La cybersécurité est aujourd’hui une question de survie pour les entreprises. Entre les attaques sur la supply-chain des grandes organisations qui compromettent les partenariats et les ransomwares qui paralysent l’activité et détruisent le patrimoine informationnel, toute entreprise se doit aujourd’hui d’avoir son équipe cybersécurité. Mais comment l’assembler ?

Par Jérôme Soyer, Directeur Avant-Ventes Varonis pour l’Europe de l’Ouest

Contrairement aux apparences, bâtir une solide équipe de cybersécurité en interne n’est pas un luxe. Car même si de nombreuses compétences sont « à louer » chez les cabinets de conseil en sécurité, en cas de crise ces derniers s’appuient malgré tout fortement sur les capacités internes de leur client. Et sans véritable maîtrise de la cybersécurité, non seulement les consultants externes ne pourront aller aussi loin qu’ils le voudraient, mais surtout, l’entreprise n’aura pas de vision continue et de protection constante. Et puis, on n’est jamais mieux servi que par soi-même !

La base : un leader fort

Le premier élément à recruter sera un leader fort, avec une expérience pratique et concrète de la sécurité opérationnelle (responsable ou directeur de SOC, de CERT ou d’équipe de réponse à incident). Il ne s’agit pas ici de recruter un RSSI ou un spécialiste de la conformité, mais bien quelqu’un du terrain, qui connaisse parfaitement les méthodes des attaquants et le monde de la réponse à incident. Il sera ainsi à même de challenger de manière concrète autant les vendeurs de solutions de cybersécurité que les cabinets de conseil, et d’optimiser les stratégies de défense sans tomber dans les modes incessantes du marché.

Il est important que ce leader soit capable de transmettre ses connaissances et d’amener avec lui les membres plus juniors de l’équipe. Il doit notamment être capable d’offrir à ces derniers des conseils techniques, un transfert de connaissances pratiques, du mentorat et l’encadrement nécessaire à la réussite du programme à long terme.

Analystes et journalisation pour compléter

Ensuite viennent les analystes. Ce sont, en termes de priorité de recrutement, les seconds sur la liste après le leader. C’est un poste essentiel : les analystes sont les opérateurs de tous les outils de sécurité de l’entreprise. C’est parce qu’ils les maîtrisent parfaitement et qu’ils sont des experts de la cybersécurité qu’ils seront en mesure de réagir vite et mieux à une simple suspicion qui se révélera, peut-être, être une vraie attaque !

C’est pourquoi il ne s’agit pas d’un rôle fourre-tout ou de compétences secondaires que l’on peut sous-traiter à l’économie. L’équipe doit être diversifiée, avec des expériences et des domaines d’intérêt différents. Un bon point de départ est de recruter en premier lieu des spécialistes des technologies « endpoint », comme les EDR ou l’antivirus, les vulnérabilités des serveurs et l’analyse des mesures correctives.

Évidemment, il sera vite nécessaire de pouvoir s’appuyer ensuite sur un spécialiste réseau, puisque c’est ce qui relie le tout, et ça sera donc la priorité suivante.

Enfin, une fois l’équipe bien staffée côté poste client et réseau, l’étape finale — presque la clé de voûte de l’ensemble — sera le recrutement d’un spécialiste de la journalisation, par exemple un spécialiste SIEM/Splunk/UEBA. C’est à lui qu’incombera la tâche (vitale) de créer une harmonie à partir de toutes les alertes et alarmes déclenchées par les différents outils et de fournir les capacités d’analyse des millions de journaux d’événements collectés chaque jour dans l’écosystème. Il est important qu’il soit en mesure de proposer des choses autour des technologies d’automatisation, voire même de développer lui-même ou d’établir un cahier des charges en ce sens.

Voilà l’équipe est au complet ! Il est temps de la laisser se roder et faire son expérience collective. Avec une telle équipe, qui constitue dans les faits la base d’un SOC (Security Operations Center), il est possible de faire face à n’importe quel incident de sécurité — soit elle sera à même de l’affronter seule, soit elle sera l’interlocutrice privilégiée des renforts externes, qui trouveront en elle un interlocuteur crédible à leur niveau.

Il est donc parfaitement possible de s’arrêter ici et de s’appuyer ensuite sur des compétences externes pour les projets qui le nécessiteraient. Mais certains profils additionnels peuvent se présenter (en interne comme en externe) et il serait dommage de les laisser partir.

Compléter l’équipe au fil du temps

Voici les profils spécialistes qui peuvent contribuer à renforcer efficacement le socle d’une équipe opérationnelle de sécurité

* Les architectes sécurité – Experts de l’isolation des réseaux et de leur optimisation, leur contribution à la protection de l’infrastructure est capitale. Bien qu’ils soient plus souvent sollicités ponctuellement en mode « Conseil » dans le cadre des projets de migration ou d’urbanisation du SI, en interne ils auront soin, au quotidien, d’améliorer constamment les capacités et l’étanchéité du SI.

