Ce qui se passe dans une entreprise chargée de détecter les cyberattaques 24h/24

 

Article published in LeTemps February 5th. Available in French only. All rights reserved.

Immersion dans le centre des opérations de sécurité Senthorus d’ELCA Security à Genève, où des analystes surveillent en permanence les systèmes informatiques d’organisations publiques et privées pour parer à la menace cyber

 

2024-04-05, Grégoire Barbey

C’est une grande pièce, remplie d’écrans, des plus petits aux plus grands, de matériel informatique et de néons bleus. Le centre des opérations de sécurité (SOC) de Senthorus, une entité appartenant au groupe ELCA, ressemble à quelques détails près aux clichés véhiculés dans l’imaginaire collectif en matière de cybersécurité. Les analystes qui ont les yeux rivés sur les moniteurs assurent une surveillance permanente des systèmes informatiques des clients d’ELCA Security, filiale créée en 2022 pour regrouper les activités de sécurité du groupe.

 

Le SOC est un lieu stratégique pour défendre une entreprise ou une institution publique contre des cyberattaques. C’est ici que sont assurées la détection et la réponse aux menaces informatiques. Certaines organisations ont leurs propres équipes dédiées 24h/24 et 7j/7 tout au long de l’année, mais ce n’est pas la norme. «Un service comme le nôtre permet d’assurer un accès aux spécialistes et de mutualiser les coûts, et peut donc être accessible à des entités de plus petite taille», indique Christophe Gerber, directeur d’ELCA Security.

 

Le groupe ELCA, spécialisé dans la numérisation, emploie plus de 2300 personnes en Suisse et dans le monde – dont 300 au Vietnam, sa plus importante présence à l’étranger. En 2023, l’entreprise a réalisé un chiffre d’affaires de 328 millions de francs. La filiale dédiée à la cybersécurité emploie actuellement 65 collaborateurs. Senthorus compte pour sa part une quinzaine de clients, privés et publics. Sur ce segment, d’autres entreprises offrent des services similaires, comme Swisscom et Kudelski.

SocGeneva_intranet_news.jpg
SocGeneva_intranet_news.jpg

Pas de culture du secret

 

ELCA Security a accepté d’ouvrir au Temps les portes de son SOC, en face du centre commercial de Balexert à Genève. Son directeur Christophe Gerber nous accueille. Pour pénétrer dans les locaux de l’entreprise, il faut badger à chaque porte. Christophe Gerber nous invite dans une salle de conférences dans laquelle se trouve Juan Avellan, directeur de Senthorus.

 

Il n’est pas encore tout à fait 14h. La prochaine équipe se prépare à prendre le relais jusqu’à 22h. Les analystes qui sont sur place depuis 6h leur transmettent les informations. Plusieurs équipes de trois personnes et de trois niveaux d’expertise assurent les tournus. Pour pénétrer dans la salle des opérations, les employés doivent prouver leur identité à l’aide d’un moyen biométrique. «Si nous pouvons nous contenter de moins d’analystes qu’un SOC traditionnel, qui pouvait en compter des centaines, c’est parce que nous avons conçu un centre des opérations de nouvelle génération avec un bon équilibre entre les activités humaines et automatisées», se réjouit Juan Avellan.

 

L’importance des règles

 

Pour comprendre ce que font ces analystes, il faut rappeler quelques notions d’informatique. Toute activité sur un ordinateur laisse des traces, qu’on appelle des «logs». «A l’échelle d’une organisation, ce sont des millions d’informations qui sont produites quotidiennement», précise Juan Avellan. Ces données sont récoltées par Senthorus grâce à des sondes et des logiciels installés dans les différents appareils du client – ordinateurs, serveurs, etc. Aucun cerveau humain ne peut traiter autant d’informations dans un délai raisonnable pour répondre à d’éventuelles menaces. Senthorus s’appuie donc sur des algorithmes d’apprentissage machine qui vont servir 

 

L’intelligence artificielle est très performante pour déceler des schémas inhabituels dans de grands volumes de données en un temps très court. C’est ce qu’elle fait avec ces logs. Lorsqu’une activité sort de l’ordinaire, elle lui attribue un «score de criticité» et transmet l’information aux analystes, qui l’examineront pour déterminer la suite des opérations. «Tout l’enjeu pour les cybercriminels, c’est de réussir à pénétrer dans un système et à en ressortir sans activer les alarmes», résume Christophe Gerber.

