|

Piloter un projet de supervision de sécurité

ParCyber Drôme

Guide de l’Anssi : aspects opérationnels liés au pilotage d’un projet de supervision.

Ce document de l’ANSSI, intitulé « Piloter un projet de supervision de sécurité », est un guide opérationnel qui explore la mise en œuvre et la gestion des services de supervision de la sécurité informatique. Il définit la supervision de sécurité et la distingue de la supervision informatique générale, en détaillant son écosystème et les types d’événements de sécurité.

Le texte présente les composantes essentielles d’un tel système, y compris le rôle des analystes, la nature des données de supervision, l’élaboration d’une stratégie de supervision et les processus métier et support impliqués.

Enfin, il aborde les multiples défis stratégiques, humains, techniques et juridiques liés à un projet de supervision de sécurité, et fournit des recommandations pour optimiser sa mise en place et son évolution.

1. Introduction et Objectif du Document

Le document de l’ANSSI, intitulé « Piloter un projet de supervision de sécurité », fait partie d’une collection de guides sur la supervision de sécurité. Il se positionne au niveau opérationnel et vise à aider à comprendre l’organisation et le pilotage d’un service de supervision de sécurité. Il définit la supervision de sécurité, décrit son écosystème, ses composantes organisationnelles et techniques, ses enjeux, et propose des recommandations pour sa mise en œuvre.

Définition de la Supervision de Sécurité : La supervision de sécurité est définie comme « l’ensemble des moyens et des activités concourant, dans les meilleurs délais, à la détection et à la qualification d’un incident de sécurité sur un périmètre supervisé, ainsi qu’au choix de la réaction appropriée lorsque cet incident est avéré. » Ces moyens peuvent être humains, organisationnels, techniques et financiers. Il est crucial de noter que les aspects de qualification et de réaction sont indissociables de la détection.

Distinction avec la Supervision Informatique : La supervision de sécurité se distingue de la supervision informatique par la nature des événements traités. La supervision informatique gère les anomalies techniques non intentionnelles (ex: taux d’occupation des disques élevé, défauts logiciels), tandis que la supervision de sécurité se concentre sur les événements provoqués intentionnellement par des activités malveillantes (ex: exploitation de vulnérabilités, fuite d’informations), qui peuvent inclure des techniques de dissimulation. Cependant, sur le terrain, ces deux formes de supervision sont souvent intriquées et peuvent mutuellement contribuer à la détection.

2. L’Écosystème de la Supervision de Sécurité

La supervision de sécurité n’est pas une fonction isolée ; elle s’intègre dans un écosystème plus large pour le traitement des incidents de sécurité, articulant plusieurs fonctions clés :

  • Gestion Opérationnelle des Systèmes d’Information (Gestion des SI) : Couvre les dimensions métier, les infrastructures et la sécurité préventive. La supervision de sécurité s’appuie sur les connaissances (statiques et dynamiques) de la gestion des SI et sollicite ses équipes pour contextualiser les alertes et améliorer sa compréhension des activités détectées.
  • Gouvernance : Fournit les moyens financiers et humains, sponsorise la supervision de sécurité, formalise les orientations cyber (PSSI) et valide la stratégie de supervision. En retour, la supervision de sécurité produit des éléments de suivi et de valorisation de son activité.
  • Renseignement sur la Menace (CTI) : Contribue en fournissant les ressources (indicateurs de compromission – IoC, renseignements riches) indispensables pour la conception et l’amélioration des règles de détection. La qualité du renseignement et la capacité de la supervision à l’intégrer sont cruciales.
  • Réponse à Incidents : Est activée par la supervision de sécurité, recevant les éléments de caractérisation de l’incident. Inversement, la réponse à incidents peut solliciter la supervision pour localiser les actions malveillantes ou surveiller les persistances post-remédiation. L’état de l’art implique une organisation en boucle fermée, où les activités de réponse alimentent le renseignement sur la menace.