* Réponses à incident – Des enquêteurs de terrain capables de gérer de grands groupes pluridisciplinaires en temps de crise. Lorsqu’un incident se produit, tout le monde est sur le pont et occupé à 200 %. Le fait de disposer d’une ressource de coordination dédiée peut aider à instaurer un niveau de calme qui permet à chacun de se concentrer sur l’essentiel, c’est-à-dire contrer la menace et se remettre sur pied. Ces profils se trouvent le plus souvent mutualisés chez des acteurs du conseil et de la réponse à incidents, mais il est intéressant de pouvoir en dédier une dans les entreprises déjà mûres sur la gestion des crises hors-cyber.

* Les experts forensiques – Ces investigateurs numériques partent d’une série d’événements suspects et en arrivent aux faits : cette machine a-t-elle été compromise ? Y a-t-il des preuves d’exfiltration de données ? Ils trouvent les aiguilles dans la botte de foin. Ils aiment parler à la cantine de ce qu’ils ont appris en vidant la mémoire ou en analysant les pcaps et les flux…

* Rétro-ingénieur de malware — Disposer en interne de son propre expert en logiciels malveillants permettra de gagner beaucoup de temps lorsque l’équipe du SOC lèvera une alarme sur un fichier malveillant. Ce sont des profils rares, mais d’anciens développeurs expérimentés peuvent franchir le pas avec succès.

* Renseignement sur les menaces – Ces experts identifient les tactiques, les techniques et les procédures des acteurs malveillants qui ciblent le secteur d’activité spécifique de l’entreprise (son environnement, ou elle-même en particulier !). En s’appuyant sur de l’OSINT, des renseignements en sources ouvertes et même, parfois, fermées, ils préparent le travail pour l’équipe du SOC ou les analystes forensiques lorsque ceux-ci partent « à la chasse » : à la recherche d’activités suspectes au sein du SI ou en amont en émettant des recommandations d’adaptation de la PSSI (Politique de sécurité du système d’information).

* Red Team – L’internalisation d’une Red Team (équipe d’attaquants maison) permettra de garder constamment l’équipe SOC sur le qui-vive grâce à des simulations d’attaques et des tests d’intrusion. Et les techniques exploitées par la Red Team sont les mêmes que celles mises en œuvre par les attaquants, ce qui permettra de faire évoluer en continu les marqueurs et l’expérience des équipes de défense (Blue team).

Constituer sa dream team à partir de zéro ?

Rome ne s’est pas faite en un jour ! Et bien que les ressources soient rares et, souvent, les budgets de recrutement faibles, ce n’est pas une raison pour baisser les bras. Il faut bien commencer un jour, et l’équipe peut se construire au fur et à mesure des besoins. En outre, pour un certain nombre de ces profils, il est particulièrement intéressant de regarder en interne et faire monter en compétence les collaborateurs motivés.

En commençant par un leader compétent, versé dans la sécurité opérationnelle, accompagné d’un analyste, il est possible de démarrer efficacement ce processus.

Le modèle dit « Build / Tune / Operationalize / Use-Case » est un bon guide : à chaque étape, on construit la capacité, on la configure, on la laisse opérer puis on en tire des cas pratiques, qui seront étudiés afin de corriger ou d’optimiser la prochaine itération.

L’une des meilleures stratégies pour faire évoluer et grandir l’équipe est d’avoir des entretiens individuels avec chaque membre et de leur demander ce qui fonctionne bien, ce qui pourrait être amélioré, et surtout ce qu’ils souhaiteraient faire que l’équipe ne fait pas encore.

Attention au mauvais casting

En revanche, il faut éviter de recruter comme leader un profil stratège, mais pas technique. Ces profils sont efficaces pour créer des processus et des mesures afin d’encadrer l’existant, mais sont trop éloignées de la réalité du terrain et s’appuient habituellement sur des équipes opérationnelles nombreuses. Ils ne seront pas capables, notamment, d’être des référents pour les membres techniques les plus juniors.

En outre, il est important, pour le succès du projet, de favoriser une culture de la remise en question : sans cesse chercher à apprendre, ne pas se contenter de ce qui fonctionne, mais chercher à se mesurer et à s’améliorer en permanence. Et les profils plus stratégiques issus de grands groupes ne sont pas toujours dans cet état d’esprit, généralement incompatible avec les enjeux politiques à ce niveau de responsabilités.

Les recettes du succès

Le secret est simple : sans cesse mettre ses défenses à l’épreuve, proposer des formations continues à ses équipes et veiller au maintien en poste des bonnes personnes, ce qui peut impliquer d’ajuster les rémunérations parfois un peu au-dessus du marché et s’engager sur des plans de formation. La cybersécurité est un monde où la collaboration et le partage d’information sont cruciaux. Il sera donc pertinent de cultiver une diversité et un dialogue au sein de ces équipes, même lorsque le management de l’entreprise est plus traditionnel.

Mais ces efforts en valent la peine. Il est important pour toute entreprise de ne pas externaliser 100 % de sa sécurité, alors autant le faire bien. Les partenaires et les fournisseurs peuvent être des extensions de l’équipe de sécurité, en particulier lorsqu’il s’agit de rester petit et agile, mais jamais être l’équipe elle-même. Une petite équipe interne, solide et efficace, pourra sauver la mise lorsque les choses se compliqueront, et éviter une escalade aux effets catastrophiques.