La mise en place d’un dispositif de détection (SOC) a pour but de structurer et rendre (un minimum) déterministe le processus de détection. En effet, si on souhaite utiliser la détection comme un moyen de maîtrise de ses risques cyber, on doit assurer une certaine performance de ce moyen. On cherche alors à tout prix à éviter le “faux négatif”, l’attaque qu’on devait voir et qu’on a ratée malgré des équipes et des budgets significatifs - jamais facile à expliquer au management…
Cette performance va porter sur différents aspects plus ou moins mesurables :
1- la couverture de l’environnement : est-ce que j’ai en visibilité l’ensemble de mon SI ?
2- la couverture des scénarii redoutés : ai-je conçu des alertes sur l’ensemble des évènements qui doivent être observés ?
3- la qualité des opérations : mon dispositif a t’il le comportement attendu à chaque fois que les évènements redoutés se produisent?
Si ces trois critères sont remplis, si nos processus sont rigoureux, on devrait détecter tout ce qu’on s’attend à détecter…
Mais la réalité est différente : même dans des SOCs aux processus parfaitement rodés, la part de l’analyse humaine reste prépondérante. Au cœur de l’arbre de décision, les phases de qualification reposent principalement sur une interprétation par l’analyste de faiseaux d’indices. Une mauvaise compréhension, un manque d’expérience et de flair, et on risque de considérer une vraie attaque comme un faux positif. L’humain est donc un facteur déterminant.
Toutefois, à l’opposé, on peut aussi voir des équipes peu organisées, mais qui s’en sortent au talent, en n’ayant que des ressources expérimentées. C’est toutefois inconfortable (l’effort n’est pas mesuré et donc valorisé), et le risque de raté subsiste sur le temps long sans le filet de sécurité qu’apporterait, en partie, un processus piloté.
Pour un SOC performant, la rigueur de suivi des processus n’est donc pas négociable. C’est elle qui améliore le déterminisme du dispositif. On peut la valider via une qualification (PDIS) ou une revue papier. Mais même si une détection à 100% est évidemment impossible, c’est par la qualité des analystes qu’on mettra un maximum de chances de son côte. Et malheureusement, avoir de l’assurance sur ce critère reste un challenge. Seul un test periodique d’efficacité de bout en bout peut permettre de démontrer le maintien au niveau attendu.
Mentions légales