SOC et CSIRT se complètent et se renforcent. Telindus en fait la preuve.
Supervision et administration de la sécurité via le SOC (Security Operating Center); échange d’expérience à travers le CSIRT (Computer Emergency Response Team). Se complétant, les deux centres se renforcent. Telindus offre la double expérience à travers ses services managés en sécurité.
«Véritable axe de développement, notre activité de services de sécurité se renforce, explique Cédric Mauny, Risk & Department Manager, Leader of Telindus-CSIRT. Notre approche est globale : outre des produits, nous proposons du conseil, de la gestion et de la gouvernance. Et elle est avant tout résolument humaine : ce ne sont pas les outils qui vont traiter un incident ou une crise, mais les hommes et les femmes qui, par leurs expériences, vont tenter de prévenir et endiguer les cyber-attaques toujours plus nombreuses.»
Opérant comme un service indépendant depuis le début d’année, le SOC occupe une dizaine de collaborateurs à temps plein, sans compter le support d’une quarantaine de collaborateurs de Telindus. «Nous avons structuré l’expérience d’une trentaine d’années», résume Jérémy Thimont, Security Consultant, Core-Team Member of Telindus-CSIRT.
Au menu du SOC, supervision et administration de la sécurité du système d’information permettant de détecter et d’analyser les menaces internes et externes. Aujourd’hui, via son CSIRT, Telindus franchit un pas de plus. «Un CSIRT consiste en une équipe de sécurité opérationnelle, composée d’experts de différents domaines (malwares, test d’intrusion, veille, lutte contre la cybercriminalité, forensics…), explique Frédéric Hauss, Senior Security Consultant, SOC Leader, Member of Telindus-CSIRT. Cette équipe est chargée de prévenir et de réagir en cas d’incidents de sécurité informatique.» En amont, elle assure notamment une veille sécurité (les nouvelles attaques, les nouveaux logiciels malveillants, les dernières vulnérabilités) pour ‘connaître’ l’état de la menace et évaluer les propres vulnérabilités de son organisation. En aval, elle analyse et traite les incidents de sécurité en aidant à leur résolution. «Un CSIRT est une équipe qui centralise et sert de relais que ce soit en interne et ou externe de l’entreprise car la communication est une de ses fonctions principales», explique Frédéric Hauss, Senior Security Consultant, SOC Leader, Member of Telindus-CSIRT.
«Aujourd’hui, aucune organisation ne peut affirmer maîtriser à 100% son système d’information et encore moins sa sécurité. Il y a et il y aura de plus en plus de cyber-attaques, estime encore Cédric Mauny. Aussi, les organisations ne doivent plus se demander quand elles ont été victimes d’une attaque informatique, mais plutôt s’interroger depuis quand, comment et pourquoi leur système d’information a été compromis. Désormais, aucune défense n’est parfaite : il faut se préparer à réagir le plus efficacement à une cyber attaque.»
C’est pourquoi, selon Telindus, après avoir misé sur la prévention et la protection, il s’agit d’investir dans la détection et la réaction. Détecter pour identifier le plus en amont possible une tentative d’attaque, un comportement anormal sur ses réseaux ou une exfiltration de données. Répondre en étant préparé à réagir en cas d’incident de sécurité (attaque virale, DDoS, phishing…) à travers un véritable processus de gestion et de réponse à incident qui va être piloté et mis en œuvre par un équipe de type SOC.
L’avantage d’un SOC est de centraliser la réponse à incident, c’est aussi de servir de relais vers l’intérieur de l’organisation pour prévenir les menaces en informant et sensibilisant et, surtout, au travers de l’interface offerte par son CSIRT, les échanges vers l’extérieur à destinations des autres équipes de réponse sur incident (CSIRT et CERT) et de la communauté sécurité en général.