3. Composantes Clés d’une Supervision de Sécurité

Une supervision de sécurité repose sur des moyens humains, organisationnels et techniques spécifiques :

  • Les Analystes : L’équipe de supervision de sécurité. Leur mission principale est de vérifier et qualifier les événements de sécurité en incidents. Ils interviennent en soutien de tous les processus de supervision, réalisant des tâches complexes non automatisables (recoupements, pivots, investigations).
  • Les Données de Supervision : L’efficacité de l’analyse dépend des caractéristiques des données traitées :
  • Signifiantes : Reflètent l’activité du SI.
  • Pertinentes : Points de capture ayant du sens pour les enjeux de sécurité.
  • Diversifiées : Provenant de multiples sources (logs système, pare-feu, trafic réseau) pour permettre les pivots et corrélations. Nécessitent une normalisation.
  • Enrichies : Filtrées, complétées (ex: géolocalisation d’IP) ou agrégées pour améliorer la lisibilité et permettre des corrélations plus riches.
  • La Stratégie de Supervision : Un document interne, conçu par l’équipe de supervision, décrivant les objectifs, moyens, priorités, trajectoire et choix techniques. Elle établit le lien entre les objectifs de sécurité, les familles de données, les points de collecte pertinents et les règles de détection. Elle intègre les moyens alloués et une analyse de risque du SI supervisé.
  • Exemples d’éléments à intégrer : les objectifs de supervision et les données associées, l’architecture technique de la supervision, et la gouvernance de la supervision.
  • Les Processus de la Supervision :Processus métier : Activités récurrentes (analyse) et relationnelles (avec les parties prenantes). Incluent la définition des attentes et des moyens, les indicateurs et tableaux de bord, la veille en vulnérabilités et menaces, la gestion du cycle de vie des règles de détection, la connaissance du périmètre supervisé, la gestion des sources et des capteurs, l’analyse au fil de l’eau (automatisée), l’analyse à posteriori (recherche d’éléments non connus), la qualification et le signalement des incidents, et le choix et suivi d’une réponse à incidents.
  • Processus support : Similaires à ceux de tout SI, incluent la planification et le management du périmètre technique, la conception et l’architecture du SI, l’intégration des briques techniques et l’exploitation du SI.
  • Les Règles Métier :Règles de gestion : Formalisent les choix pour implémenter les processus et la communication (ex: qui répond, critères d’escalade).
  • Règles de détection : Déclinaison technique de la stratégie de supervision, intégrant connaissance de la menace, contexte technologique et agencement technique du SI. Elles sont la partie « programmable » des systèmes automatisés, définissant les critères d’émission d’un événement de sécurité. Elles peuvent être génériques ou spécifiques, basées sur des signatures ou comportementales. La réduction des faux positifs est un objectif clé.
  • Le SI de Supervision : Une architecture fonctionnelle composée d’outils adaptés :
  • Collecteurs : Acheminent les événements vers la partie centralisée.
  • Capteurs : Analysent localement les activités du SI et émettent des alertes.
  • Traitements : Normalisation et filtrage des événements.
  • Enrichissement : Ajout de valeur aux données (bases spécialisées, agrégation).
  • Outil d’analyse : Stocke, indexe, applique les règles de détection et fournit des interfaces graphiques pour l’analyse des alertes par les analystes.
  • Outil de gestion de cas (ticketing) : Suit, trace et coordonne les investigations.
  • Référentiel de règles : Gère le cycle de vie des règles.
  • Outils d’investigations complémentaires : Permettent de lever le doute et de limiter les risques lors de l’analyse d’éléments potentiellement dangereux.
  • Outils de gestion de la connaissance : Mettent à disposition des informations sur le fonctionnement de la supervision et du SI supervisé.

4. Enjeux d’un Projet de Supervision de Sécurité

La complexité de distinguer les activités malveillantes des légitimes, face à l’évolution des menaces, rend la mise en place et le maintien d’une supervision de sécurité un défi majeur.

