peu aussi l'activité, parce que du coup c'est un petit peu lancer des alertes pour rien, et ça c'est très consommateur de temps, donc ce qu'on cherche à obtenir c'est optimiser tout ça pour essayer d'avoir un maximum de vraies alertes et un minimum de... de faux positifs évidemment et ça ça requiert tout ce que tu viens d'expliquer donc du test évidemment une certaine rigueur aussi au niveau des équipes pour revenir sans arrêt sur la key et peut-être faire un petit peu de fine tuning sur les règles de détection pour justement essayer d'optimiser au maximum les capacités de détection si je résume ce que tu viens d'expliquer

• Speaker #1

  Le purple team, c'est vraiment se mettre ensemble entre la red et la blue et tester plutôt unitairement plein de techniques d'attaque pour dire ça je détecte, ça je protège, je bloque carrément, ou ça je ne détecte pas et donc là il faut que je travaille pour améliorer ma détection. Donc ça, ça permet d'être beaucoup plus sharp, précis sur les capacités de détection, mais ça ne répond pas au faible taux de faux positifs. Et donc derrière, parce que ça va plutôt justement, plus on a d'alertes, plus on a de règles, plus on a de chances de détecter les vraies attaques, mais plus on a de chances de détecter aussi des faux positifs et donc des comportements légitimes, suspects dans notre environnement. Donc là, pour ça, on a plusieurs solutions. notamment ce que je trouve très efficace, c'est ce qu'on appelle les signaux faibles. L'idée c'est qu'on va avoir plein de règles qui vont être trop verbeuses, donc qui vont générer trop de faux positifs, et donc ces règles-là, au lieu de les supprimer et de les fermer complètement, enfin de les désactiver complètement comme le font beaucoup de socs, on va les garder, mais on ne va pas tout analyser, on va juste enregistrer des petits événements. qu'on va appeler signaux faibles, et on va attendre que plusieurs événements, qu'une quantité d'événements suffisante soit liée à une même personne, un même utilisateur, une même machine, en un temps court, pour dire Ah, attends, là, il se passe quelque chose de très suspect sur cette machine, et donc là, je vais analyser l'ensemble de ces événements. Donc ça a la puissance, en fait, de conserver toute cette visibilité, sans demander à un analyste d'analyser tout ça manuellement, mais de les ressortir que quand c'est vraiment efficace. Ça, c'est une des solutions. On en a une autre, c'est ce qu'on appelait justement l'apprentissage. On peut faire de l'apprentissage automatique qui va exclure automatiquement les comportements qui sont vus comme normaux. et qui correspondent à des choses suspectes dans notre environnement. Ça, c'est une autre solution. Et en fait, un SOC va devoir jouer avec tous ces éléments-là pour avoir le meilleur en termes de détection tout en limitant un maximum de faux positifs et pour être honnête, c'est vraiment un métier très compliqué parce que c'est en constante évolution, en plus on a des environnements qui sont qui évolue beaucoup aujourd'hui avec le cloud. On va avoir des environnements où on va vouloir aller plus loin, par exemple sur l'outil en termes de détection, c'est aussi des nouveaux environnements. L'outil, c'est les systèmes industriels. C'est des nouveaux environnements qui demandent de comprendre des nouveaux protocoles, des nouvelles factions de fonctionner. Et donc, c'est un métier effectivement assez... challengeant, et c'est ça qui intéresse moi.

