En direct de Toulouse. Employant 2 000 personnes, le site toulousain de la SSII Sopra-Steria constitue le deuxième plus important de l'entreprise en France après celui situé en Ile-de-France. C'est également sur ce site en région Occitanie - anciennement Midi-Pyrénées désormais fusionnée avec Languedoc-Roussillon - que la société de services a choisi d'installer son centre de sécurité opérationnel (SOC). Cette activité est montée en puissance avec l'accroissement des menaces et le renforcement des contraintes réglementaires, liées tant à la mise en oeuvre de la loi de programmation militaire qu'à la protection des opérateurs d'importance stratégique.

Alors que Sopra-Steria avait jusqu'en 2015 articulé son offre de services de sécurité managés sur des briques couvrant la gestion des risques et la détection des menaces couplées à de la réponse aux incidents (C-SIRT), la SSII a décidé d'aller plus loin. Notamment en arrivant à capitaliser sur les incidents, en anticipant les menaces à travers une capacité de détection adaptative et proactive, et non plus uniquement réactive. « Nous avons pris un virage il y a un peu plus d'un an », explique Antonin Hily, directeur exécutif du SOC toulousain de Sopra-Steria. « Avant, on empilait des strates de sécurité et on les utilisait de façon opérationnelle. Maintenant, on est en capacité de collecter du renseignement et c'est du SOC que vient l'intelligence ».

Sopra Steria

Vue d'ensemble du centre de commande du SOC de Sopra Steria à Toulouse. (crédit : Sopra Steria)

7 collaborateurs mobilisables 24/7

Pour y parvenir, la SSII a greffé plusieurs solutions complémentaires à son SOC en vue de doper ses capacités de surveillance des menaces. Outre IBM QRadar, AlienVault (SIEM), X-Force, RSA SecOps, FireEye iSight (gestion des menaces) et Outpost24 (gestion des vulnérabilités), depuis janvier dernier, le SOC toulousain de Sopra Steria a déployé la solution ThreatQuotient qui permet maintenant de comprendre les attaques et plus seulement de les repousser. « Nous collections 25 000 renseignements par jour », indique Antonin Hily. « ThreatQuotient est alimentée par des sources publiques et privées et travaille sur des librairies croisées avec d'autres renseignements. » Objectif : parvenir à comparer les méthodes et les périodes d'attaques, pour identifier celles qui sont les plus pernicieuses et lancées de façon ciblées par des pirates. Car les attaques les plus dangereuses ne sont pas forcément celles considérées comme étant les plus « bruyantes » affectant le plus grand nombre de postes et d'entreprises, mais au contraire celles plus « silencieuses », qui passent sous le radar des protections de sécurité traditionnelles. « La threat intelligence permet de surveiller les réseaux de botnets et de dire que la cible visée n'était pas au final celle que l'on croyait au départ », résume Antonin Hily.

Antonin Hily (Sopra Steria)

Antonin Hily, généticien en biologie moléculaire de formation, a pris ses fonctions en tant que directeur exécutif du SOC de Sopra Steria en mai 2016. (crédit : D.F.)

En tout, 150 personnes travaillent au SOC toulousain de Sopra-Steria, essentiellement pour des prestations dédiées pour des clients particuliers (aéronautique, bancaire...), sachant que 7 collaborateurs sont mobilisables en 24/7. Les équipes sont pluridisciplinaires, composées tout à la fois de spécialistes en gestion des risques, de pentesters, d'experts de la conformité réglementaire que de juristes en cyber legal. Une spécificité dont le directeur exécutif du SOC est fier : « Quand on fait de la surveillance, nos clients sont internationaux en Allemagne, Chine et Etats-Unis, il faut s'adapter aux différentes  législations », indique Antonin Hily. « Nous sommes les seuls en capacité d'avoir des juristes aux opérations qui nous a accompagnent sur tous les plans, identifient les risques, de la ségrégation des données jusqu'aux machines virtuelles et aux accès ».

En route vers la certification PASSI

Les auditeurs de Sopra-Steria du SOC toulousain sont qualifiés ISO 27001 et PASSI. Le suivi des audits, entièrement webisé, est réalisé sur la base d'un développement interne comme pour d'autres solutions internes tel que l'outil de hack de mots de passe. Concernant les tests d'audits sécurité, ces derniers sont réalisés pour vérifier que chaque chaîne organisationnelle de la sécurité est bien calée. « Cela permet d'éviter les mauvaises surprises comme un câble manquant chez le client ou de venir chez le client avec des CD alors que celui-ci ne dispose d'aucun poste pour les lire », raconte Antonin Hily. Concernant les audits de conformité, chaque semaine, 2,6 millions d'entrées annuaire sont remontées, ainsi que des informations émanant de 100 000 postes, 15 000 serveurs, 3 000 bases de données... Au sein du SOC toulousain, on trouve également une équipe spécialisée en neuroscience en et classification des données à grande échelle.

Au sein du SOC, les allées et venues sont particulièrement contrôlées. La sécurité monte d'un cran à l'approche des salles dédiées à la cybersurveillance des clients grands comptes et OIV. L'accès biométrique est requis. L'obtention de la certification PDIS (détection d'incidents de sécurité), décernée par l'ANSSI, est en cours pour Sopra-Steria qui espère l'obtenir dans les prochains mois. La pièce clé-du SOC toulousain de la SSII demeure sans aucun doute la salle du centre de commande cybersécurité où sont regroupés une vingtaine d'analystes. Avec une originalité organisationnelle liée au partage de connaissance entre experts : « Tous sont là pour apprendre les uns des autres, il n'y a pas d'escalade entre les analystes de niveau 1, 2 et 3. Un problème pris en charge par un niveau 1 sera terminé par un niveau 1 qui s'appuiera sur des analystes de niveau 2 et 3 », poursuit Antonin Hily. Un écran mural permet de rendre compte des incidents globaux rencontrés par les clients de Sopra-Steria, sachant qu'il est possible de mettre en gros plan un incident en particulier afin de faire cogiter les analystes ensemble sur un même problème. « Notre threat intelligence est alimentée par des renseignements géopolitiques, techniques et économiques et de vulnérabilités en temps réel. Les analystes, en fonction de ce qu'ils voient, identifient les façons d'agir des cybergroupes et l'imbrication des scénarios d'agissements », détaille Antonin Hily. 

Sopra Steria

Sopra Steria a été l'un des premiers beta testeurs en France de la solution Watson for Security d'IBM. (crédit : Sopra Steria)

Pour aider les analystes à gagner du temps et identifier les véritables points d'entrée des cybermenaces les plus virulentes et destructrices, Sopra Steria a choisi d'adosser à son SIEM QRadar une autre solution d'IBM, Watson for Security. Avec pour principal bénéfice un gain de temps très appréciable pour les analystes, permettant de leur faire gagner du temps sur la découverte de probabilités des chemins et corrélations de menaces. « Nos analystes mettrait peut-être 4 ou 5 heures à investiguer alors qu'il faut 15 minutes à Watson pour arriver au même résultat », fait savoir Antonin Hily. « L'apport de l'intelligence artificielle et de la threat intelligence permet de voir et de comprendre quelque chose que l'on ne surveille pas et d'y voir autre chose qu'un incident de faible valeur ».