Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 / 38 Forum des Compétences Supervision de la Sécurité du système d’informatio

1 / 38 Forum des Compétences Supervision de la Sécurité du système d’information dans les secteurs Banque et Assurance - Le Security Operation Center – SOC Une étude menée avec SUPERVISION DE LA SECURITE DU SYSTEME D’INFORMATION DANS LES SECTEURS BANQUE ET ASSURANCE Le Security Operation Center – SOC Juin 2016 2 / 38 Forum des Compétences Supervision de la Sécurité du système d’information dans les secteurs Banque et Assurance - Le Security Operation Center – SOC Ce document est la propriété intellectuelle du Forum des Compétences Dépôt légal chez Logitas. Reproduction totale ou partielle interdite Le Forum des compétences est une association composée de banques et de sociétés d’assurance qui échangent dans le domaine de la sécurité de l’information dans l’objectif d’élaborer des bonnes pratiques applicables dans leurs secteurs d’activités. Le résultat de ces échanges fait l’objet de publications sur son site web (www.forum- des-competences.org). L’organisation d’évènements est l’occasion de partager ces réflexions et d’échanger avec les acteurs de la place, notamment avec les régulateurs et les prestataires. 3 / 38 Forum des Compétences Supervision de la Sécurité du système d’information dans les secteurs Banque et Assurance - Le Security Operation Center – SOC Table des matières 1 INTRODUCTION ............................................................................................................................................. 5 OBJET DU GROUPE DE TRAVAIL .......................................................................................................................................... 5 Le « Security Operation Center » (SOC) ................................................................................................................. 5 LES MEMBRES DU GROUPE DE TRAVAIL ............................................................................................................................... 6 2 CONTEXTE GÉNÉRAL ...................................................................................................................................... 6 UNE CYBERCRIMINALITE OMNIPRESENTE ............................................................................................................................. 6 LEGISLATION, REGLEMENTATION, CONFORMITE .................................................................................................................... 7 LA RESPONSABILITE DE LA DIRECTION DE PLUS EN PLUS ENGAGEE ............................................................................................. 7 3 CONCEPTS ET FONDAMENTAUX .................................................................................................................... 8 LE “SECURITY OPERATION CENTER” (SOC) ......................................................................................................................... 8 Principales différences entre le SOC et le CSIRT .................................................................................................... 9 Synergies entre SOC et CSIRT ................................................................................................................................ 9 JOURNAUX, EVENEMENTS, ALERTES ET INCIDENTS ............................................................................................................... 10 Journaux / Enregistrements ................................................................................................................................ 10 Evénement .......................................................................................................................................................... 11 Incident ............................................................................................................................................................... 11 Le SIEM ................................................................................................................................................................ 12 Quid des événements métiers et applicatifs ? ..................................................................................................... 13 4 LE SOC DANS LA STRATÉGIE SSI ................................................................................................................... 13 L’INDISPENSABLE SPONSORSHIP ....................................................................................................................................... 14 5 LES MISSIONS D’UN SOC .............................................................................................................................. 14 ACTIVITES D’UN SOC .................................................................................................................................................... 15 POSITIONNEMENT DU SOC DANS L’ORGANISATION ............................................................................................................. 16 AUTORITE D’UN SOC .................................................................................................................................................... 16 6 LA MISE EN ŒUVRE D’UN SOC ..................................................................................................................... 17 [DESIGN] LA PHASE DE CONCEPTION D’UN SOC ............................................................................................................... 17 L’étude de cadrage .............................................................................................................................................. 