Symantec ouvre un SOC en Europe
Londres, le 20 juin : Symantec inaugure en grandes pompes un nouveau centre de supervision de sécurité (SOC ou Security Operation Center) situé à Reading, dans la grande banlieue de Londres. Un SOC, c'est le centre nerveux d'une « usine à externalisation de la sécurité », une infrastructure et un service qui garantissent à la fois une certification du personnel, des équipements et des procédures normés et conformes aux lois en vigueur, des temps de réponses quasi-immédiats, une adaptation aux impératifs métiers, un retour sur investissement garanti, autrement dit une foultitude d'avantages comparée à une gestion « interne » des risques, des menaces et des attaques : le discours est aussi ancien que ne l'est elle-même l'externalisation de la sécurité. Reste que l'intervenant, cette fois, est un « poids lourd » de la profession.
C'est à cette occasion que l'équipe de CSO France a rencontré Art Wang, Senior VP de Symantec MSS.
CSO France : Comptez-vous parvenir à signer des contrats dans d'autres pays de l'Europe que le Royaume Uni, et avec des entreprises de quelles tailles ?
Art Wong : Il va de soi que les clients s'adressant à Symantec appartiennent principalement au milieu de la grande finance, aux secteurs industriels lourds, aux organisations gouvernementales, en bref, aux structures de tailles respectables. C'est principalement l'envergure de Symantec, son implication dans le suivi des processus de normalisation, la taille de son réseau d'information -et donc le « savoir » en résultant en matière de sécurité- qui servent d'arguments « convaincants » pour décrocher ces nouveaux contrats. Et bien sûr, nous visons, avec ce centre européen, la totalité des pays de la C.E. en particulier, et de la zone EMEA en général.
CSO France : Une entreprise américaine sur un sol britannique, deux composantes de l'alliance UKUSA, le souvenir de « l'affaire Magic Lantern »*, les difficultés importantes qu'ont connu vos concurrents sur ce même marché -ISS notamment- pour la seule raison de ne pas offrir un SOC dans le pays même de l'entreprise contractante, tout çà ne semble pas trop émousser votre optimisme ?
Art Wong : Il y a plusieurs aspects qu'il faut pouvoir prendre en compte. Et parmi ces aspects, le principe moteur de Symantec, le fait que la valeur la plus importante à nos yeux est avant tout la sécurité des systèmes de nos clients. Je comprends tout à fait ce genre de réticences, et répond de la moralité, comme de l'intégrité des gens qui travaillent au sein du nouveau SOC. Beaucoup d'entre eux ont obtenu des certifications gouvernementales, tous possèdent une certification technique de quelque niveau que ce soit, aucun d'entre eux n'est un ancien « hacker » au sens noir du terme. En outre, nous pouvons, nous savons nous adapter aux situations exigeant un niveau de confidentialité élevé. Notamment en garantissant que nos travaux peuvent se limiter à l'analyse temps réel des logs et rapports, et en garantissant que pas une donnée ne transitera hors des frontières du pays du client, voir même des frontières de son périmètre IT. Et tout çà, sans limiter d'aucune manière ce qui fait la valeur de notre analyse, à savoir la connaissance « temps réel » des mécanismes d'attaques, des menaces en cours, des virus « à la mode » et autres dangers détectés par nos sondes.
CSO France : Envisagez-vous de créer, toujours pour des raisons d'adaptation aux impératifs de confidentialité de chacun, des NOC « antennes » ou « satellites » dans les différents pays de la zone EMEA pour couvrir des demandes spécifiques ? Que ces antennes soient montées de toute pièce par Symantec ou conséquence d'un contrat avec une entreprise de sécurité locale ?
Art Wong : Uniquement dans des pays qui ne sont pas encore couverts par Symantec actuellement. Nous n'envisageons absolument pas, du moins à court terme, doubler la structure actuelle, et encore moins signer des sortes de contrats de partenariat qui constitueraient une forme d'extension des services MSS. Pour y parvenir, il faudrait que les contractants puissent assurer le même niveau de qualification et de certification que nos propres équipes, et que nous établissions quelque chose qui puisse leur offrir le même niveau d'information que celui dont nous bénéficions « en interne ». Ceci précisé, il est tout à fait envisageable de détacher des techniciens Symantec auprès de nos clients, tant pour leur apporter un support et un savoir que pour les aider à structurer et normaliser leur organisation.
CSO France : Les dernières vulnérabilités en vogue ?
Art Wong : Du classique et de l'exceptionnel. Du classique, car il ne faut pas négliger l'importance des « classiques » que sont les Nimda et leurs héritiers. Sans les exploits Iframe, le monde serait bien calme, et leur aspect « classique et déjà vu » ne diminue en rien la menace qu'ils représentent. Mais cette normalisation des attaques, cette routine du danger ne doit pas nous endormir. Cela fait bien deux ou trois ans que certaines grandes signatures de la découverte de failles ont disparu de la surface de la planète. Que deviennent leurs travaux ? Les plus connus travaillent sans doute pour les « agences à trois lettres ». D'autres, moins célèbres, sont employés par des patrons moins recommandables. Les exploits résultants de ces recherches occultées sont généralement utilisés dans le cadre d'attaques ou d'opérations de surveillance très ciblées, qui sont indétectables, même par des entreprises telle que la notre.
* ndlr Magic Lantern : un outil d'espionnage genre keylogger conçu, dans les années 2000/2001 par les services de renseignements US, que Symantec estimait à l'époque ne pas avoir à « bloquer ni signaler la présence » pour des raisons de « consentement patriotique ». La position du groupe a, depuis, considérablement évolué.