D’après l’étude Ponemon 2018 sur la cybersécurité, le coût des brèches de sécurité a augmenté de 35% en France entre 2017 et 2018 contre 6,6% à l’échelle mondiale. Or, 49% des entreprises mondiales ne disposent pas d’un Security Operations Center (SOC) pour détecter les incidents de sécurité. Face à l’augmentation de la menace, la France s’est dotée d’un cadre réglementaire pour renforcer les capacités de détection des entreprises et des administrations. Si la cybersécurité est un enjeu essentiel pour les entreprises françaises, elle est d’une priorité absolue pour les Opérateurs d’Importance Vitale dont l’activité est indispensable au bon fonctionnement et à la survie de la Nation.
Cet été, une cyberattaque de type ransomware a paralysé les serveurs d’infrastructures et de messagerie de quelque
120 établissements de santé français pendant plusieurs jours. C’est pour empêcher ce type de situation que la Loi de Programmation Militaire 2014-2019 oblige notamment les Opérateurs d’Importance Vitale à mettre en place une sonde de détection et un système de corrélation des événements de sécurité pour sécuriser leurs Systèmes d’Information d’Importance Vitale. Ce dispositif consiste à se doter d’un Security Operations Center (SOC) en suivant le modèle du référentiel Prestataire de Détection des Incidents de Sécurité (PDIS) mis en place par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Les opérateurs doivent donc déployer un SOC PDIS : pour quelle réalité opérationnelle et à quels coûts ?
Le référentiel PDIS
La Loi de Programmation Militaire impose aux Opérateurs d’Importance Vitale de mettre en place un système de détection des incidents de sécurité et de notifier ces incidents à l’ANSSI. Les arrêtés sectoriels qui en sont issus fixent notamment les règles de sécurité suivantes :
- La journalisation et le stockage des événements de sécurité des Systèmes d’Information d’Importance Vitale (règle n°5),
- La corrélation et l’analyse des événements journalisés afin de détecter des événements susceptibles d'affecter la sécurité des Systèmes d’Information d’Importance Vitale en s’appuyant sur le référentiel PDIS (règle n°6), ce qui implique le déploiement d’un Security Incident Event Manager (SIEM),
- La mise en place d’une sonde qualifiée exploitée par un acteur qualifié PDIS (règle n°7).
Dans ce contexte et afin de renforcer les capacités de détection de ces opérateurs, l’ANSSI a mis en place le référentiel PDIS qui définit les exigences organisationnelles, techniques et humaines pour effectuer un service de détection efficace et sécurisé au sein d’un SOC. Le respect de ce référentiel est nécessaire pour sa mise en place afin de superviser la sécurité de Systèmes d’Information d’Importance Vitale. La qualification PDIS est accordée à un service de SOC qui a fait l’objet d’une évaluation approfondie de sa conformité au référentiel.
Pour les Opérateurs d’Importance Vitale, le référentiel PDIS est d’abord perçu comme une contrainte, à raison. La mise en conformité est en effet une obligation : en cas de non-respect d’une règle, l’opérateur pourra être mis en demeure d’appliquer la règle concernée. En derniers recours, l’article L.1332-7 du code la défense prévoit une amende de 150 000 euros pour les personnes physiques et une amende pouvant s’élever à 750 000 euros pour les personnes morales.
Par ailleurs, les contraintes opérationnelles et l’investissement financier liés à la création et à la mise en œuvre d’un SOC PDIS rendent difficile sa propre qualification pour un opérateur bien que cela reste une option possible. C’est pourquoi la grande majorité d’entre eux font appel à des prestataires industriels qualifiés qui ont déjà fait cet investissement et sont en capacité de l’amortir sur plusieurs SOC PDIS.
Le premier avantage d’un SOC PDIS est donc tout simplement le respect de la Loi de Programmation Militaire. Mais le bénéfice essentiel de sa mise en place est bien le haut niveau de sécurité du service : il garantit la confidentialité des informations, la résistance aux attaques par rebond et la disponibilité du service même en cas d’attaque de grande ampleur. D’ailleurs, il permet aussi une meilleure anticipation des attaques grâce à des canaux d’échanges spécifiques sur l’état de la menace avec l’ANSSI.
Réalité économique et opérationnelle des scénarios de mise en conformité
Si les arrêtés sectoriels de la Loi de Programmation Militaire laissent le choix à l’opérateur de mettre en place son SOC en interne ou de l’externaliser, l’exploitation de la sonde qualifiée doit nécessairement être exploitée au sein d’un service de détection qualifié PDIS.
