Sopra Steria dope ses services managés avec ThreatQ et Watson

Le fournisseur de services de sécurité managés a renforcé son offre en affinant son recours au renseignement sur les menaces pour mieux contextualiser les événements observés, et mettant Watson à contribution pour modéliser les incidents.

Sopra Steria compte parmi ces quelques prestataires de services de sécurité managés en cours de qualification PDIS – prestataire de détection d’incidents de sécurité – auprès de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), aux côtés de Conix, d’Orange, de Sogeti et de Thales. Un écosystème petit – et qui pourrait bien le rester compte tenu du ticket d’entrée, de quelques centaines de milliers d’euros pour les uns et jusqu’à deux millions d’euros pour d’autres – où la concurrence pour séduire les opérateurs d’importance vitale (OIV) promet d’être rude.

Dans ce contexte, Antonin Hily, directeur MSSP de Sopra Steria, a choisi une approche résolument moderne pour marquer sa différence. Dévoilée à l’occasion de l’édition 2017 du Forum International de la Cybersécurité, qui se déroulait cette semaine à Lille, cette approche s’articule essentiellement autour du renseignement sur les menaces et de l’intelligence artificielle.

Donner au renseignement toute sa valeur opérationnelle

Rencontré dans ce cadre, Antonin Hily explique avoir pris le virage du renseignement sur les menaces, la fameuse Threat Intelligence, « depuis un an ». Mais à l’époque, l’impact de virage n’avait pas été pleinement mesurer. Et un outil tel que la plateforme open source MISP a rapidement montré ses limites : « on faisait plutôt de la gestion de menaces, qui avait pour nous peu d’intérêt ; on accumulait de l’information que l’on ne savait pas forcément hiérarchiser et utiliser efficacement en temps réel dans nos outils de détection ».

La plateforme ThreatQ de Threat Quotient a apporté les fonctionnalités qui manquaient : « nous avions besoin d’un chef d’orchestre capable de créer rapidement des librairies accessibles très vite à nos outils et à nos analystes. Et que l’on puisse définir la manière dont on organise nos librairies, par exemple en tenant compte de notions de campagnes, d’adversaires, qui n’existent pas ailleurs ».

Ainsi, il devient possible d’alimenter le système de gestion des informations et des événements de sécurité (SIEM) d’informations contextuelles pour « être sûr que ce que l’on voit correspond à la réalité, que cela a un sens, en particulier dans le contexte de l’environnement du client ». Cette contextualisation permet de réduire les taux de faux positifs et de faux négatifs : « grâce au SIEM que l’on utilise, ils restaient faibles par rapport à nos concurrents, mais encore trop élevés à mes yeux », souligne Antonin Hily.

Accessoirement, ThreatQ permet également de replacer des éléments de journaux d’activités dans le contexte d’indicateurs de compromission inactifs, mais pertinents plus tôt, lorsque se sont produits les événements passés en cours d’analyse. Un apport significatif en début de contrat avec un nouveau client pour assurer une première recherche d’incidents sur son historique de logs.

L’intuition assistée

L’autre élément qui aide à réduire les taux de faux positifs et négatifs, c’est le recours à l’intelligence artificielle d’IBM, intégrée au SIEM QRadar.

Mis à contribution en standard pour les services managés mutualisés, Watson épaule aujourd’hui les analystes pour la compréhension, et donc la prise de décision sur les incidents détectés : « il nous aide à modéliser les incidents de sécurité en fonction d’informations qui ne sont pas forcément à notre disposition, parce que par exemple des règles de corrélation trop statiques nous laissent dans le noir ». Comme une forme d’intuition numérique, forte de volumes de connaissances déjà considérables, « Watson nous a permis de découvrir que l’incident que l’on étudiait, sur un cas réel, n’était en fait qu’un effet d’un incident beaucoup plus grave qui avait lieu à un autre endroit, selon une autre méthodologie. Mais il se produisait sur un bout d’infrastructure peu verbeux, avec des règles de corrélation très basiques. Grâce à Watson nous avons pu comprendre l’intégralité de l’incident en quelques minutes ».

Mais si Watson n’en est encore qu’au stade du bambin en culottes courtes qui apprend ce qu’est la cybersécurité, l’objectif, à terme, est de compter sur lui pour non plus seulement faire de l’analyse et de la détection, mais aussi de la prédiction, « pour être en avance de phase ».

Devancer la menace

D’ici là surviendra une autre phase : celle où Watson sera en mesure de produire des recommandations de remédiation sur la base de l’observation des mesures prises en conditions réelles pour gérer différents types d’incidents.

En interrogeant le module Risk Manager de QRadar, Watson pourra en outre étoffer sa réflexion en intégrant des considérations de gouvernance du risque. De quoi ajouter à son analyse des dimensions de criticité et de sévérité.

Mais à terme, Watson, qui discute déjà régulièrement avec la plateforme de partage de renseignements de la division X-Force d’IBM, doit aussi apprendre à dialoguer avec d’autres sources de renseignements pour déterminer le niveau de confiance à donner aux retours qui lui sont faits lorsqu’il interroge ces différentes sources. Autrement dit, Watson va se former à l’esprit critique.

Source