  • Enjeux Stratégiques :Questionner le sentiment de sécurité et impliquer la gouvernance dans l’amélioration continue.
  • Garantir la continuité de l’amélioration continue et poursuivre les investissements.
  • Faire preuve de discernement technique pour des acquisitions pertinentes.
  • Garder les objectifs cyber en ligne de mire, évitant le biais de performance.
  • Enjeux Projet :Budget : Cohérent avec le périmètre et les objectifs, prévoyant des itérations sur plusieurs exercices budgétaires et le coût de maintenance.
  • Qualité : Définie par la stratégie de supervision, elle ne doit pas être un facteur d’ajustement qui compromettrait l’efficacité. Des sous-objectifs progressifs sont recommandés.
  • Planification : À considérer sur le long terme, car la construction est un projet technique, organisationnel et d’acquisition de compétences. Le facteur humain a un impact significatif.
  • Enjeux Humains :Éviter la fatigue des alertes : Due au traitement répétitif de faux positifs, elle entraîne des analyses partielles et une démotivation.
  • Identifier et atténuer les divers biais (excès de confiance, confirmation, automatisation, etc.).
  • Reconnaître et célébrer les succès pour contrer l’accent mis sur les échecs.
  • Adapter le management aux spécificités des métiers de la supervision.
  • Gérer les carrières et la montée en compétences.
  • Prévenir l’instrumentalisation du personnel (ciblage des profils critiques).
  • Adopter une posture défensive adéquate pour attirer et fidéliser les talents.
  • Enjeux Métier :Maximiser la disponibilité des sources de données.
  • Choisir des données représentatives et diversifiées.
  • Maîtriser le nombre d’incidents (souvent symptomatique d’un manque de maîtrise du SI).
  • Réduire le nombre de faux positifs par l’adaptation des règles.
  • Ancrer la supervision dans un fonctionnement collaboratif avec son écosystème.
  • Enjeux Techniques : Être constant, rester aligné avec l’évolution du SI, être flexible face aux variations de charge, maintenir l’expertise et anticiper les effets de seuil sur les performances des outils.
  • Enjeux Juridiques : La « journalisation » est une mesure de sécurité recommandée ou imposée par divers cadres réglementaires (RGPD, NIS, LPM, PSSIE, etc.). Le SI de supervision lui-même est encadré par le RGPD s’il traite des données personnelles, visant à équilibrer sécurité et protection de la vie privée.
  • Enjeux Cyber : La supervision participe à la défense des SI, mais son propre SI doit être défendu. Le SI de supervision peut constituer une porte d’entrée supplémentaire pour un attaquant s’il est compromis.
  • Sécurité du SI de supervision : Doit être défendu comme tout SI, y compris par sa propre supervision.
  • Le SI de supervision comme brique de sécurité : Cible d’intérêt pour les attaquants pour rester persistant.
  • Lien entre le SI de supervision et le SI supervisé : Nécessité de maîtriser les risques de propagation (confidentialité, intégrité, disponibilité). Un SI de supervision externalisé et mutualisé peut devenir une cible de choix.
  • Supervision de sécurité mutualisée : Présente des besoins antagonistes de cloisonnement (maîtrise de la propagation des risques, confidentialité des règles) et de mutualisation (amélioration de la pertinence, optimisation des ressources). La sécurisation exige des compromis.
  • Logique de sécurisation : Le SI de supervision doit être structuré en zones de sécurité (défense en profondeur), une analyse de risque formelle est nécessaire, et une stratégie de supervision spécifique doit être conçue. Les besoins de sécurité d’une supervision mutualisée s’alignent sur les besoins les plus élevés des SI supervisés.

5. Recommandations Clés pour un Projet de Supervision de Sécurité

Les recommandations visent à optimiser l’effort de construction, en s’adaptant au contexte spécifique de chaque projet.

  • R1 : Acquérir de la connaissance sur le SI à superviser : Recueillir des informations sur les risques, technologies, architecture et vie du SI pour concevoir une stratégie de détection efficace.
  • R2 : Préparer le SI avant de le superviser : Élever le niveau de sécurité du SI supervisé à un seuil nominal (défense en profondeur, hygiène informatique) avant d’engager des ressources dans la supervision.
  • R3 : Commencer à superviser avec les moyens en place : Utiliser l’existant (antivirus, journalisation activée) pour un premier niveau de supervision, en limitant l’ajout de nouveaux moyens techniques pour éviter la dispersion des efforts.
  • R4 : Adopter une démarche ascendante et diversifier les données : Partir des sources de données disponibles et pertinentes, puis ajouter progressivement de nouvelles sources pour optimiser la couverture, la représentativité et les objectifs de supervision.
  • R5 : Porter un intérêt particulier aux postes de travail : Points faibles de nombreuses attaques. Assurer l’hygiène informatique, comprendre les alertes des systèmes de sécurité existants et envisager des solutions dédiées (EDR) pour une visibilité accrue.
  • R6 : Adopter une démarche frugale face au volume de données : Limiter le volume des données centralisées en recherchant l’activité malveillante spécifique, sélectionnant des sources pertinentes, adaptant le niveau de journalisation, filtrant les événements inutiles, agrégeant les événements apparentés et ajustant la période de rétention.
  • R7 : Avancer progressivement vers la maturité : Adopter une démarche « des petits pas » sur trois axes : initialisation progressive des processus (commençant par la connaissance du périmètre), implémentation graduelle des outils dédiés, et couverture successive des périmètres.
  • R8 : Mettre en cohérence les ressources avec les ambitions : Gérer judicieusement les ressources financières (budget moyen/long terme) et humaines (enrichissement progressif), avec des attentes opérationnelles réalistes.
  • R9 : Gérer l’incertitude : Reconnaître l’incertitude inhérente à la supervision (choix des sources, pertinence des règles) et mettre en place des mesures (exercices réguliers comme des tests de pénétration) pour vérifier la pertinence et l’efficacité de la détection.
  • R10 : Cultiver la confiance vis-à-vis des parties prenantes : Gagner la confiance par une répartition claire des rôles, une démarche transparente, une posture neutre et un partage régulier des progrès et indicateurs avec les autorités du SI supervisé.

