Depuis quelques années, de plus en plus d’équipes «CERT» ou «CSIRT» voient le jour en France. Toutes ces équipes ne réalisent pas exactement les mêmes activités, n’agissent pas sur les mêmes périmètres et ont, par conséquent, des métiers différents bien que toujours orientés vers la défense du Système d’Information.
Nous vous proposons de rencontrer deux responsables de CERT très différents l’un de l’autre : Patrick BREHIN, responsable du CERT-Areva, et Jean-Philippe TEISSIER, responsable du CERT-Société Générale.
Quelles sont les activités menées par votre CERT, et comment les organisez-vous ?
Patrick BREHIN (CERT-Areva) : Nous menons trois activités principales au sein de notre CERT :
- Supervision de sécurité : détection de comportements anormaux et à risques pour le Système d’Information, notamment au travers du pilotage du SOC.
- Gestion des crises SSI.
- Veille cyber-menace. Notre veille aide à définir les priorités en termes de détection ainsi qu’à communiquer en interne sur les menaces actuelles.
Les activités de détection assurées par le SOC et l’équipe de réaction sont en 24/7.
Jean-Philippe TEISSIER (CERT-SG) : Le CERT Société Générale assure des activités de veille, de détection et de réaction.
Tout d’abord, nous sommes les yeux et les oreilles du Groupe Société Générale sur Internet. Notre mission est de détecter au plus tôt les menaces qui ciblent le Groupe et ses clients. Ensuite, lorsqu’un incident survient, nous avons la responsabilité partielle ou complète de sa résolution. Nous mettons alors en oeuvre tous les différents savoirs faire de l’équipe (analyse de log, analyse inforensique, analyse de code malveillant, coordination voire gestion de crise). Enfin, nous fournissons une veille sécurité (actualités, menaces et vulnérabilités) à l’ensemble du Groupe.
La lutte contre la cybercriminalité est l’affaire de tous. Cela nécessite des moyens et une collaboration importante avec l’extérieur du Groupe. Pour un établissement bancaire cela va de soi et c’est un message audible et pris en compte par la Direction Générale qui est très impliquée sur ce sujet.
Quelle est la taille de votre équipe ?
Patrick BREHIN (CERT-Areva) : Notre équipe complète est composée d’un peu plus de dix personnes réparties entre :
- notre AMOA de proximité ;
- notre équipe de détection ;
- notre équipe de réaction.
Jean-Philippe TEISSIER (CERT-SG) : L’équipe est composée de six "incident handlers", aussi appelés analystes. Elle est en croissance constante depuis sa création il y a bientôt dix ans.
Nous partageons pleinement les valeurs du Groupe :
- l’esprit d’équipe : chaque membre de l’équipe sait qu’il peut compter sur les autres sans limite, chacun est plus ou moins spécialisé dans un domaine, et c’est l’ensemble qui fait la force de l’équipe. Nous apportons notre aide à toute entité qui nous sollicite dans le Groupe ;
- l’innovation : nos activités de R&D sont le support essentiel à notre activité ;
- la responsabilité : la nature même des sujets que nous traitons demande une déontologie et un sens des responsabilités très fort ;
- l’engagement : nous sommes un centre de service pour nos partenaires internes et nous nous engageons pour eux au quotidien afin de les aider le plus rapidement et le plus simplement possible, de jour comme de nuit.
Enfin, même si nous avons une forte activité de R&D une certaine partie de nos moyens de détection ou de mitigation sont externalisés. Il faut savoir identifier les activités où cela a du sens de faire appel à des fournisseurs externes spécialisés qui mutualisent la R&D et les coûts de fonctionnement. La proportion dépend de chaque entité.
Quelle répartition entre les activités de BUILD et celles de RUN ?
Patrick BREHIN (CERT-Areva) : Notre activité principale de surveillance est répartie comme suit :
- BUILD (20%) : le CERT-Areva définit les besoins et les cibles de supervision, ainsi que les règles de détection. J’ai un fort besoin de maîtriser le périmètre de supervision.
- RUN (80%) : il s’agit de l’activité principale du CERT-Areva, elle contient les phases de collecte, de détection et de réaction.
Jean-Philippe TEISSIER (CERT-SG) : Nous consacrons près de 30% de notre charge de travail au BUILD et le reste au RUN.
Nous évoluons dans un domaine peu mature et dans lequel les technologies changent très rapidement. Cela nous demande une capacité d’adaptation très importante qui passe par des phases de BUILD dont les développements peuvent être soit ponctuels (de quelques heures à quelques jours) soit quasi récurrents.
Quels sont vos sujets prioritaires pour l’année à venir ?
