Ce qui se passe dans une entreprise chargée de détecter les cyberattaques 24h/24

 

Article published in LeTemps February 5th. Available in French only. All rights reserved.

Immersion dans le centre des opérations de sécurité Senthorus d’ELCA Security à Genève, où des analystes surveillent en permanence les systèmes informatiques d’organisations publiques et privées pour parer à la menace cyber

 

2024-04-05, Grégoire Barbey

C’est une grande pièce, remplie d’écrans, des plus petits aux plus grands, de matériel informatique et de néons bleus. Le centre des opérations de sécurité (SOC) de Senthorus, une entité appartenant au groupe ELCA, ressemble à quelques détails près aux clichés véhiculés dans l’imaginaire collectif en matière de cybersécurité. Les analystes qui ont les yeux rivés sur les moniteurs assurent une surveillance permanente des systèmes informatiques des clients d’ELCA Security, filiale créée en 2022 pour regrouper les activités de sécurité du groupe.

 

Le SOC est un lieu stratégique pour défendre une entreprise ou une institution publique contre des cyberattaques. C’est ici que sont assurées la détection et la réponse aux menaces informatiques. Certaines organisations ont leurs propres équipes dédiées 24h/24 et 7j/7 tout au long de l’année, mais ce n’est pas la norme. «Un service comme le nôtre permet d’assurer un accès aux spécialistes et de mutualiser les coûts, et peut donc être accessible à des entités de plus petite taille», indique Christophe Gerber, directeur d’ELCA Security.

 

Le groupe ELCA, spécialisé dans la numérisation, emploie plus de 2300 personnes en Suisse et dans le monde – dont 300 au Vietnam, sa plus importante présence à l’étranger. En 2023, l’entreprise a réalisé un chiffre d’affaires de 328 millions de francs. La filiale dédiée à la cybersécurité emploie actuellement 65 collaborateurs. Senthorus compte pour sa part une quinzaine de clients, privés et publics. Sur ce segment, d’autres entreprises offrent des services similaires, comme Swisscom et Kudelski.

SocGeneva_intranet_news.jpg
SocGeneva_intranet_news.jpg

Pas de culture du secret

 

ELCA Security a accepté d’ouvrir au Temps les portes de son SOC, en face du centre commercial de Balexert à Genève. Son directeur Christophe Gerber nous accueille. Pour pénétrer dans les locaux de l’entreprise, il faut badger à chaque porte. Christophe Gerber nous invite dans une salle de conférences dans laquelle se trouve Juan Avellan, directeur de Senthorus.

 

Il n’est pas encore tout à fait 14h. La prochaine équipe se prépare à prendre le relais jusqu’à 22h. Les analystes qui sont sur place depuis 6h leur transmettent les informations. Plusieurs équipes de trois personnes et de trois niveaux d’expertise assurent les tournus. Pour pénétrer dans la salle des opérations, les employés doivent prouver leur identité à l’aide d’un moyen biométrique. «Si nous pouvons nous contenter de moins d’analystes qu’un SOC traditionnel, qui pouvait en compter des centaines, c’est parce que nous avons conçu un centre des opérations de nouvelle génération avec un bon équilibre entre les activités humaines et automatisées», se réjouit Juan Avellan.

 

L’importance des règles

 

Pour comprendre ce que font ces analystes, il faut rappeler quelques notions d’informatique. Toute activité sur un ordinateur laisse des traces, qu’on appelle des «logs». «A l’échelle d’une organisation, ce sont des millions d’informations qui sont produites quotidiennement», précise Juan Avellan. Ces données sont récoltées par Senthorus grâce à des sondes et des logiciels installés dans les différents appareils du client – ordinateurs, serveurs, etc. Aucun cerveau humain ne peut traiter autant d’informations dans un délai raisonnable pour répondre à d’éventuelles menaces. Senthorus s’appuie donc sur des algorithmes d’apprentissage machine qui vont servir 

 

L’intelligence artificielle est très performante pour déceler des schémas inhabituels dans de grands volumes de données en un temps très court. C’est ce qu’elle fait avec ces logs. Lorsqu’une activité sort de l’ordinaire, elle lui attribue un «score de criticité» et transmet l’information aux analystes, qui l’examineront pour déterminer la suite des opérations. «Tout l’enjeu pour les cybercriminels, c’est de réussir à pénétrer dans un système et à en ressortir sans activer les alarmes», résume Christophe Gerber.

