Organismes : CSIRT & CERT

CERT

Alerte & Sensibilisation

Focalisé sur la veille, le traitement des alertes de sécurité et la centralisation.

CERT-FR (Gouvernemental)
  • Organismes Publics / Ministères
  • OIV (Opérateurs d'Importance Vitale)
  • OSE (Opérateurs de Services Essentiels)

CSIRT

Réponse à incident

Aide opérationnelle ("Pompiers") pour la réponse, le confinement et la remédiation.

CSIRT Territoriaux (Régionaux)
  • 14 centres (1 par région)
  • Cible : PME, ETI, Collectivités
Intérêts pour le SOC : 1. Suivi des incidents & réception de CTI (IoC).
2. Mise en relation avec des experts cyber.
3. Prévention et anticipation des menaces.

Projet ELK (Elastic Stack)

Solution (SaaS, PaaS ou On-premise) pour regrouper, traiter et stocker les logs de multiples plateformes.

Flux : Beats Logstash Elasticsearch Kibana

1. Beats

Collecte

Agents légers sur les machines (Filebeat, Metricbeat). Envoient les données.

2. Logstash

Traitement (ETL)

Ingestion, transformation, parsing et enrichissement des logs.

3. Elasticsearch

Stockage

Moteur de recherche et d'analyse. Indexe les données.

4. Kibana

Visualisation

Interface graphique. Dashboards, exploration.

SOAR

SIEM Évolué

Security Orchestration, Automation and Response. Solution pour orchestrer les outils et automatiser.

Principe Technique

  • 1. Collecte & Analyse : Récupère les logs/alertes (SIEM, EDR, AV).
  • 2. Intégration : Connecte des outils hétérogènes.
  • 3. Orchestration : Automatise les actions via des playbooks.

"Analyse préliminaire automatisée."

Coûts Projet (Estimations)

Licence 5 000€ - 100 000€
Infrastructure 10 000€ - 50 000€

VOC

Approche Offensive

Vulnerability Operation Center. Recherche de failles avant l'attaque.

Fonctionnement

Scans réguliers des machines, des services et des IPs.

Organisation

Le VOC peut être :

  • Une équipe dédiée
  • Une fonction du métier
  • Une plateforme support

Vs SOC

SOC : Défensif (Temps réel)

VOC : Offensif (Préventif)

IDS & IPS

Chaine d'intégration : Sonde (IDS/IPS) SIEM (Corrélation) SOC (Analyse)

IDS (Detection)

Passif

Écoute le réseau, analyse et lève une alerte. Ne modifie pas le trafic.

IPS (Prevention)

Actif

Analyse et peut bloquer les paquets malveillants.

HIPS : IPS au niveau de l'hôte (Endpoint) ou sur éléments réseaux (FW/WAF).

Point Négatif Majeur : Les Faux Négatifs
Risque de non-détection d'une menace réelle.
Solution : Mettre à jour très régulièrement la base de données de signatures.

La Loi de Programmation Militaire (LPM)

Corps de l'arrêté

  • Obligation de déclarer à l'ANSSI les incidents de sécurité
  • Annexe 1 : 20 règles de sécurité
  • Annexe 4 (Diffusion Restreinte) : Types d'incidents de sécurité à déclarer
Pour les SIIV (Systèmes d'Information d'Importance Vitale)
L'appel à un Prestataire de Détection des Incidents de Sécurité (PDIS) est obligatoire.

SOC PDIS - Qualification

Obligation LPM

Prestataires Qualifiés

Les prestataires exploitant les systèmes de détection doivent être qualifiés :

  • PDIS : Prestataires de Détection des Incidents de Sécurité
  • PRIS : Prestataires de Réponse aux Incidents de Sécurité

SOC Interne

Les équipes internes aux entreprises doivent également être qualifiées si elles veulent exploiter elles-mêmes leurs systèmes de détection.

Historique du référentiel

  • 12/2015 : Première version officielle du référentiel PDIS (v1.0)
  • 12/2017 : Deuxième version officielle référentiel PDIS (v2.0)
  • 01/2018 : Version 2.0 en vigueur

Référentiel d'exigences PDIS

Objectif à retenir :

Définir des exigences pour qualifier les prestataires de détection des incidents de sécurité au profit des OIV ou pour qu'une OIV qualifie son propre SOC interne.

Le référentiel PDIS est dense

Il pointe sur d'autres documents à respecter :

63

Rubriques PDIS

275

Exigences

13

Rubriques Guide ANSSI

40

Exigences

13

Rubriques Instruction 901

182

Exigences

Activités du service

  • • Gestion des évènements
  • • Gestion des incidents
  • • Gestion des notifications

Protection de l'information

  • • PSSI
  • • Niveau de sensibilité
  • • Classification
  • • Territorialité

Organisation

  • • Charte d'éthique
  • • Recrutement
  • • Gestion des compétences
  • • Comités opérationnels

Qualité & Service

  • • Qualité du service
  • • Réversibilité
  • • Convention de service

Exigences Techniques

  • ✓ Contrôles
  • ✓ Sécurité physique
  • ✓ Sauvegardes
  • ✓ Service de détection du service
  • ✓ Cloisonnement
  • ✓ Administration et exploitation
  • ✓ Interconnexions
  • ✓ Zone de mise à jour
  • ✓ Zone de notification
  • ✓ Zone d'échange commanditaire
  • ✓ Enclave de consultation
  • ✓ Enclave de collecte
  • ✓ Zone internet
  • ✓ Accès nomades

Activités Spécifiques du SOC PDIS

1. Recueillir

Collecte des logs et événements de sécurité provenant des différentes sources du SI.

