Vue d'ensemble des opérations de sécurité
Les opérations de sécurité (SecOps) maintiennent et restaurent les garanties de sécurité du système attaqué en direct. L’infrastructure de cybersécurité NIST décrit bien les fonctions SecOps de détection, de réaction et de récupération.
Détecter - Les opérations de sécurité doivent détecter la présence d’adversaires dans le système, qui sont le plus souvent incités à rester masqués pour atteindre leurs objectifs librement. Cela peut se faire par une action en réponse à une alerte d’activité suspecte ou par la chasse proactive des événements anormaux dans les journaux d’activité de l’entreprise.
Répondre - Dès qu’une action ou une campagne adversaire potentielle est détectée, les opérations de sécurité doivent aussitôt lancer une investigation pour déterminer s’il s’agit d’une attaque réelle (vrai positif) ou d’une fausse alarme (faux positif), puis énumérer l’étendue et l’objectif de l’opération adversaire.
Récupérer - L’objectif final des opérations de sécurité est de préserver ou rétablir les garanties de sécurité (confidentialité, intégrité, disponibilité) des services de l’entreprise pendant et après une attaque.
Le risque de sécurité majeur auquel sont confrontées la plupart des organisations provient d’attaques d’origine humaine, qui sont plus ou moins complexes selon le niveau de compétence des attaquants. Les risques liés aux attaques automatisées/répétées ont été considérablement atténués pour la plupart des organisations grâce aux approches basées sur les signatures et le machine learning intégrées dans les logiciels anti-malveillants. Bien qu’il soit important de noter qu’il existe des exceptions notables comme Wannacrypt et NotPetya, qui se ont évolués plus rapidement que ces défenses).
Bien que les personnes à l’origine des attaques soient difficiles à combattre en raison de leur grande adaptabilité (par rapport à une logique automatisée/répétée), elles opèrent à la même « vitesse humaine » que les défenseurs, ce qui rend les règles du jeu plus équitables.
Les opérations de sécurité (parfois désignées sous le terme de « centre des opérations de sécurité » (SOC)) ont un rôle essentiel à jouer en ce sens qu’elles limitent le temps et le niveau d’accès qu’un attaquant peut obtenir sur des systèmes et données critiques. Chaque minute qu’un attaquant passe au sein de l’environnement lui permet de poursuivre ses opérations d’attaque et d’accéder à des systèmes sensibles ou critiques.