• Speaker #0

  Évidemment. Alors, il y a un point quand même qui est assez intéressant dans ce que tu viens d'expliquer, donc les signaux faibles, c'est un petit peu, on va dire quasiment le nec plus ultra quand même en matière de détection, parce que là on arrive à aller faire de l'analyse extrêmement fine sur, comme tu l'as expliqué, des signaux faibles, et ça, ça permet d'aller vraiment dans le détail du détail, et d'augmenter finalement sa capacité et sa sensibilité pour en termes de détection, ça c'est quelque chose d'assez intéressant mais il y a un autre aspect aussi qui peut être intéressant et tu pourras peut-être nous expliquer cet aspect là aussi c'est l'intégration des IOC donc les Indicators of Compromission puisque ça, ça a deux rôles importants le premier c'est d'intégrer ces IOC dans son système d'information pour se prémunir d'une attaque donc on peut avoir par exemple une attaque un peu populaire en ce moment on va intégrer l'IOC dans le système, dans le SIEM pour pouvoir détecter cette attaque, mais ça peut aussi faire un petit peu de retour en arrière, puisque en intégrant l'AOC, on peut aussi regarder le passé et regarder si par hasard on était comprimé dans le passé, et donc faire une investigation a posteriori. Tu pourrais nous détailler un petit peu comment ça fonctionne justement dans tes équipes, comment vous traitez ce genre de choses, comment vous intégrez un AOC dans votre système, d'où ils viennent déjà, est-ce que ce sont des pairs, des... Donc des sociétés avec lesquelles vous travaillez ou des collègues qui vous envoient ça ? Est-ce que vous regardez tous les jours les bulletins de l'ENSI pour avoir des informations supplémentaires ? D'où ils viennent ? Comment vous les intégrer ? Est-ce que c'est quelque chose que vous utilisez très souvent pour voir s'il y a eu des compromissions dans le passé ? Enfin voilà, le sujet c'est un petit peu l'AOC, qu'est-ce que vous en faites ?

• Speaker #1

  Ok, très intéressant. Alors, juste pour peut-être juste remettre dans son contexte, l'IoC, donc l'indicateur de compromission, ça peut être un nom de domaine, une IP, un H qui représente la signature d'un logiciel, voilà, et donc... Ces IOC, ça représente uniquement de la donnée qui a été connue comme étant malveillante. Ça veut dire que c'est très intéressant, mais... dans tous les cas ça ne sera pas complet et ça ne sera pas suffisant mais ça reste très intéressant notamment sur tout ce qui est cyber criminel parce que eux ils vont pas s'arrêter sur ils vont pas faire du targeté et donc ils vont pas créer des campagnes 100% spécialement pour vous mais ils vont les répandre et donc ça va permettre en fait de d'utiliser ce qui a été vu ailleurs pour se prémunir donc Les IOC, nous, on utilise une plateforme, une threat intel plateforme qui s'appelle OpenCTI, qui est une solution française plutôt très efficace, dont on est très content. Et en fait, cette plateforme, elle va aller chercher plusieurs feeds. On a des feeds open source, donc qui vont aller chercher des IOC open source, mais on a aussi un feed français très qualitatif, payant. et on va tout agréger. Et alors, c'est là où c'est assez intéressant, j'avais fait une présentation là-dessus, le modèle traditionnel pour faire de la détection sur les IOC, c'est de prendre ces domaines, ces IP, ces hash, et de les pousser dans notre CM pour aller voir en temps réel si on les voit. Excusez-moi. Notre modèle, il est un peu différent parce que ce qu'on fait, c'est qu'on a travaillé directement avec le développeur d'OpenCTI pour donner la capacité, en fait, nous, d'envoyer tout ce qu'on appelle les observate data, donc ce qu'on voit dans notre système d'information. Tous les domaines sur lesquels vont nos utilisateurs, toutes les IP, tous les hashes, on les envoie, en fait, régulièrement. toutes les heures à OpenCTI, et c'est lui qui est capable de corréler soit un nouveau domaine à un IOC existant, un nouveau domaine ou un nouvel observateur de data, soit un nouvel IOC à tout ce qui a existé. Et donc, on est capable comme ça, en fait, justement de faire ce que le marketing appelle le retro-hunting sur plus d'un an, parce qu'on garde beaucoup de data. et donc c'est extrêmement efficace et c'est assez sympa. Après bon, on a des petits problèmes du fait qu'on ne garde pas tout le détail de la data et donc on est obligé, en fait on garde que les métadatas, par exemple on sait que ce domaine a été vu entre le 3 juin et le 7 juin mais on ne sait pas qui quel poste, quel utilisateur et donc on est obligé d'aller refaire une recherche sur notre CM pour aller enrichir toutes ces données et fournir un maximum de visibilité à l'analyse.