Envie d’écouter un Podcast (balado) reprenant ce guide ?

Quiz

10 questions à réponse courte

La supervision de sécurité désigne l’ensemble des moyens et activités concourant à la détection et à la qualification rapides d’un incident de sécurité sur un périmètre supervisé, ainsi qu’au choix de la réaction appropriée lorsque l’incident est avéré. Ces moyens englobent les aspects humains, organisationnels, techniques et financiers.

La supervision informatique vise à détecter les anomalies techniques et anticiper les dysfonctionnements liés à l’exploitation normale d’un SI. En revanche, la supervision de sécurité se concentre sur les événements provoqués intentionnellement par une activité malveillante, incluant souvent des techniques de dissimulation.

Les vrais positifs indiquent que le système a correctement prédit la présence d’une activité malveillante. Les vrais négatifs signifient que le système a correctement prédit l’absence d’une activité malveillante. Les faux positifs désignent une prédiction incorrecte de la présence d’une activité malveillante (surcharge inutile des analystes), tandis que les faux négatifs représentent une activité malveillante non détectée (faillite du rôle du système).

Les données de supervision efficaces sont signifiantes (reflètent l’activité du SI), pertinentes (points de capture sensés pour la sécurité), diversifiées (multiples sources pour les pivots et corrélations), et enrichies (filtrées, contextualisées, agrégées pour une meilleure lisibilité).

La stratégie de supervision est un document interne élaboré par l’équipe de supervision de sécurité pour répondre concrètement à ses besoins. Elle décrit les objectifs, moyens, priorités et la trajectoire de la supervision, et sert d’outil de réflexion et de formalisation de son fonctionnement.

« Définition des attentes et des moyens » rassemble les activités de conception de la stratégie de détection. « Qualification et signalement des incidents » vise à vérifier la légitimité des alertes pour produire des incidents avérés. « Gestion du cycle de vie des règles de détection » consiste à ajouter, tester, adapter et maintenir les règles de détection.

La fatigue des alertes est un enjeu humain majeur, car le traitement répétitif de faux positifs très semblables peut entraîner une démotivation et un désintérêt chez les analystes. Cette fatigue mène à des analyses partielles et à une augmentation des incidents non détectés, même dans une supervision performante.

Les risques spécifiques liés à l’interconnexion incluent la propagation des risques : des atteintes à la confidentialité ou à l’intégrité du SI de supervision peuvent directement impacter le SI supervisé. De plus, les risques du SI supervisé ne doivent pas se répercuter sur la disponibilité ou la sécurité du SI de supervision.

Le SI de supervision doit être supervisé et défendu car il est sujet aux risques cyber classiques (utilisateurs, partenaires, vulnérabilités techniques) comme tout autre SI. De plus, en tant que brique de sécurité et cible d’intérêt pour les attaquants, sa compromission offrirait un avantage stratégique à ces derniers et pourrait servir de point de rebond.

La recommandation clé est de préparer le SI avant de le superviser en élevant son niveau de sécurité à un seuil nominal. Tenter de superviser un SI non conforme aux principes de défense en profondeur ou d’hygiène informatique est une perte de temps et d’argent, qui serait mieux investie dans l’amélioration préalable du SI.