2. Identifier

Analyse et corrélation des événements pour détecter les incidents de sécurité.

3. Notifier

Alerter le commanditaire et l'ANSSI selon les procédures établies.

Éléments Structurants du PDIS

  • Mise en place d'un réseau dédié à la détection avec un cloisonnement en plusieurs zones de confiance : collecte, analyse, notification, administration, exploitation, etc.
  • Utilisation de sondes souveraines & qualifiées par l'ANSSI
  • Homologation DR du service de détection, et des enclaves (collecte et consultation) sur le SI du commanditaire
  • Formalisation d'une convention de service entre les parties prenantes
  • Utilisation de personnels compétents, établissement d'un plan de formation
  • Capacité à surveiller le service de surveillance
  • Pas de visibilité par le commanditaire sur les outils du prestataire

Architecture Type PDIS

SI COMMANDITAIRE
Collecte

ENCLAVE
COLLECTE

ENCLAVE
CONSULTATION

ZONE
ÉCHANGE
Traitement
SOC PDIS
(Analyse & Corrélation)
Notification

COMMANDITAIRE

ANSSI
Points clés de l'architecture :
  • Séparation stricte entre les zones de confiance
  • Flux unidirectionnel de collecte vers analyse
  • Double notification : commanditaire + ANSSI
  • Cloisonnement fort pour la sécurité

Acteurs du Marché PDIS

Produits et Services Qualifiés par l'ANSSI

L'ANSSI maintient une liste officielle des prestataires PDIS et PRIS qualifiés. Ces acteurs ont démontré leur conformité aux exigences du référentiel.

Consultez la liste officielle sur le site de l'ANSSI pour connaître les prestataires certifiés et les solutions qualifiées.

Rappel RGPD

Protection des Données Personnelles

Les activités de détection et de réponse aux incidents impliquent souvent la collecte et le traitement de données personnelles. Le SOC PDIS doit :

  • Respecter le RGPD dans toutes ses opérations
  • Minimiser la collecte de données personnelles
  • Garantir la confidentialité et la sécurité des données traitées
  • Documenter les traitements mis en œuvre
  • Informer les personnes concernées selon les obligations légales

Définitions & Concepts

MDR

Managed Detection and Response

Managed Detection and Response

C'est un EDR géré par une entreprise externe. Externalisation de la surveillance et de la réponse.

Avantages : Expertise 24/7, infrastructure gérée, réponse rapide aux incidents.

Évolution SIEM

  • SIM : Security Information Management.
    Gestion, stockage et conformité (Long terme).
  • SEM : Security Event Management.
    Gestion des événements en temps réel (Monitoring).
  • SIEM : Fusion des deux (SIM + SEM).
    Analyse en temps réel + conservation long terme.

OIV

Opérateur d'Importance Vitale

Organismes publics ou privés exploitant des établissements ou utilisant des installations dont l'indisponibilité risquerait de diminuer de façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation.

Exemples : Énergie, transport, santé, eau, télécoms, finance...

OSE

Opérateur de Services Essentiels

Définis par la directive européenne NIS (Network and Information Security). Opérateurs dont les services sont essentiels au maintien d'activités sociétales et/ou économiques critiques.

Catégories : Secteurs similaires aux OIV avec périmètre européen.

SIIV

Système d'Information d'Importance Vitale

Systèmes d'information dont la sécurité et le bon fonctionnement sont essentiels à la continuité des services et activités des OIV.

Obligation : Recours à un PDIS qualifié.

CTI

Cyber Threat Intelligence

Cyber Threat Intelligence

Renseignement sur les menaces cyber : informations collectées, traitées et analysées pour comprendre les motivations, cibles et comportements des attaquants.

  • IoC : Indicators of Compromise (hash, IP, domaines malveillants)
  • TTPs : Tactics, Techniques and Procedures

EDR

Endpoint Detection and Response

Solution de sécurité qui surveille en continu les endpoints (postes de travail, serveurs) pour détecter et répondre aux menaces avancées.

Capacités : Détection comportementale, analyse forensique, réponse automatisée, chasse aux menaces.

Homologation

Processus visant à attester qu'un système d'information est protégé conformément aux objectifs de sécurité fixés.

Homologation DR : Dossier comprenant l'analyse de risques, les mesures de sécurité, et la décision d'acceptation des risques résiduels.

PSSI

Politique de Sécurité des SI

Document de référence définissant les règles et les mesures relatives à la sécurité des systèmes d'information de l'organisation.

Contenu : Objectifs, organisation, responsabilités, règles techniques et organisationnelles.

Playbook

Ensemble de procédures documentées et automatisables définissant les actions à mener en réponse à un type d'incident ou d'alerte spécifique.

Utilisation : Automatisation des réponses dans les solutions SOAR.

Architecture Globale d'un SOC

Sources (Endpoints, Network, Cloud) Collecte (Agents, Sondes) SIEM (Corrélation) SOAR (Orchestration) Analystes SOC Réponse & Remédiation