Close
  • Français
  • English

Collaboration et partage cyber, comment fluidifier le travail des SOC

Une équipe cyber efficace, c’est une équipe dont les membres peuvent bien collaborer. Avec des milliers d’alertes à traiter rapidement, les SOC ne font pas exception. Comprendre le fonctionnement des alertes, des échanges et les informations importantes est une clé pour améliorer le processus global.

Dans un SOC, le niveau 1 s’occupe de filtrer les faux positifs des alertes remontées par les systèmes de détection et de traiter les les cas connus et simples d’incidents. Les niveaux 2 et 3 vont eux devoir analyser, comprendre et évaluer la menace. Dans les petits SOC, ces rôles ne sont pas aussi définis.

Le contexte entourant une alerte doit être bien transmis lors d’une résolution d’incident pour réagir rapidement et efficacement. Sa conservation ouvre aussi la possibilité d’une meilleure prévention à travers la construction d’une connaissance d’équipe essentielle.

Difficulté de partage dans l’équipe

En pratique, chaque passage de relais implique une perte d’information, causant des incompréhensions et de la difficulté à construire l’image globale. Cette perte est liée aux nombreux types d’informations (source, machines touchées, pistes explorées, historique, etc.) à collecter à différents endroits.

La gestion de la charge de travail des experts est une problématique supplémentaire : qui contacter et par quel moyen ? Comment communiquer en répartissant la charge entre les analystes ? Sur le terrain, nous voyons parfois une approche top-down, où le manager répartit directement le travail.

Difficulté de partage inter-équipes

En plus de la difficulté à partager des informations dans l’équipe, il est parfois nécessaire de partager ces informations avec des entités externes.

Par exemple, dans nos retours, nous identifions à plusieurs reprises un modèle hybride d’organisation des SOC : les niveau 1 et 2 sont fait par une entité (parfois un prestataire) et le niveau 3 est géré en interne. Dans une version cyber du dilemme du prisonnier, le partage d’informations vers l’extérieur bénéficie à tous et toutes, mais se révèle compliqué de part la nature sensible des informations (réputation, mais parfois aussi légal) et la culture du secret ancrée dans le domaine.

Outils essentiels pour partager

Dans de telles situations les réunions informelles reposant sur le contact humain (parfois autour de la machine à café) sont essentielles, mais le bouche à oreille déforme les informations et entrave la création de connaissance d’équipe.
Sans parler de solution SOAR (encore peu déployée sur le terrain), un expert peut avoir un outil de case management tel Jira, l’email, les documents, les rapports, les messagerie instantanée, le téléphone, etc.

“On pourrait alors penser que le recours à plusieurs solutions de protection les aiderait dans leur tâche. Mais en réalité, la multiplication des outils participe également au développement du stress au quotidien. 79% des responsables interrogés estiment en effet avoir trop de produits ou de fournisseurs de cybersécurité à gérer. Et un tiers d’entre eux considèrent que les alertes, prévues pour faciliter leur travail, s’avèrent en réalité trop nombreuses et trop difficiles à absorber.” Etude, les responsables de la sécurité informatique croulent sous le stress et la pression – clubic.com

On ajoute à cela des outils avec des interfaces inadaptées. Ces outils peuvent avoir des standards pour communiquer entre eux mais sont souvent peu interopérables, ajoutant une complexité superflue pour bien communiquer la situation. Ainsi, nos retours mettent en avant l’utilisation de deux outils en parallèle pour gérer les dossiers : un outil avec des champs très structurés, et un autre plus libre, permettant de gérer l’ajout d’images et du texte libre.

Autre problématique soulevée par nos retours : l’accès aux informations de réseaux isolés. Les remontées d’alertes et l’accès aux logs sur ces réseaux sont plus difficiles.

La technologie au cœur du problème

Pour faciliter la fédération et la collaboration des équipes, une nouvelle génération d’outils doit se centrer autour des besoins utilisateurs pour les accompagner plutôt que d’imposer des processus automatisés inadaptés et parfois plus chronophages.

Ces outils doivent adopter des standards qui donnent aux équipes un langage commun et un point d’entente. Des modèles de données tels que ECS permettent d’uniformiser les logs et des approches comme MITRE ATT&CK sont de plus en plus adoptées pour décrire et partager les incidents.

Alors que la tendance a été d’entraîner des algorithmes à reconnaître seuls les attaques, ces boîtes noires rendent difficile l’étape d’explication primordiale en cybersécurité. La meilleure approche est de continuer à se centrer sur l’analyste expert, pour mieux suivre son parcours, apprendre à reconnaître ses stratégies et anticiper ses besoins pour l’accompagner.

Cette nouvelle approche, combinée à des méthodes de dataviz riches, permet d’enrichir, de mieux comprendre et de mieux expliquer le contexte. L’effet direct est une meilleure communication, une collaboration plus efficace et des réponses plus rapides aux incidents.