Patrick BREHIN (CERT-Areva) : Les grands sujets prioritaires pour le CERT-Areva sont l’extension de la supervision des SI Industriels et l’amélioration continue de nos objectifs de supervision de sécurité au regard de la menace pour Areva.
Jean-Philippe TEISSIER (CERT-SG) : Le renseignement sur les menaces (threat intelligence) est pour nous le sujet prioritaire.
En revanche notre objectif n’est pas d’acheter tous les « feeds » techniques spécialisés qui existent. Nous réfléchissons au sujet en profondeur, de la définition même du sujet aux livrables techniques, opérationnels ou stratégiques que nous produisons. Nous n’y réfléchissons pas seuls mais en collaboration avec d’autres équipes de type CERT.
Nous travaillons également à l’industrialisation de nos systèmes afin d’optimiser au mieux leur utilisation par l’ensemble des équipes internes avec lesquelles nous sommes en contact.
Sur quels types de projets développez-vous en interne ?
Patrick BREHIN (CERT-Areva) : Les projets que nous développons en interne nous servent à assurer la maîtrise du périmètre supervisé et des objectifs de détection avec entre autres une formalisation des objectifs de détection.
Concrètement, il s’agit de :
- Maîtriser la nature et l’information présentée par les évènements collectés.
- Définir et décrire les règles de détection que l’on souhaite mettre en oeuvre en commençant par décrire fonctionnement le comportement recherché (ce qu’on cherche à détecter) ; et ensuite en les décrivant techniquement : quel(s) évènement(s) analysé(s) et de quelle manière.
- Décliner opérationnellement ces règles par contexte d’application.
L’objectif de l’outil : être à tout moment capable de savoir ce qui est et ce qui n’est pas supervisé. L’objectif complémentaire est de se doter d’une capacité de contrôler l’efficacité et le périmètre d’application des règles de supervision.
Jean-Philippe TEISSIER (CERT-SG) : Jusqu’à 30% de notre temps est dédié à la R&D, que ce soit pour le développement d’outils modestes et tactiques, ou pour le développement de nos plateformes plus importantes d’analyse de code malveillants, de renseignement sur les menaces ou de gestion d’incidents.
Nous ne réinventons pas ce qui existe déjà mais nous nous assurons d’avoir un écosystème d’outils cohérents et qui préserve notre temps pour se consacrer aux vraies problématiques.
Nous nous inscrivons depuis des années dans une démarque de partage avec nos homologues et certains de nos outils sont libres et disponibles sur Github (https://github.com/certsocietegenerale/).
Comment échangez-vous avec les différentes entités métiers et techniques de votre groupe ?
Patrick BREHIN (CERT-Areva) : Le métier et les objectifs du CERT-Areva sont présentés aux interlocuteurs métiers et projets BUILD et RUN, notamment les démarches de supervision mises en oeuvre.
Le CERT-Areva est le référent de la DSI pour tout ce qui est supervision / détection et alertes. Nous travaillons avec toutes les équipes projets lors des phases de BUILD. Le rôle du CERT-Areva est d’aider à définir le besoin et la cible de supervision et s’assurer qu’elle est bien atteinte.
Les missions du CERT-Areva sont reconnues : il y a des campagnes de communication interne régulières et les missions du CERT-Areva sont intégrées dans les formations sécurité internes du Groupe.
Jean-Philippe TEISSIER (CERT-SG) : Nous avons des relations très directes avec nos différentes entités. Le CERT Société Générale est une structure de niveau Groupe, ce qui nous permet de nous adresser à toutes nos entités sans barrière organisationnelle trop contraignante.
Nous avons tissé des liens étroits avec les équipes sécurité ou fraude de nos entités au fil des années et nous nous adaptons à chaque métier. Cela nous permet de travailler efficacement avec chacune d’entre elles en respectant leurs contraintes propres. C’est un effort permanent dans une structure de la taille de notre Groupe mais c’est la clé d’une coopération efficace.
Nous sommes régulièrement sollicités par notre département de l’Innovation. Nous dépendons de la même direction. Notre présence relativement précoce sur les réseaux sociaux, nos activités de R&D et notre activité sur un sujet en constante évolution font du CERT un bon candidat aux expérimentations. C’est un axe que nous continuerons de développer dans les années à venir afin que la filière SSI s’inscrive encore plus fortement dans la démarche d’innovation et de transformation digitale du Groupe.
Enfin, aujourd’hui nous avons plusieurs SOC (ou équivalent) au sein du Groupe dans différents pays. Le CERT préexistait à leurs créations.
Nous nous positionnons à la fois comme fournisseur de solutions (qualification d’outils ou procédures, renseignement sur les menaces) et comme experts afin de les aider dans la qualification et la résolution des incidents.
