a Virus image on computer system after cyber attack, generative ai
Wiz, CyberVadis et Cybeangel, approuvés par le Cigref ? Chacun a tout cas droit à son encart dans le dernier rapport de l’association de DSI. Sujet : l’anticipation des cyberattaques, de la surveillance à la gestion de crise.
Divers retours d’expérience jalonnent ce rapport. Dont celui d’EDF. Le groupe dispose d’un CERT, d’un VOC et d’un SOC, avec pilotage opérationnel commun. Le CERT est chargé d’analyser la menace et de réagir rapidement en cas d’incident – c’est lui, entre autres, qui coupe le lien du SI avec un partenaire en cas de nécessité. Le VOC centralise les vulnérabilités identifiées à la suite des scans et accompagne les filiales dans la remédiation.
EDF a réinternalisé l’essentiel son SOC en 2021, notamment au vu du turnover chez le prestataire. Les équipes se répartissent entre Nanterre, Lyon, Nancy et Rennes. Un partie de l’activité demeure externalisée, au niveau 1. Raison avancée : la difficulté à garder les collaborateurs à cet échelon, du fait de leur désir d’évolution rapide.
Du côté d’AXA, on a opté pour un modèle hybride de sourcing sur la partie CTI. En parallèle, on maintient une expertise 24/7 pour la gestion des incidents de sécurité en interne. Voilà quatre ans que le groupe a lancé la modernisation de son SOC, dans le contexte de sa migration (multi)cloud. Une démarche qui a présenté des défis, de la récupération des historiques à la réécriture des logiques de sécurité.
Chez la SNCF, CERT et SOC fonctionnent avec des structures blue team et purple team pour évaluer la pertinence des règles de détection. Leur périmètre d’action touche à des systèmes industriels… comme chez Pierre Fabre. Celui-ci recense 18 sites logistiques, plus d’un millier d’automates… et « des centaines de fournisseurs peu sensibilisés à la cybersécurité (souvent sans clauses de notification en cas d’attaque) ». Il insiste sur la protection du patrimoine intellectuel. En l’occurrence, des données liées aux procédés industrielles, partagées avec des tiers.
Wiz, CyberVadis et Cybelangel sont tous mentionnés en illustration d’une problématique : la connaissance de la surface d’attaque.
Pour ce qui est de la connaissance de la menace, le Cigref recommande, au chapitre OSINT, quatre sources : MITRE ATT&CK, MalwareBazaar, ABUSE.CH et AlienVault. Concernant les outils de collecte, d’organisation et de partage des informations, il en liste également quatre : MISP (Malware Information Sharing Platform & Threat Sharing), OpenCTI, ThreatQuotient et Anomali.
Sur le volet gestion de crise, le Cigref a déjà un document de référence, publié début 2023.
Illustration © VicenSahn – Shutterstock
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…