• Speaker #0

  Alors ça, c'est un problème qui est bien connu en cybersécurité. Le log dont on a besoin, c'est toujours celui qui manque. Alors, juste pour résumer, pour illustrer un petit peu de ce que tu viens d'expliquer, encore une fois, pour être le plus compréhensible pour nos éditeurs. Donc, il y a des sociétés externes qui observent un petit peu ce qui se passe dans le monde de la cyber, les attaques en cours, etc. Arrivent à identifier, on va dire, quelques éléments significatifs par... par rapport à des groupes de hackers qui vont utiliser des infrastructures qui forcément à un moment donné vont être reconnues comme étant malveillantes. Ces infrastructures peuvent être reconnues par des adresses IP mais ça peut être aussi des haches de fichiers, c'est-à-dire des fichiers qui vont être utilisés pour des activités malveillantes. Donc il peut y avoir des implants, tout ce qu'on peut imaginer de malveillant et donc le hash va pouvoir catégoriser de manière quasiment unique ces fichiers et Donc, toutes ces informations-là sont hyper importantes parce que ça permet de qualifier un attaquant et surtout de qualifier une attaque. Ces informations vous sont mises à disposition et grâce à ça, vous pouvez vous prémunir d'une attaque qui est très récente ou en cours. Et un petit peu pour renvoyer l'ascenseur, vous partagez aussi des informations avec ces providers pour pouvoir faire de l'analyse dans le passé et regarder si vous avez eu dans le passé des traces de compromissions. Pour résumer.

• Speaker #1

  C'est ça. Alors après, moi, si je peux me permettre, les IOC, en soi, ils ont une faiblesse, c'est leur... volatilité en fait parce que aujourd'hui il y a une pyramide comme ça, une image bien connue où on montre la facilité de changer par exemple un hash aujourd'hui un hash de malware c'est extrêmement facile de le modifier une IP ça va être plus difficile mais pas très difficile non plus et en fait tout en haut de ça on a ce qu'on appelle les TTP et donc c'est ça qui nous intéresse beaucoup Et moi, c'est mon mindset, c'est les TTP, c'est les techniques, tactiques et procédures dans un modèle de représentation de la menace qui s'appelle le MITRE, l'attaque. Et les TTP, ça représente vraiment le comportement d'attaque. Et ça, moi, je trouve que c'est vraiment... ce sur quoi il faut se focus un maximum, parce que ces comportements, ce sont des choses qui vont être très difficiles, qui vont être sur un nombre limité et très difficiles à modifier pour les attaquants. Et c'est ça qui représente, alors qui est plus difficile à détecter, parce que ça veut dire qu'on doit avoir des règles comportementales, mais ça représente vraiment beaucoup d'intérêt en détection, parce que plus on va être dans un modèle comportemental, plus on va être large et être capable de détecter des choses futures et pas que des choses passées.

