Le SOC DevOps ou comment remettre l’humain au cœur de la cybersécurité

L’équipe cybersécurité de demain reposera sur l’hybridité

L’évolution des cyberattaques impose aux entreprises de percevoir la cybersécurité comme mouvante, car les cyberattaquants redoublent d’efforts pour innover. Par exemple, les nouveaux ransomwares utilisent des codes malveillants, non détectés par la grande majorité des solutions de sécurité au moment de leur propagation, tels que WannaCry qui utilisait Eternal Blue, un code malveillant issu d’une fuite de la NSA.

Près de 65 % des cyberattaquants sont opportunistes et s’adaptent en fonction des faiblesses que les entreprises n’arrivent plus à corriger, car elles sont débordées par l’ampleur du chantier. De plus, des chercheurs ont démontré qu’il est aujourd’hui possible de générer un virus à partir de Machine Learning, qui sera donc inconnu des dispositifs de sécurité comme les antivirus ou l’EDR.

Les entreprises n’en sont plus à se demander si elles sont attaquées, car elles le sont au quotidien, elles doivent donc traverser ces agressions incessantes en adoptant une stratégie de résilience. L’objectif est de limiter, au plus tôt et au mieux, les impacts d’un incident sur leurs systèmes tout en étant capables de changer de posture rapidement face aux menaces qui évoluent en permanence.

Une approche artisanale, reposant uniquement sur des moyens humains, a peu de chance d’être fonctionnelle lorsqu’on sait qu’en moyenne il faut 72 heures pour qu’une faille de sécurité découverte soit exploitée par une attaque alors qu’il faut 102 jours à une entreprise pour corriger cette faille.

De même, une approche 100 % automatisée présente ses limites. Les machines se trompent, comme l’humain. La différence réside dans la capacité de la machine à prendre conscience de son erreur. La Bourse en fait l’expérience régulièrement lors des « Flash Crash » où des « bots » de Trading Haute Frequence pilotés par Machine Learning, font s’effondrer sans raison apparente le cours de la Bourse en quelques minutes et font ainsi perdre des milliards de dollars.

Les machines appliquent des paradigmes préétablis et ont des réactions immédiates qui peuvent être inefficaces, contre-productives, voire dangereuses, face à des cas inconnus tels que les attaques très complexes perpétrées par des hacktivistes, des gouvernements ou des organisations mafieuses.

Il convient donc d’adopter une approche industrielle hybride, reposant à la fois sur une appréciation humaine, permettant une réflexion complexe, des analogies, une pertinence de l’analyse avec une mise en œuvre automatisée par les machines afin d’assurer la performance de l’action.  

Le SOC DevOps : des analystes augmentés 

Le DevOps est déjà utilisé dans le secteur de la cybersécurité, notamment pour la sécurisation du code des applications et du déploiement des solutions de sécurité. Mais pour faire face à ces nouvelles menaces et permettre aux entreprises de rester résilientes, nous devons évoluer vers des analystes augmentés. L’objectif de l’approche SOC DevOps est de démultiplier le travail des analystes en associant d’une part l’automatisation des déploiements et d’autre part en concentrant l’intelligence humaine sur la conception et l’observation globales. 

Le SOC DevOps nécessite de penser en amont la pertinence du SOC. La stratégie doit s’appuyer sur l’observation des processus métier de l’entreprise et la façon dont son Système d’Information évolue. À cela il faut appliquer un référentiel d’attaques tel que celui du MITRE afin de mettre en place une détection et une réaction adaptées aux conséquences éventuelles.

Cela permet de mesurer la pertinence du SOC DevOps lors de son fonctionnement afin de pouvoir réaligner la résilience de l’entreprise dynamiquement. Ensuite les experts pensent et décrivent la stratégie de détection et de réaction qui est ensuite déployée et opérée directement par les machines.

Après le SecDevOps pour la sécurité du code, le DevSecOps pour la sécurité « as code » il est temps de déployer le SOC DevOps, en se basant sur un ensemble de processus déclinés « as code ».

Plus précisément les analystes du SOC décrivent sous forme de code source tout le fonctionnement du SOC. Au lieu de réaliser manuellement la mise en œuvre dans le SIEM, les analystes vont stocker leur code dans un dépôt (Version Control Système) permettant de conserver l’historique de toutes les modifications. Cette approche a l’avantage de limiter au maximum l’impact d’une erreur humaine en fournissant une traçabilité de toute modification et une capacité de retour en arrière immédiate, tout en laissant la possibilité de déployer diverses variantes en fonction des contextes (branches).

Quelques conseils pour mettre en place le SOC DevOps 

Les règles de détection, les actions de réaction ainsi que les arbres de décision sont développés « as code », puis testés et déployés en continu dans les outils du SOC (SIEM, SOAR, BPM…) afin de permettre un contrôle qualité automatisé (MCD) et une mise en œuvre immédiate.

En cas d’attaque, le SIEM lèvera une alerte qui sera transmise au SOAR (Security Orchestration, Automation and Response) entraînant un déclenchement de réactions convenues en fonction des arbres de décisions de manière automatique vers le Système d’Information et les outils de sécurité (Antivirus, EDR, Sondes Sécurité, Firewall…).
Eux-mêmes généreront des évènements (LOG) qui remonteront vers le SIEM. Ce modèle en circuit fermé se doit d’être contrôlé par les experts grâce à des tableaux de bord synthétiques qui leur permettent d’évaluer la situation et de modifier le code en conséquence pour une prise en compte immédiate par le système (on parle ici d’asservissement).

Face aux menaces que nous connaissons aujourd’hui et après plusieurs années à fantasmer sur une totale automatisation des processus informatiques, cybersécurité incluse, notre filière doit revenir à une approche pragmatique, combinant l’intelligence et l’agilité humaines avec la performance et la robustesse technologiques.

L’inclusion du Machine Learning dans le processus est bien entendu envisageable sur plusieurs éléments tels que la prise de décision automatisée, la corrélation des détections ou la synthèse des tableaux de bord. Toutefois la cybersécurité ne peut se permettre des « Flash Crash » comme le trading à haute fréquence, car les systèmes défendus peuvent directement impacter nos vies, dans les transports, l’énergie, la santé, l’aéronautique ou encore la défense. L’objectif de cette approche est de ne plus subir l’évolution, mais de la devancer en replaçant l’humain et la technologie dans leurs rôles respectifs.

Dans un monde où la réalité est devenue autant numérique que physique, l’éventualité d’une cyberguerre automatisée devient de plus en plus probable, l’ère des cyberdéfenseurs augmentés est inévitable.