Dans tous les cas, la mise en place d’un service de détection qualifié nécessite le déploiement d’une infrastructure nécessaire aux interactions entre le service de détection et son client (enclave de collecte, zone d’échange et postes de consultation PDIS pour accéder au ticketing et au portail de reporting). Il en est de même pour la construction d’un service (collecte/capture, analyse et notification des incidents) respectant le référentiel. Ce ticket d’entrée PDIS représente un net surcoût par rapport à un SOC standard.
De ce socle, l’Opérateur d’Importance Vitale peut déployer un Security Incident Event Manager et/ou une sonde qualifiée pour assurer sa mise en conformité aux règles n°5, 6 et 7 de l’arrêté sectoriel. On retrouve communément 3 types de scénarios :
1. La mise en place de sondes souveraines
Le déploiement d’une sonde qualifiée ne revient pas à la seule acquisition de la sonde. La mise en place du socle PDIS mentionné plus haut et l’intégration de la sonde représentent un investissement important, sans compter son exploitation. L’avantage de ce scénario est de venir en complément d’un SOC, interne ou externe, déjà existant. D’un point de vue financier, l’investissement est limité au strict minimum requis (règle n°7).
2. La mise en place d’un SOC PDIS avec une sonde souveraine et un SIEM
Sa mise en place implique, sur la base du scénario précédent, de déployer également un Security Incident Event Manager (SIEM), à savoir la mise en place d’un collecteur de logs, d’un stockage des logs, des règles de détection et des processus de gestion afin de couvrir également la règle n°6. Le coût d’intégration de ce dernier et de la sonde devrait être légèrement inférieur à celui de l’exploitation annuelle du SOC et de la sonde PDIS. Leur intégration par un PDIS externe permet de mutualiser la mise en place de la plateforme PDIS. Concernant le cas des PME/ETI, le coût du ticket d’entrée et la taille réduite des équipes sécurité nécessite le recours à l’externalisation.
3. Le choix du SOC hybride
Les opérateurs grands comptes qui disposent déjà d’un SOC peuvent adopter une approche hybride en en utilisant deux : l’un PDIS pour les Systèmes d’Information d’Importance Vitale et l’autre non-PDIS pour le reste du périmètre. Conserver un SOC non-PDIS permet d’interconnecter ses SI et de mettre en œuvre des technologies nécessitant des connexions synchrones avec l’extérieur comme l’IA par exemple. Au-delà de l’évidente économie des coûts d’exploitation – 10 à 15% plus élevés pour un SOC PDIS – c’est donc aussi pour des raisons opérationnelles et métier que l’on peut recommander ce choix d’hybridation.
Toutefois, pour les opérateurs dont le périmètre de supervision est inférieur à 20 000 événements de sécurité par seconde et pour lesquels la sécurité du service est une priorité, l’intégration de l’ensemble de son périmètre SOC dans PDIS est une solution optimale de protection.
Optimiser son investissement dans un SOC PDIS :
Investir dans un SOC PDIS est une obligation qui comporte des coûts financiers incompressibles : acquisition de matériel, création d’un réseau spécifique, coût de la qualification… L’externalisation permet de mutualiser la plateforme d’infrastructure PDIS avec d’autres acteurs, de réduire l’investissement associé et de bénéficier des processus industriels optimisés du prestataire. C’est aussi opter pour une adaptation constante de son SOC PDIS aux nouvelles exigences en matière de cybersécurité.
Pour limiter les coûts, il est important de bien définir le périmètre selon la quantité de Systèmes d’Information d’Importance Vitale. Ce périmètre peut dans un premier temps être limité à l’essentiel, avant d’évoluer en fonction des besoins.
La sonde qualifiée, qui a pour rôle de détecter les menaces dans les flux des Systèmes d’Information d’Importance Vitale, est généralement acquise par les opérateurs eux-mêmes. Toutefois, pour ceux qui en ont peu à surveiller, la location de la sonde auprès du PDIS qui l’exploite peut constituer un autre levier d’optimisation.
Le SOC PDIS est donc aujourd’hui un vrai enjeu pour les Opérateurs d’Importance Vitale, que ce soit pour respecter la Loi de Programmation Militaire ou pour protéger leur Systèmes d’Information d’Importance Vitale des cyberattaques. Son externalisation est une solution efficace pour être en conformité avec le référentiel, disposer des meilleures pratiques de détection, contrôler ses coûts et bénéficier de toute l’expérience opérationnelle, l’expertise technique et la compétence humaine d’un opérateur industriel de SOC.
Découvrez-en plus sur notre offre Cybersécurité