Vers le SOC automatisé ?

Dans ce contexte, le SOC (Security Operation Center) prend une place encore plus essentielle. En effet, il recueille et analyse un volume considérable d’informations et d’alertes de sécurité, afin d’identifier toute menace potentielle pour une entreprise. Dans les années à venir, le SOC va être amené à couvrir des périmètres de plus en plus nombreux et complexes. L’automatisation d’une partie de son activité s’avère ainsi inéluctable et cette évolution soulève des questions cruciales sur le partage de connaissances, leur fiabilité mais aussi l’interconnexion des systèmes entre eux. Dans ce contexte d’intelligence augmentée dans le SOC, quelles interactions Hommes/machines sont possibles ? Rodrigue Le Bayon, Directeur CyberSOC chez Orange Cyberdefense, s’est appuyé sur sa vision de terrain pour répondre à ces questions. Entretien.

Rodrigue Le Bayon : Pour les entreprises, le véritable enjeu demeure d’identifier les processus de traitement des incidents de sécurité déjà en vigueur. Il s’agit aussi d’engager leur personnel dans l’accomplissement des tâches de sécurité qui leur seront confiées. Ensuite, une réelle difficulté réside dans la formalisation de ces processus car nous sommes constamment confrontés à des cas multiples. Il est donc crucial de collecter un maximum d’informations contextuelles, qui vont s’avérer extrêmement précieuses dans le cadre d’une automatisation ; celles-ci demeurent trop souvent absentes.  Lorsqu’elles sont présentes, c’est souvent de manière dispersée sous forme de données rarement normalisées ou mises à jour. La contrainte induite pour nous, fournisseurs de service, est donc la suivante : où se trouve la connaissance ? Est-elle fiable ?

En effet, il ne suffit pas que l’information existe. Les entreprises doivent surtout prendre le temps de fiabiliser des données qui ne sont connues qu’en interne (parfois même d’une seule personne référente). C’est cette étape indispensable qui rend l’automatisation possible. Demain, aucune intelligence artificielle ne pourra fournir de résultats fiables sans ces données structurées.

Rodrigue Le Bayon : L’automatisation est avant tout synonyme d’optimisation du temps pour les experts. Ils peuvent ainsi, sans négliger le travail de fond qui reste indispensable, se concentrer sur les incidents de cybersécurité les plus critiques et complexes.

A titre d’exemple, aujourd’hui, nous avons évalué notre capacité d’automatisation du traitement des incidents de phishing à presque 70% des alertes. Nous avons pour objectif d’atteindre les 90% d’ici la fin de l’année. C’est une avancée considérable qui permet aux analystes de travailler dans de meilleures conditions.

Rodrigue Le Bayon : La gestion de l’hétérogénéité des solutions est en effet une question cruciale : chaque solution utilise sa propre manière de communiquer ainsi que ses propres commandes. De plus, ces environnements étrangers les uns des autres doivent aussi travailler ensemble et donc être connectés entre eux. A cela s’ajoute le facteur humain : les analystes ne peuvent raisonnablement pas être formés sur des dizaines de systèmes différents, en constante évolution.

Nous avons donc besoin d’une couche d’abstraction auprès d’un orchestrateur pour unifier toutes les opérations. En termes plus simples, cela revient à demander à la machine de gérer la traduction, de s’adapter à tous les environnements et de les connecter entre eux. C’est la mise à disposition de cette interface unique qui permettra une automatisation réussie.

Rodrigue Le Bayon : L’automatisation s’adresse à toutes les entreprises, mais il est clair que les clients les plus matures sur les questions de cybersécurité et ayant les besoins les plus conséquents deviendront des moteurs de connaissances pour les plus petits, qui n’auront peut-être pas tous les moyens de développer une IA (intelligence artificielle).

Dans les grandes entreprises, l’automatisation se fera uniquement grâce à la collaboration entre le fournisseur et son client. Nous revenons toujours à la notion des connaissances et de leur partage.

Rodrigue Le Bayon : Il y a toujours deux acteurs : le client et son fournisseur de cybersécurité. Les deux parties ont autant besoin d’automatisation. Celle-ci ne sera pas envisageable sans connexion des intelligences : plus la base de connaissances sera grande, plus l’intelligence collective le sera également et profitera à tous les clients.

Aujourd’hui, le dialogue entre machines est possible : un ordinateur peut donner une commande à un autre et ce dernier lui répondre. Nous évoluons ainsi sur des notions d’analyse et d’intelligence augmentée. Dans ce contexte, la réelle question demeure la collaboration Hommes-machines. Les outils vont apprendre des analystes mais les analystes vont également avoir besoin d’eux pour mieux travailler. Les équipes doivent donc avoir la certitude que l’automatisation va leur apporter de vrais gains. C’est un sujet qui va bien au-delà d’un simple changement de processus. Le SOC automatisé induit ainsi une réflexion globale sur la conduite du changement.

Glossaire :

*PDIS : prestataire de détection des incidents de sécurité

**ANSSI : Agence nationale de la sécurité des systèmes d’information

***LPM : Loi de programmation militaire