18 Qualification et certifications d’un SOC .............................................................................................................. 19 Périmètre organisationnel .................................................................................................................................. 20 Périmètre technique ............................................................................................................................................ 21 L’organisation interne du SOC pour la gestion d’incidents ................................................................................. 21 Les différents modèles de SOC ............................................................................................................................ 22 De l’intérêt de conduire un POC .......................................................................................................................... 25 Création d’un SOC ex-nihilo ................................................................................................................................. 25 [BUILD] LA PHASE DE CONSTRUCTION D’UN SOC .............................................................................................................. 26 Collecte................................................................................................................................................................ 26 Traitement .......................................................................................................................................................... 27 Communications ................................................................................................................................................. 30 4 / 38 Forum des Compétences Supervision de la Sécurité du système d’information dans les secteurs Banque et Assurance - Le Security Operation Center – SOC Transition BUILD > RUN ...................................................................................................................................... 30 [RUN] LA PHASE DE FONCTIONNEMENT NOMINAL PERENNE D’UN SOC .................................................................................. 30 7 L’ « HUMAIN » AU CENTRE DU SOC ............................................................................................................. 33 CULTURE ET COMPETENCES ............................................................................................................................................ 33 GESTION DES COMPETENCES ........................................................................................................................................... 33 PROFILS ...................................................................................................................................................................... 34 Analystes (niveaux 1 et 2) ................................................................................................................................... 34 Ingénieur Sécurité (niveau 3) .............................................................................................................................. 34 Responsable SOC ................................................................................................................................................. 35 8 EVALUATION DE L’EFFICACITÉ DES SOC ....................................................................................................... 35 INDICATEURS DE PERFORMANCE ...................................................................................................................................... 36 VULNERABILITES ........................................................................................................................................................... 37 TICKETS ...................................................................................................................................................................... 37 INCIDENTS .................................................................................................................................................................. 37 9 CONCLUSION ............................................................................................................................................... 38 10 ANNEXES ..................................................................................................................................................... 38 DOCUMENT MITRE ..................................................................................................................................................... 38 5 / 38 Forum des Compétences Supervision de la Sécurité du système d’information dans les secteurs Banque et Assurance - Le Security Operation Center – SOC 1 Introduction Objet du groupe de travail Le sujet de la supervision des Systèmes d’Information (S.I.) revient sur le devant de la scène notamment en raison de nouvelles réglementations auxquelles sont soumis certains domaines d’activité, mais également en raison des menaces accrues qui pèsent sur les S.I. et qui ont des impacts de plus en plus graves. Engagés dans une transition et transformation numériques, les S.I. se retrouvent pour la plupart au contact d’Internet, siège de la cybercriminalité et des « cyber-convoitises », l’exposition aux risques est certaine. Dans le domaine de la supervision de la SSI, 3 difficultés majeures sont rencontrées : 1. la masse et la diversité des informations à traiter ; 2. l’identification des d’évènements précurseurs d’alertes de sécurité ; 3. l’appropriation du sujet et la