Consoles de sécurité : détecter enfin les vraies menaces
Le club R2GS a organisé des Assises du domaine cyberdéfense et du SIEM le 5 décembre à Paris. Les systèmes de supervision des évènements de sécurité informatique doivent être convenablement utilisés pour atteindre leurs objectifs de sécurisation.
« Les premiers SIEM [NDLR : les consoles de supervision de la sécurité ou Security Information and Event Management] datent d'une vingtaine d'années mais, très lourds, ils ont souvent entraîné des désillusions » a constaté Gérard Gaudin, président du club R2GS (Club de réflexion et de recherche en gestion opérationnelle de la sécurité), en ouvrant les Assises du Domaine CyberDéfense et SIEM le 5 décembre 2012, au Mercure Porte de Versailles à Paris.
Or les nouvelles menaces rendent plus indispensables encore qu'auparavant une démarche à base de SIEM, pourvu qu'ils soient bien utilisés. Les SIEM (Security Information and Event Management) ont pour mission de corréler des évènements informatiques (généralement des logs serveurs ou applicatifs) afin de détecter des incidents de sécurité informatique.
Or l'usage de ces outils s'avère extrêmement lourd et complexe si l'on n'y prend pas garde.
Le club R2GS français a longuement travaillé sur le sujet avec ses homologues européens. Ils recommandent de dépasser cette désillusion initiale. Pour Gérard Gaudin, il faut savoir à la fois optimiser l'équilibre entre la prévention et la détection/réaction (pour ne pas se noyer dans des détections sans intérêt), développer la compréhension des menaces (pour savoir quoi chercher) et intégrer la démarche SIEM dans la gestion globale du risque et la gestion de la sécurité informatique classique.
Détecter les attaques furtives
Selon Gérard Gaudin, « l'efficacité de la détection des incidents de sécurité informatique semble être souvent inférieure à 10% selon plusieurs études ». Le problème concerne surtout les fameuses « APT » (Advanced persistent threat : menaces persistantes évoluées). « Il est donc tout à fait essentiel d'accentuer les efforts en matière de prévention » recommande le président du R2GS.
La prévention par liste blanche (liste d'autorisations expresses) fait chuter les menaces de 85% mais elle implique une lourdeur considérable dans l'administration de la dite liste blanche. Il semblerait que le département américain de la sécurité (NSA) travaille sur l'automatisation de la gestion de cette liste blanche.
95% d'attaques traditionnelles
95% d'attaques traditionnelles
Cependant, il ne faut pas oublier que 95% des attaques contre la sécurité des systèmes d'information sont des attaques opportunistes non-ciblées. Les APT sont donc plutôt rares mais très furtives et misant sur les faiblesses humaines, avec un gros travail d'ingénierie sociale. « La plupart des APT sont découvertes par hasard, simplement à partir de constats basiques comme des charges réseaux anormales » se désole Gérard Gaudin.
Les groupes hostiles usant d'APT sont de plus en plus nombreux et professionnels. En face, la mobilisation est insuffisante.
Des référentiels pour prévenir les menaces
Pour faciliter la prise de mesures adéquates, plusieurs travaux existent. Aux Etats-Unis le référentiel US CAG (Consensus Audit Guidelines) en fait partie et propose une vingtaine de mesures. En Europe, le réseau européen associé au R2GS promeut sa propre démarche.
Il s'agit de concilier une approche de gouvernance stratégique de type top-down et une démarche terrain de type bottom-up. L'idée majeure de ces référentiels est de détecter ce qui vaut le coup, soit en raison de la fréquence soit en raison de la dangerosité de telle ou telle menace.
Toutes les attaques laissent des traces dans les logs informatiques mais l'analyse est trop peu pertinente, aboutissant à un faible taux de détection des APT. Gérard Gaudin conclut : « Le plus gros défi de sécurité est aujourd'hui le BYOD puisqu'il s'agit d'équilibrer ouverture et liberté contre sécurité ».
BNP Paribas : bilan d'un SIEM à vocation mondiale
Didier Gras, RSSI du groupe BNP Paribas, a profité des Assises organisées par R2GS pour présenter un bilan de l'usage de la démarche SIEM au sein du groupe bancaire.
Cette démarche a été utilisée avec une vision mondiale depuis fin 2009, le projet définitif ayant été livré courant 2012. Les plates-formes de détection des attaques ont été conçues de façon mondiale mais la remontée des logs se fait sur des regroupements régionaux (Europe, Moyen-Orient, etc.).
Le référentiel R2GS lui a semblé plus pertinent que l'US CAG. Dans certains pays, des compromis ont dû être acceptés par rapport aux ambitions initiales du projet. De même, il est parfois difficile de surveiller en un même endroit des logs d'outils qui dépendent de directions différentes. Surtout, Didier Gras a insisté sur la nécessité de revoir régulièrement les mesures prises pour s'adapter aux menaces du moment. L'essentiel, pour lui, est de distinguer la détection et la réaction aux menaces. « Les compétences requises sont très différentes » justifie-t-il.
Le SIEM de BNP Paribas agrège une trentaine de familles de sources de logs. Les outils du marché sont souvent un peu dépassés et des compromis sont donc nécessaires. De même, les systèmes « Legacy » sont parfois difficiles à prendre en compte car ils n'ont pas été conçus pour délivrer des logs à un SIEM.
Enfin, Didier Gras a mentionné un problème qui n'est malheureusement pas mineur : « du point de vue GRH, les équipes de niveau 1 sont souvent dévalorisées par rapport aux équipes de niveau 2 ou 3 alors que c'est le niveau 1 qui va lancer les alertes. » Le management des équipes est donc un défi important. D'autant qu'il faut que les métiers comprennent leurs responsabilités en matière de pilotage des risques, les équipes de sécurité devant être considérées comme des pompiers.