 

D’où l’importance d’avoir des règles efficaces. Senthorus en propose par défaut plus de 900, et peut en ajouter des spécifiques en fonction du profil du client. «Ces règles sont cruciales, souligne Juan Avellan. Elles doivent permettre de déceler les événements suspects tout en évitant de générer de faux positifs en grande quantité.» Le responsable de Senthorus donne l’exemple d’une règle bien connue: si un utilisateur se connecte à Genève à 10h, et qu’une nouvelle connexion est enregistrée à 10h12 à Singapour, c’est physiquement impossible que ce soit la même personne. Une alerte sera donc générée.

OI Data Protection resize.PNG
OI Data Protection resize.PNG

La détection, phase critique

 

Dans un tel cas, l’analyste pourra contacter le client pour vérifier s’il n’y a pas une explication permettant d’écarter la piste d’un accès indu au système. «Nos employés sont en contact étroit avec les entreprises, ils doivent donc être capables de faire preuve de diplomatie, pour ne pas faire paniquer inutilement les gens», indique Juan Avellan.

 

Christophe Gerber fait pour sa part l’analogie avec les Securitas: «Un SOC est comparable dans le numérique à une centrale d’engagement d’une société de sécurité privée, avec du personnel qui surveille des dizaines de caméras et détermine s’il faut envoyer quelqu’un sur place en cas d’événement suspect.»

 

La détection est la phase la plus importante de la cybersécurité. «Une intrusion peut durer des mois et, si elle n’est pas détectée précocement, elle peut passer complètement inaperçue», soupire le directeur d’ELCA Security. D’où la nécessité de faire évoluer ces règles en permanence.

 

L’entreprise a sa propre équipe d’ingénieurs, dont la mission consiste à adapter les algorithmes ainsi qu’à publier des correctifs le plus rapidement possible en fonction des nouvelles menaces qui sont signalées par des acteurs comme Microsoft ou Splunk.

 

Et la police?

 

Au moment de quitter les lieux, une dernière question s’impose. N’est-ce pas étrange que, dans le domaine de la cybersécurité, il faille uniquement s’appuyer sur des acteurs privés? En cas d’intrusion dans un appartement, la police intervient. Ce n’est pas le cas dans l’informatique. Le directeur d’ELCA Security esquisse un sourire. «C’est une question de ressources, les pouvoirs publics n’ont tout simplement pas les moyens de mettre un enquêteur sur chaque cyberattaque», explique-t-il. Mais il ajoute qu’une meilleure collaboration avec les entreprises de cybersécurité serait souhaitable. «Nous y travaillons», conclut Christophe Gerber.

expert
Experts ELCASecurity

En continuant votre navigation sur ce site, vous acceptez l'utilisation de cookies ou technologies similaires ayant pour finalité la réalisation de statistiques de visites sur notre site (tests et mesures d'audience, de fréquentation, de navigation, de performance), mais également de vous proposer des contenus et annonces ciblés et adaptés à vos centres d'intérêt.

Nos cookies ont été mis à jour. N'hésitez pas à mettre à jour vos préférences.

OK, tout accepter Tout désactiver Configurer
fermer
save

Gérer vos préférences cookies

Mettre à jour vos préférences cookies

Vous pouvez vous informer sur la nature des cookies déposés, les accepter ou les refuser soit globalement pour l'ensemble du site et l'ensemble des services, soit service par service.

OK, tout accepter

Tout désactiver

Flux de visiteur

Ces cookies nous offrent un aperçu des sources de trafic et nous permettent de mieux comprendre nos visiteurs, tout en garantissant leur anonymat.

(Google Analytics et CrazyEgg)

Nouveau

Outils de partage

Les cookies de médias sociaux permettent de partager des contenus sur vos réseaux préférés.

(ShareThis)

Nouveau

Connaissance du visiteur

Ces cookies sont utilisés pour suivre les visiteurs sur les sites Internet.

Ils doivent nous permettre d’offrir à nos visiteurs identifiés davantage de contenus pertinents et ciblés (ClickDimensions) et d’afficher des publicités susceptibles d’intéresser les utilisateurs (Facebook Pixels).

 

Nouveau
Pour plus d'informations sur ces cookies et notre politique en matière de cookies, cliquez ici.