L’ETE DIGITAL – Cybersécurité : Cyber SOC, ou comment SNCF automatise sa détection des cyberattaques

A l’instar des entrées de gare à la circulation des voyageurs, les appareils digitaux – PC fixes et portables, mais aussi smartphones ou tablettes – permettent de faire entrer ou sortir des données du système d’information d’une entreprise. Quand SNCF a lancé la digitalisation de sa maintenance matérielle en 2017, il était question de mettre des milliers de terminaux dotés des applications métiers à disposition des agents mainteneurs.

De plus, ce processus s’accélère avec la mise en œuvre du programme du renouveau du socle numérique (PRSN). Ainsi, pendant que des milliers de smartphones sont déployés auprès des collaborateurs à travers le projet « Digital pour tous », SNCF envisage de migrer 60% de son parc applicatif dans le cloud. Impossible, donc, de se passer des mesures de surveillance et de sécurisation de l’ensemble des environnements indispensable du travail.

Selon Raphaël Viard, CTO de SNCF, une cyberattaque représente très souvent « toute une suite d’événements ». Se protéger contre les cybers menaces s’avère ainsi être une « chaîne continue de processus et d’outils », qui inclut donc en amont la prévention (par exemple des outils de détection de logiciels malveillants sur les postes de travail), l’enregistrement des alarmes, la détection des signaux et comportements anormaux, les tests de vulnérabilités, et bien évidement la remédiation.

Si l’on examine les logs (historique des événements, comme les connexions à une application ou à un serveur, consignés dans des fichiers ou des bases de données), un administrateur système s’étant connecté depuis son poste sur un serveur web sera chose banale. Néanmoins, quand ce même poste tente de se connecter à cinquante ou cent serveurs simultanément, « le système d’information devra générer immédiatement une alerte de sécurité, car c’est très probablement un hacker qui a pris la main sur la machine afin de se connecter à tous les serveurs et y installer quelque chose », explique le CTO.

Lors de campagnes d’attaques massives telles que WannaCry ou NotPetya, qui ont causé des centaines de millions d’euros de dommages aux entreprises à travers le monde, on constate en effet que la rapidité de détection et de réaction aux milliers d’évènements malveillants est clé pour répondre de manière adaptée à la menace.

De plus, les comportements anormaux peuvent prendre différentes formes. Il peut s’agir de téraoctets de données qui partent vers des stockages Dropbox, de traces correspondant à une attaque de virus laissées sur le réseau informatique de l’entreprise, d’exports de données pendant la nuit, de comptes utilisateurs compromis en raison d’un mot de passe trop faible ou réutilisé depuis un service grand public qui aurait été piraté, ou encore de postes de travail qui se connectent en masse à des sites chargés de malwares, malgré le filtrage opéré par les proxys… Pris séparément, les nombreux évènements techniques générés aux différents endroits du système d’information n’ont pas toujours un grand intérêt. Mais une fois corrélés, ils peuvent révéler des scénarios d’attaques sur lesquels une réaction rapide est indispensable.

« Le problème, aujourd’hui, c’est que nous avons un flux de données tellement important que nous ne pouvons plus faire la détection des comportements anormaux de manière manuelle, cela n’est pas possible », souligne l’expert. Quand le parc des smartphones, PC et tablettes grossit, et que les frontières entre « l’intérieur » et « l’extérieur » sont de moins en moins nettes, la cybersécurité s’avère une question d’automatisation. C’est la raison pour laquelle SNCF a créé son Cyber SOC (Cyber Security Operating Centre).

Concrètement, le Cyber SOC récupère un grand nombre d’informations (comme les logs) et les analyse de manière automatique, le tout à l’image d’un traitement de type Big Data réalisé par des logiciels spécifiques appelés SIEM (Security Information and Event Management). Ces informations sont également archivées sur des durées pouvant aller à plusieurs mois. Ceci afin de permettre des recherches historiques, le temps de détection d’une intrusion étant estimé à 6 mois en moyenne Europe en 2017, selon la société FireEye.

Pour compléter l’analyse de logs, la plateforme sera également dotée de fonctions de Threat Intelligence, c’est-à-dire de renseignements actualisés – dans des délais courts – sur les menaces : quelles sont les adresses IP, noms de domaines, sites web malveillants connus pour être particulièrement actifs ces derniers jours, ces dernières heures ?

Enfin, plus tard, SNCF envisage également d’ajouter des fonctions d’intelligence artificielle à son Cyber SOC, pour assister les analystes sécurité dans l’identification des menaces les plus sérieuses parmi tout le flot quotidien d’évènements détectés par les différents outils existants.

Le Cyber SOC est donc à la fois une plateforme technologique permettant la détection de vulnérabilités, la collecte et la corrélation de logs, et la réponse aux incidents de cybersécurité, mais aussi une structure organisationnelle rassemblant des équipes de sécurité opérationnelle SNCF et un partenaire expert du domaine, Sopra Steria I2S. L’avantage de ce modèle est clair : seul un petit nombre d’événements critiques sont remontés puis traités par les analystes sécurité, rendant le traitement des incidents plus performant, et le délai entre l’occurrence de l’alerte et sa détection, plus court.

Ce dispositif entrera en exploitation d’ici à la fin de l’année 2018, et vivra avec les évolutions naturelles du système d’information SNCF, à commencer par les migrations des applications métiers vers le cloud et les nouveaux espaces d’hébergement en cours de construction.

« Dans le cadre du programme de renouveau du socle numérique du groupe SNCF, nous avons regroupé toutes les problématiques autour de la cybersécurité dans une grande catégorie, baptisée ‘Process et outils’ », a fait savoir le CTO, car « la cybersécurité, ce n’est pas que des outils comme les tablettes et autres terminaux mobiles, mais une chaîne continue ».