Notre positionnement de niveau Groupe nous permet notamment d’agir comme un centre de « fusion de données » afin que tous les SOC profitent des renseignements émanant des autres entités. Nous attendons d’eux qu’ils démultiplient les capacités de détections et les actions de remédiation industrialisables.
Il est primordial pour moi que le CERT et le ou les SOC travaillent en étroite collaboration et nous avons des échanges quotidiens avec les différentes équipes. Un CERT sans SOC(s) est souvent trop peu informé de la situation sur son système d’information et l’efficacité des SOC(s) sans CERT est souvent décriée.
Quels liens entretenez-vous avec les autres équipes CERT/CSIRT et entités externes ?
Patrick BREHIN (CERT-Areva) :Évidemment, nous discutons avec l’ANSSI ! Néanmoins, aujourd’hui nous ne discutons pas suffisamment avec nos homologues, mais nous sommes clairement preneurs de contacts et tout à fait prêts à échanger avec nos pairs !
Jean-Philippe TEISSIER (CERT-SG) : C’est dans la nature même des CERT que d’échanger. Les sujets que nous traitons demandent néanmoins de la discrétion et il faut savoir respecter les règles du jeu.
Nous avons des liens très étroits avec nos homologues, notamment avec les entités du secteur bancaire en France comme à l’international, avec lesquelles nous échangeons au quotidien. C’est une activité à part entière que de tisser et maintenir des relations de confiance avec les bonnes équipes.
Quid des relations avec vos filiales internationales et des relations avec les organismes internationaux ?
Patrick BREHIN (CERT-Areva) : Le CERT-Areva a une portée mondiale : tout le traitement des incidents est dévolu en central au CERT-Areva et des correspondants SSI sont utilisés.
Nous tentons chaque fois que possible de mettre en place des liens de communications avec nos partenaires, fournisseurs et clients de CERT à CERT quand ils existent, ou à minima avec des équipes de réaction sur incident même non officialisé. L’objectif est de mettre en place des circuits de communication rapide en cas de découverte d’un évènement de sécurité par une des parties qui pourrait affecter l’autre partie. Ce type de circuit est en général assez difficile à mettre en place, notamment par manque d’équipe dédiée et surtout par la peur de communiquer de tels évènements s’ils ont lieu.
Jean-Philippe TEISSIER (CERT-SG) : Société Générale est présent dans 76 pays dans le monde et 25% des incidents que nous gérons sont pour les entités internationales. Toutes les entités internationales ne sont pas exposées au même modèle de menaces. Comme indiqué précédemment (au delà de la gestion d’incidents et des analyses que nous réalisons au cas par cas) nous mettons l’accent sur l’agrégation et la redistribution d’informations qualifiées entre nos entités. Si les grands Groupes peuvent parfois souffrir de leur taille, c’est dans le cas présent un atout dont nous profitons.
Nous n’avons que peu de relations directes avec les CERT nationaux étrangers. Nos entités locales nous remontent néanmoins les informations qu’elles sont autorisées à partager. Nous pouvons toujours faire appel aux CERT nationaux étrangers pour appuyer nos demandes sur des acteurs locaux.
À qui reportez-vous vos activités ?
Patrick BREHIN (CERT-Areva) : Le CERT-Areva reporte directement au DSI et au RSSI du Groupe Areva. Les objectifs du CERT-Areva sont définis par le responsable du CERT-Areva et validés par les personnes citées précédemment.
Jean-Philippe TEISSIER (CERT-SG) : Le CERT reporte directement au RSSI-Groupe, la tête de filière SSI du Groupe, et intervient en son nom. C’est l’ensemble des RSSI des lignes business et des directions centrales qui fixent les objectifs du CERT et qui valident son budget de fonctionnement.
Un dernier mot ?
Patrick BREHIN (CERT-Areva) : Formalisons et partageons !
Clairement, aujourd’hui, il est nécessaire d’avoir une meilleure maîtrise et de disposer d’une vue exhaustive de ce que nous surveillons, afin de pouvoir s’améliorer dans le temps et de partager entre pairs.
Jean-Philippe TEISSIER (CERT-SG) : Optimisme. Nous avons en France un pool d’expertise important en cyber-sécurité et le nombre d’équipes de gestion d’incidents est en très forte augmentation depuis deux ans. C’est très encourageant et nous n’avons pas à rougir de notre capacité de protection au niveau national. L’intensification des contacts entre les équipes et le passage à l’échelle des échanges opérationnels sont pour moi les deux sujets principaux que les CERT doivent traiter rapidement. Cela permettra d’augmenter significativement notre résilience globale.