réunion des compétences requises pour un projet d’envergure. Sur les deux premiers points, des opportunités technologiques peuvent être mises à profit. Il s’agit de l’arrivée à maturité des outils d’analyse comportementale, de l’augmentation des capacités de traitement et de l’intégration des briques technologiques « big-data ». Toutefois, s’il est certain que l’outillage est indispensable, le domaine de la supervision de sécurité des S.I., pour être efficace, doit être exigeant sur l’identification de la cible de sécurité, mais avant tout sur l’étendue des compétences des équipes qui servent le dispositif de supervision du S.I. Il est recommandé, et c’est généralement le cas, que la supervision SSI soit assurée par une entité spécialisée : Le Centre Opérationnel de Sécurité COS (COS en anglais devient le SOC pour Security Operation Center). Ce document s’adresse à un public qui a déjà eu l’occasion d’aborder les questions de sécurité des systèmes d’information (SSI) et des enjeux qui s’y rapportent. Le « Security Operation Center » (SOC) Au-delà de la collecte pertinente des évènements de sécurité dans les journaux (i.e. les logs) et de la corrélation de ceux-ci, les attentes et les exigences grandissent ; de nombreuses questions émergent:  Qu’est-ce qu’un SOC, quelles sont ses missions ?  Comment s’intègre-t-il dans la stratégie de défense de l’Entreprise ?  Comment s’organisent les interactions entre les missions d’un CSIRT et celles d’un SOC ?  Quelles sont les fonctions d’un SOC ?  Existe-t-il diverses générations de SOC ?  Quels sont les modèles organisationnels applicables ?  Quels sont les modèles économiques et technologiques (MSSP, SOC dédié, mutualisé, hybride) ?  Quelles sont les spécificités d’une mise en œuvre en milieu banque-assurance ?  Quid de la gestion de crise cyber ? 6 / 38 Forum des Compétences Supervision de la Sécurité du système d’information dans les secteurs Banque et Assurance - Le Security Operation Center – SOC Les membres du groupe de travail  Arnaud GODET SCOR agodet@scor.com  Yves JUSSOT ANSSI yves.jussot@ssi.gouv.fr  Pierre HURET Crédit Agricole S.A pierre.huret@credit-agricole-sa.fr  Xavier PANCHAUD BNP Paribas xavier.panchaud@bnpparibas.com  Didier GRAS BNP Paribas didier.gras@bnpparibas.com  Christian QUIVY Crédit Mutuel Arkéa christian.quivy@arkea.com  Patrick BRUGUIER Banque de France patrick.bruguier@banque-france.fr  Gérard LE COMTE Société Générale gerard.le-comte@socgen.com  Dan NIZARD Atos dan.nizard@atos.net  Jean-Baptiste VORON Atos jean-baptiste.voron@atos.net  Wilfrid GHIDALIA Forum des Compétences ghidalia@forum-des-competences.org 2 Contexte général Une cybercriminalité omniprésente Les cybermenaces entrent de façon pérenne dans la réalité quotidienne des entreprises. Les cyberattaques sont et seront de plus en plus fréquentes, multiples (c’est-à-dire mettant combinaison de plusieurs cyberattaques), discrètes et évoluées. Elles s’inscrivent dans la durée. Elles ne ciblent plus seulement les systèmes technologiques mais aussi directement les personnes (salariés, prestataires, partenaires, fournisseurs, clients), en leur dérobant des informations primordiales qui accroissent ensuite considérablement leur capacité de nuisance. L’écosystème complet de l’Entreprise s’en trouve directement menacé. Les connaissances et compétences mises en œuvre dans le cade de ces attaques démontrent que les acteurs malveillants n’hésitent plus à investir dans des moyens techniques et humains importants pour atteindre leur objectifs. L’actualité démontre que l’activité des entreprises attaquées est fortement perturbée, voire interrompue de façon durable. Les impacts financiers, organisationnels, juridiques et d’image peuvent être très importants, voire fatidiques lorsqu’ils font vaciller la confiance entre l’entreprise et ses clients, ses partenaires ou ses salariés dans le cas de vol ou divulgation de données personnelles, stratégiques ou critiques. Les dispositifs existants de gestion de crise et de continuité d’activité doivent être renforcés pour répondre aux risques associés. Ces observations s’inscrivent dans une ère de transformation numérique de l’Entreprise sous-tendue par l’apparition de nouvelles technologies comme la mobilité, le cloud et l’ouverture des données de l’Entreprise à ses clients et partenaires via ses propres systèmes et/ou les réseaux sociaux. La multiplication et la diversification des systèmes techniques mis en œuvre induit une augmentation sans précédent du nombre de vulnérabilités. La surface d’attaque de l’Entreprise tend ainsi à croitre de façon très importante. 7 / 38 Forum des Compétences Supervision de la Sécurité du système d’information dans les secteurs Banque et Assurance - Le Security Operation Center – SOC La cybercriminalité est désormais agile, industrialisée, structurée et professionnelle. Elle exploite toutes les vulnérabilités et failles techniques, organisationnelles et humaines. Quel que soit le secteur d’activité, plus aucune Entreprise n’est épargnée. Législation, réglementation, conformité En complément des aspects de société décrits dans le paragraphe précédent, les Entreprises, et plus particulièrement celles des domaines banque et assurances, sont contraintes et régies par un ensemble de règles et directives qui définissent et précisent les objectifs de sécurité à atteindre et qui se déclinent en organisations et moyens techniques. Parmi elles, on distingue :  Contraintes réglementaires liées au domaine bancaire ;  Contraintes réglementaires au domaine assurance ;  Contraintes des réglementations internationales, européennes & uploads/Management/ supervision-de-la-securite-des-si-dans-les-secteurs-banque-et-assurance-soc-pdf.pdf