 

D’où l’importance d’avoir des règles efficaces. Senthorus en propose par défaut plus de 900, et peut en ajouter des spécifiques en fonction du profil du client. «Ces règles sont cruciales, souligne Juan Avellan. Elles doivent permettre de déceler les événements suspects tout en évitant de générer de faux positifs en grande quantité.» Le responsable de Senthorus donne l’exemple d’une règle bien connue: si un utilisateur se connecte à Genève à 10h, et qu’une nouvelle connexion est enregistrée à 10h12 à Singapour, c’est physiquement impossible que ce soit la même personne. Une alerte sera donc générée.

OI Data Protection resize.PNG
OI Data Protection resize.PNG

La détection, phase critique

 

Dans un tel cas, l’analyste pourra contacter le client pour vérifier s’il n’y a pas une explication permettant d’écarter la piste d’un accès indu au système. «Nos employés sont en contact étroit avec les entreprises, ils doivent donc être capables de faire preuve de diplomatie, pour ne pas faire paniquer inutilement les gens», indique Juan Avellan.

 

Christophe Gerber fait pour sa part l’analogie avec les Securitas: «Un SOC est comparable dans le numérique à une centrale d’engagement d’une société de sécurité privée, avec du personnel qui surveille des dizaines de caméras et détermine s’il faut envoyer quelqu’un sur place en cas d’événement suspect.»

 

La détection est la phase la plus importante de la cybersécurité. «Une intrusion peut durer des mois et, si elle n’est pas détectée précocement, elle peut passer complètement inaperçue», soupire le directeur d’ELCA Security. D’où la nécessité de faire évoluer ces règles en permanence.

 

L’entreprise a sa propre équipe d’ingénieurs, dont la mission consiste à adapter les algorithmes ainsi qu’à publier des correctifs le plus rapidement possible en fonction des nouvelles menaces qui sont signalées par des acteurs comme Microsoft ou Splunk.

 

Et la police?

 

Au moment de quitter les lieux, une dernière question s’impose. N’est-ce pas étrange que, dans le domaine de la cybersécurité, il faille uniquement s’appuyer sur des acteurs privés? En cas d’intrusion dans un appartement, la police intervient. Ce n’est pas le cas dans l’informatique. Le directeur d’ELCA Security esquisse un sourire. «C’est une question de ressources, les pouvoirs publics n’ont tout simplement pas les moyens de mettre un enquêteur sur chaque cyberattaque», explique-t-il. Mais il ajoute qu’une meilleure collaboration avec les entreprises de cybersécurité serait souhaitable. «Nous y travaillons», conclut Christophe Gerber.

expert
ELCASecurity Experten

Wenn Sie auf dieser Website weitersurfen, akzeptieren Sie die Nutzung von Cookies oder ähnlichen Technologien, welche die Erstellung von Zugriffstatistiken für unsere Website bezwecken (Tests und Messungen von Zielgruppen, Besuchen, Surfverhalten und Performance), die Ihnen aber auch gezielt auf Ihre Interessen abgestimmte Inhalte und Inserate anbieten.

Wir haben unsere Cookies aktualisiert. Bitte zögern Sie nicht, Ihre Präferenzen ebenfalls zu aktualisieren.

OK, alles annehmen Alles deaktivieren Konfigurieren
schließen
save

Ihre Cookie-Präferenzen setzen

Ihre Cookie-Präferenzen aktualisieren

Sie können sich über die Art der hinterlegten Cookies informieren, sie akzeptieren oder ablehnen, sei es für die gesamte Website und alle Services oder einzeln für jeden Service.

OK, alles annehmen

Alles deaktivieren

Besucherfluss

Diese cookies verschaffen uns Einblick in Traffic-Quellen und ermöglichen uns ein besseres, anonymisiertes Verständnis unserer Besucher.

(Google Analytics und CrazyEgg).

Neu

Freigabetools

Cookies von sozialen Medien erlauben ein Teilen von Inhalten in Ihren bevorzugten Netzen.

(ShareThis)

Neu

Verständnis der Besucher

Diese cookies werden verwendet, um Besucher über verschiedene Websites hinaus zu verfolgen.

Dadurch wollen wir relevantere, zielgerichtete Inhalte für bestehende Kontakte anbieten (ClickDimensions) und Inserate anzeigen können, die für die Benutzer nützlich und ansprechend sind (Facebook Pixels).

 

Neu
Weitere Angaben zu diesen Cookies und unserer Cookie-Richtlinie finden Sie hier.