Glossaire des termes clés

  • ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) : L’agence française de référence en matière de cybersécurité, auteure du document source.
  • Analystes : L’équipe humaine au cœur de la supervision de sécurité, responsable de la vérification, de la qualification des incidents, et du soutien aux divers processus.
  • Capteurs : Dispositifs disséminés sur le périmètre supervisé qui analysent localement des activités du SI (réseau, système, applicative, utilisateur) et émettent des alertes.
  • Cartographie du SI : Représentation documentée du système d’information, essentielle pour la connaissance du périmètre supervisé et l’analyse des risques.
  • Collecteurs : Composants du SI de supervision chargés d’acheminer les événements (ex: journaux d’activité) depuis le périmètre supervisé vers la partie centralisée, sans les altérer.
  • Cyber Threat Intelligence (CTI) / Renseignement sur la menace : Informations organisées et contextualisées sur les menaces cyber, les acteurs malveillants, leurs tactiques, techniques et procédures (TTP), utilisées pour enrichir la détection.
  • Écosystème de la supervision de sécurité : Ensemble des fonctions et entités internes (gouvernance, gestion opérationnelle des SI) et externes (renseignement sur la menace, réponse à incidents) avec lesquelles la supervision de sécurité interagit.
  • EDR (Endpoint Detection and Response) : Solution dédiée aux équipements terminaux (postes de travail, serveurs) offrant une visibilité riche sur leur activité pour détecter et répondre aux menaces.
  • Événement de sécurité : Fait significatif identifié à partir d’extraits d’activité du SI, qui peut indiquer une activité malveillante et nécessite une vérification par les analystes.
  • Faux positifs : Alertes générées par le système automatisé qui ne correspondent pas à une activité malveillante réelle, induisant une charge de travail inutile pour les analystes.
  • Faux négatifs : Activités malveillantes réelles qui ne sont pas détectées par le système automatisé, représentant une défaillance critique de la supervision.
  • Fatigue des alertes : Épuisement et démotivation des analystes résultant du traitement répétitif d’un grand nombre de faux positifs très semblables, augmentant le risque d’incidents non détectés.
  • Gouvernance : Fonctions décisionnelles de l’entité (comité exécutif, conseil de direction) qui définissent les orientations cyber et allouent les moyens à la supervision de sécurité.
  • Incident de sécurité : Événement avéré compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou des services d’un SI.
  • Indicateur de Compromission (IoC) : Éléments techniques (adresses IP, noms de domaine, hash de fichiers) qui signalent la présence d’une activité malveillante sur un SI.
  • Journalisation : Mesure de sécurité visant à tracer diverses activités sur un SI, centraliser, conserver et analyser ces traces dans un objectif d’adaptation du niveau de sécurité et d’imputabilité.
  • Licence Ouverte v2.0 (Etalab) : Régime juridique sous lequel le document de l’ANSSI est publié, permettant la réutilisation libre du contenu, y compris à des fins commerciales, sous réserve de mention de la paternité.
  • Matrice de confusion : Outil d’évaluation de l’efficacité d’un système de détection, classifiant les résultats en vrais positifs, vrais négatifs, faux positifs et faux négatifs.
  • Périmètre supervisé : L’ensemble des systèmes d’information, équipements, données et activités que la supervision de sécurité a pour mission de surveiller.
  • Politique de Sécurité des Systèmes d’Information (PSSI) : Document formalisant les orientations et les règles de sécurité définies par la gouvernance.
  • Processus métier (de supervision) : Activités récurrentes ou relationnelles essentielles à la supervision de sécurité, telles que la gestion du cycle de vie des règles ou la qualification des incidents.
  • Processus support (de supervision) : Activités techniques et organisationnelles qui soutiennent le fonctionnement de la supervision, comme la planification du périmètre technique ou l’exploitation du SI de supervision.
  • Règles de détection : Déclinaisons techniques de la stratégie de supervision, intégrées dans des systèmes automatisés, qui définissent les critères d’émission d’un événement de sécurité à partir des données collectées.
  • Règles de gestion : Formalisation des choix organisationnels et des procédures pour implémenter les processus métier de la supervision et la communication.
  • Réponse à incidents : Fonction chargée de définir et de mettre en œuvre les actions appropriées (techniques, remédiation, gestion de crise) suite à un incident de sécurité avéré.
  • SI de supervision : Le système d’information propre à la supervision de sécurité, comprenant les outils (collecteurs, capteurs, outil d’analyse, etc.) et l’infrastructure nécessaires à son fonctionnement.
  • SOC (Security Operations Center) : Centre de supervision de la sécurité, entité regroupant les moyens humains, organisationnels et techniques pour opérer la supervision de sécurité.
  • Stratégie de supervision : Document interne qui relie les objectifs de sécurité aux familles de données, aux points de collecte pertinents et aux règles de détection, précisant les moyens mobilisés.
  • Supervision de sécurité mutualisée : Configuration où la supervision est partagée entre plusieurs SI supervisés, posant des défis en termes de cloisonnement et d’optimisation des ressources.
  • Vrais positifs : Alertes générées par le système automatisé qui correspondent effectivement à une activité malveillante.
  • Vrais négatifs : Absence d’alerte lorsque aucune activité malveillante n’est présente.

Publications similaires