Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

club R2GS

Conférence du club R2GS : Assises du domaine Cyber Défense et SIEM – Paris – 14 décembre 2016

Le Club R2GS1 est une association française créée en 2009 avec des représentants dans 7 pays européens et qui a pour but d’élaborer et de diffuser des nouvelles pratiques dans le domaine des SIEM2. Voici notre retour sur les conférences qui nous ont le plus marquées lors des 7èmes Assises du domaine Cyberdéfense et SIEM organisées par le Club R2GS.

Principales approches actuelles dans le domaine de la « Threat Intelligence » (Yann Leborgne, THREATQUOTIENT)
Yann Leborgne nous a présenté quelles sont les approches actuelles dans le domaine très en vogue de la Threat Intelligence3, qu’il propose de traduire par « renseignement ». Le principal point décisif est, selon lui, la gestion des indicateurs de compromission (IOC), en particulier leur grand nombre, leur fiabilité et la capacité à les mettre dans un contexte.

Sur le sujet de la fiabilité des IOC, il note que la qualité d’une information varie en fonction de la source – plus ou moins – de confiance utilisée : données de sources externes (OSINT, rapports publics), données de sources dites « amies » (MISP, CERTs) et données du monde réel (événements SIEM, réponse sur incident ou sandbox).

L’orateur a proposé des axes d’organisation au sein des SOC consistant à capitaliser et à mettre à la disposition des analystes une base de connaissance interne d’IOC qui serait enrichie par les éventements et résultats trouvés régulièrement (SIEM, incidents, sandbox) ; cela permettrait d’avoir pour chaque entreprise un référentiel d’indicateurs adapté à ses propres menaces, tout en garantissant une certaine fiabilité.

Principaux retours d’une implémentation du référentiel PDIS de l’ANSSI (Patrick Brehin, AREVA)
Ce retour d’expérience décrit par Patrick Brehin, RSSI d’Areva, se positionne du point de vue commanditaire de prestation PDIS, et non du prestataire PDIS. Il fait état en préambule de la position (toute relative) confortable du commanditaire par rapport à celle du prestataire qui a un travail particulièrement important à mener pour la conformité.

Leur statut les obligeant a faire appel à un prestataire qualifié par l’ANSSI (PDIS4) pour leur SOC (externalisé), l’orateur s’est interrogé sur quelle partie du SI la prestation qualifiée doit être appliquée : ses SIIV5 uniquement ou le SI dans sa globalité. La conclusion est sans appel : plusieurs projets multiplient les coûts (et les soucis), ce sera un projet unique.

Au-delà de l’exposé, par ailleurs très terrain et démystifiant les projets PDIS, un point nous a particulièrement marqué à propos de la problématique des alertes générées par le SIEM durant les heures non ouvrées. L’orateur simplifie l’interrogation comme suit : « qu’est-ce que vous auriez fait en heures non ouvrées qui n’aurait pas pu être fait à la prochaine heure ouvrée ? »

Retour d’expérience de Gestion Opérationnelle de la Sécurité SI (Martine Guignard, Imprimerie Nationale)
Martine Guignard présente la gestion opérationnelle de la SSI au sein de l’Imprimerie Nationale et en particulier celle du SOC lancée en 2004. La présentation fait écho à la présentation précédente de Patrick Brehin, puisque la prestation en question vise à être qualifiée PDIS à terme. Un autre retour d’expérience, une autre vision du sujet.

L’un des principaux enseignements de la présentation est l’apport du SOC dans un environnement à maturité initiale. Le SOC a notablement amélioré la maturité du SI et de sa gestion : une meilleure connaissance du SI et un rôle moteur dans l’établissement d’une CMDB. Le SOC joue un rôle sur les attaques usuelles (type logiciel malveillant), mais reste à challenger sur des événements plus complexes.

—————–

1 – R2GS : Recherche et réflexion en Gestion opérationnelle de la Sécurité

2 – SIEM : Security Information and Events Management

3 – Threat Intelligence : renseignement sur les menaces / informations (IOC)

4 – PDIS : Prestataire de Détection des Incidents de Sécurité, label ANSSI

5 – Système d’Information d’Importance Vitale

 

 

 

 

By | 2017-01-27T17:12:32+00:00 21/12/2016|Conférences|