• Speaker #0

  Alors, le MITRE ATT&CK, juste pour information, j'avais fait un épisode justement pour parler entre autres du MITRE, parce qu'il existe d'autres modèles de modélisation d'attaque. Mais effectivement, le MITRE étant un des plus connus aujourd'hui dans le monde de la cybersécurité. Là, on vient quand même d'aller vraiment dans les détails du cœur, de ce que c'est que l'activité d'un SOC avec les IEC, etc. L'intérêt aussi de communiquer avec des tiers, donc là on peut faire le parallèle aussi avec d'autres éléments un petit peu plus réglementaires, puisqu'on peut citer par exemple Dora, dans lequel il existe tout un pan de la réglementation qui incite au fait d'aller communiquer auprès de ses pairs des informations recueillies lors d'une attaque ou d'une tentative d'attaque, donc ça peut être très utile justement, et donc on est totalement dans le sujet, puisque tu viens d'expliquer concrètement comment réutiliser ces informations. pour se prémunir d'une attaque. Alors, je voudrais juste revenir sur quelque chose qui est quand même assez important et assez fondamental dans l'activité du SOC. Et on l'a un petit peu abordé, ce sujet, un petit peu en amont, c'est que le SOC dépend aussi beaucoup de l'activité des entreprises et aussi des personnes qui travaillent dans cette entreprise. Je vais parler de ça, par exemple, les développeurs, les admins de systèmes, toutes les personnes qui interviennent aussi sur l'infrastructure. De ton expérience, comment tu arrives à adopter ta posture de cybersécurité en fonction de ces petites caractéristiques spécifiques d'une entreprise et par rapport aux petites habitudes aussi des uns et des autres ? Parce qu'on sait que certains peuvent avoir des habitudes un peu fâcheuses qui ont tendance à créer des faux positifs auprès du SOC. Donc comment tu arrives à traiter ces points-là ? Comment tu arrives à adapter finalement ton... ton système de détection par rapport à ça, puis comment tu arrives aussi à détecter des vrais défauts dans l'infrastructure par exemple un serveur mal configuré qui essaierait de contacter directement internet par exemple au lieu de passer via le proxy ça ça peut être des choses qui peuvent perturber la surveillance et comment tu arrives dans ton rôle de SOC manager ou de SERP manager à interagir avec toutes ces personnes pour aller dans le même sens Alors ça c'est une question très compliquée aussi dans le SOC. La première réponse pour dire comment on arrive à adapter, en fait nous quand un SOC crée une règle de détection, avant de la mettre en action, avant de l'activer, elle doit analyser ce qu'ils sommes sur 3, 6 mois, qu'est-ce que... quelles sont les alertes qui auraient été levées. On va analyser rapidement ces alertes pour voir ce qui est du faux positif et on va ce qu'on appelle whitelister, donc exclure les comportements qui sont normaux dans notre environnement. Ça, c'est le modèle simple. Après, on peut aussi, mais c'est des choses beaucoup plus compliquées, typiquement, un exemple très simple, c'est PS Exec. C'est un outil légitime qui est géré aujourd'hui par Microsoft, qui est utilisé beaucoup et simplement par beaucoup d'attaquants. mais qui est utilisé aussi beaucoup, malheureusement sur des mauvaises pratiques, souvent par beaucoup d'administrateurs. Et donc la plupart des grandes entreprises aujourd'hui n'ont pas du tout besoin d'utiliser ce type d'outils parce qu'elles ont des solutions centralisées de management de postes et donc elles peuvent tout faire via ça. Mais beaucoup d'administrateurs vont encore utiliser du PS exec, du PowerShell remoting parce qu'ils ont toujours fait comme ça, etc. Malheureusement, se battre contre ces mauvaises pratiques peut être très compliqué, peut prendre énormément de temps et être un peu cause vaine des fois. Donc ça dépend, en fait, ça va dépendre. Le mieux, en fait, c'est d'aller dans de la prévention. Si on arrive à bloquer, typiquement, ce type de process, etc., les administrateurs ne pourront plus l'utiliser. mais c'est des choses assez compliquées. Je ne sais pas si j'ai répondu...

• Speaker #1

  Tu viens d'expliquer encore un des plus grands problèmes de la cybersécurité, c'est que ce qui peut être légitime pour certains peut ne pas l'être pour d'autres, parce que le contexte peut être différent. La grande difficulté aussi, c'est de faire accepter la cybersécurité, parce que faire de la cybersécurité en tapant sur le point sur la table, Assez rapidement ça va poser des problèmes, on sait très bien que d'un point de vue pratique ça ne fonctionne pas non plus correctement. d'un autre côté les gens qui ont les mains dans le cambouis qui ont aussi les ennemis du système etc ont quand même un niveau de privilège généralement assez élevé donc ont quand même la capacité de faire beaucoup de dégâts en cas de problème donc c'est assez logique finalement d'aller un peu plus dans le détail et d'essayer de comprendre ce qui se passe donc c'est un équilibre entre les deux qui est loin d'être facile à traiter euh parce qu'il faut qu'il y ait de l'intelligence des deux côtés et aussi comprendre les contraintes des uns et des autres. Et ça aussi, c'est quelque chose de malheureusement d'assez difficile à traiter en cybersécurité, parce qu'encore une fois, l'efficacité du système ne dépend pas simplement des outils qui sont mis en œuvre, mais de l'intelligence qu'on a mise pour les mettre en œuvre. Et c'est là le grand challenge de la cybersécurité.

• Speaker #0

  Un élément qui marche assez bien, en fait, c'est... Offensive Security Awareness, donc la sensibilisation. notamment des utilisateurs mais aussi des admins, sur les techniques d'attaque. Et ça, c'est quelque chose qu'on fait pas mal et qui est très efficace, où on va expliquer à un administrateur comment un attaquant, dans sa chaîne d'attaque, peut utiliser, mais pas en mode théorique, vraiment en lui montrant l'ensemble de la chaîne d'attaque, il peut utiliser juste son script qui contient son mot de passe. où on peut aller plus loin, c'est CSPN, ou le fait qu'il n'ait pas changé son mot de passe de son compte de service depuis X années. En fait, toutes ces vulnérabilités qui sont très théoriques, où beaucoup d'administrateurs se disent Non, mais ça, c'est que dans les films, ça n'arrive pas, etc. de leur montrer qu'on peut enchaîner les différentes vulnérabilités une à une pour arriver très vite et loin. ça en fait ça leur fait un peu l'effet waouh et du coup ils se rendent compte que c'est pas que dans les films mais que eux leur petite erreur qu'ils connaissent en plus mais qu'ils se disent ça me prendrait 10 minutes de plus de faire autrement elle crée vraiment un vrai risque réel et concret pour l'entreprise alors ça justement c'est euh

• Speaker #1

  Encore une fois, un grand challenge. J'ai envie d'élargir un tout petit peu plus la question. De ton point de vue, aujourd'hui, quels sont les challenges dans ton métier ? Parce qu'on a parlé de beaucoup de techniques, on a parlé aussi un petit peu d'organisation, comment le SOC doit interagir avec le reste de l'organisation, comment s'adapter au business aussi. Je discutais il y a quelques semaines, par exemple, avec un grand acteur de la place financière de Luxembourg qui me disait... Nous notre SOC en fin de compte il est assez bivalent parce que c'est une activité très critique d'un point de vue financier. Tant que les marchés sont ouverts on ne va pas faire grand chose. Par contre à la minute où les marchés sont fermés on a quasiment une action automatique parce que si on a le moindre doute on va arrêter les machines, on va couper les accès etc. Et je trouvais que le raisonnement était assez intéressant parce que ça montrait clairement comment utiliser au mieux la réponse et comment l'adapter par rapport aux contraintes business. Là, dans le cas-là, la contrainte business était pendant l'ouverture des marchés. À l'heure où les marchés sont ouverts, on ne peut quasiment rien faire. C'est quasiment impossible d'agir. Par contre, à la minute où les marchés sont arrêtés, là, on peut commencer vraiment à taper fort, etc. Et je trouve que cette posture était vraiment intelligente parce que... Ça permet à la fois d'optimiser au maximum les réponses et aussi de prendre en compte les contraintes du business. Alors j'ai envie de te poser la question, toi de ton côté en tant que responsable de SOC et de CERT, quels sont tes challenges ? Est-ce que c'est plutôt technique ? Est-ce que c'est plutôt humain, organisationnel ? Le recrutement par exemple, est-ce que c'est un sujet chez vous ? C'est un sujet dans beaucoup de domaines de la cybersécurité évidemment, donc je te posais la question en connaissant un petit peu la réponse. J'ai envie d'avoir un petit peu ton point de vue sur, voilà aujourd'hui, quels sont les vrais challenges au niveau des socs ?

• Speaker #0

  c'est extrêmement difficile je dirais que les plus gros challenges au niveau des SOC c'est que on est dépendant énormément des faiblesses et des vulnérabilités de notre système d'information et dans toutes les entreprises aujourd'hui On va dire que la sécurité, du coup, plutôt la partie prévention et réduction de la surface d'attaque, qui représente en fait des énormes chantiers pour rattraper l'historique d'un système d'information qui s'était construit sans... penser à la sécurité. C'est le cas de toutes les grosses entreprises qui ont plus de 500.

• Speaker #1

  Je te le confirme.

• Speaker #0

  En fait, ça, c'est le plus compliqué, de faire changer les habitudes, d'aller apporter des briques de sécurité petit à petit pour réduire drastiquement la surface d'attaque. Parce qu'au final, on peut être aussi bon que possible en termes de détection si le système d'information est... si vulnérable que le moindre attaquant qui arrive sur une machine, je prends le cas extrême, si tous les utilisateurs de chaque machine sont administrateurs de leur machine, qu'il se trouve que sur leur machine, on a des comptes d'administrateurs qui permettent de rebondir très rapidement sur un serveur. que les flux ne sont pas coupés et que derrière en trois minutes, on arrive sur l'Active Directory et on est domaine admin. J'exagère, mais c'est malheureusement ce que beaucoup de pentesters voient dans beaucoup d'entreprises. Heureusement, je pense que je ne suis pas dans ce cas-là aujourd'hui, mais c'est quand même... Tout ça pour dire que si ton système d'information est un terrain vague et que n'importe qui peut arriver à tes joyaux en deux pas, en fait, tu peux faire ce que tu veux en détection et réponse, tu as perdu d'avance. Et donc, c'est là où je pense qu'il est le plus important, c'est d'arriver à... Parce qu'on ne peut pas demander aux équipes opérationnelles de faire 2000 projets de sécurisation en même temps non plus. parce qu'ils ont des capacités limitées, donc d'arriver à travailler avec elles pour trouver les éléments qui sont le plus efficaces. en termes de réduction de la surface d'attaque et qui vont permettre simplement de réduire beaucoup la surface d'attaque et donc de bloquer les gros passages importants.

• Speaker #1

  Alors, la question à un million de dollars, pour toi, c'est quoi le plus important ? Vivir un team management ? Est-ce que, par exemple, si tu devais choisir le point le plus essentiel, selon toi, à travailler en premier, est-ce que ce serait, par exemple, le vivir un team management ou est-ce que ce serait plutôt... La ségrégation du réseau ?

• Speaker #0

  Alors justement, par exemple, la ségrégation du réseau, c'est une bonne question. Je pense que la ségrégation du réseau, ce qui est extrêmement important de faire, c'est la ségrégation des mouvements latéraux. Et donc si tu as fait ça, tu as fait tout. les protocoles et les ports de mouvements latéraux, si tu as fait ça, tu as fait en 5% de la difficulté de ségrégation de tout ton réseau, 90% de l'efficacité de la ségrégation réseau. C'est là où ça peut être intéressant de prendre des positions où tu te focuses sur un élément, parce qu'au final, les mouvements latéraux, c'est ce qui permet à un attaquant de bouger, de se déplacer dans ton SI. Si tu lui rends ça difficile, alors après on a l'AD aussi forcément l'annuaire avec toutes ses vulnérabilités aujourd'hui traiter les vulnérabilités principales de l'active directory est aussi une priorité parce que c'est souvent ça qui permet d'aller très vite très loin pour les attaquants donc oui on a certains on va dire Alors, c'est un peu facile de dire des quick wins, c'est quand même des gros projets, mais on a certains éléments qui permettent de gagner beaucoup de sécurité en un effort relativement raisonnable.

• Speaker #1

  D'accord, ok. On arrive au terme de cet épisode t'as peut-être envie de rajouter un commentaire par rapport à ce qui vient d'être dit un complément, peut-être un message aussi

• Speaker #0

  pas forcément non je pense qu'on a fait le tour j'ai pas spécialement de messages à passer bon tu recrutes pas ? si on recrute régulièrement oui oui on a une équipe assez intéressante avec des profils extrêmement compétents et passionnés donc on a pas mal de postes qui sont ouverts assez régulièrement donc n'hésitez pas à nous abonner à nous contacter si jamais vous êtes intéressé.

• Speaker #1

  Parfait. Un grand merci Raphaël d'avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère. J'espère que les 8h auront écouté tous tes bons conseils et ton retour d'expérience sur l'aspect SOC qui est quand même quelque chose d'assez fondamental en matière de cybersécurité mais qui est ô combien complexe parce que c'est vraiment un sujet extrêmement touffu. qui allient à la fois des problématiques extrêmement techniques on a parlé par exemple des IOC des règles de détection mais aussi des aspects d'organisation comment organiser au mieux le socle dans son entreprise et je pense que ton éclairage en tout cas je l'espère aura inspiré beaucoup de nos éditeurs comme je le dis souvent pour certaines personnes la cybersécurité est un enjeu du haut de mort mais c'est pas plus sérieux que ça

• Speaker #0

  Merci.