Intrinsec : vers la cyber threat intelligence

Du label PASSI depuis juillet 2014 à la notion de ‘RSSI à temps partagé’ en passant par la Cyber Threat Intelligence sans oublier la R&D sur les technologies émergentes pour anticiper les menaces, Nicolas Loyer, Responsable commercial Offres récurrentes Sécurité chez Intrinsec nous éclaire sur divers éléments clés et stratégiques.

IT Pro Magazine : Quel est votre positionnement autour de la sécurité ?

Nicolas Loyer : Notre activité sécurité a toujours suivi le développement de l’entreprise. Nous proposons un dispositif d’accompagnement sur les versants organisationnels et opérationnels de la SSI. Ce dispositif, utilisable en services managés ou sous forme de projets ponctuels repose sur trois pôles d’activité bien distincts, d’abord l’évaluation pour les prestations tests d’intrusion et audits de sécurité, principalement dans le monde bancaire, industriel, défense et assurances. Vingt pentesters sont intégrés et dédiés uniquement à ce pôle. Pour le pôle conseil, une équipe de sept consultants intervient sur des missions ponctuelles, ou plus longues d’accompagnement RSSI appelées aussi ‘RSSI à temps partagé’.

Pouvez-vous préciser cette notion ‘RSSI à temps partagé’ ?

Certaines entreprises ne disposent pas forcément d’un RSSI positionné dans l’entreprise, ce qui entraîne une gestion de la sécurité plus diffuse. Aussi, nous donnons un fil conducteur pertinent avec un consultant qui prend en charge ce poste de RSSI. Evidemment, nous réalisons un état des lieux sécurité en amont de cette prestation, il faut avoir une bonne vision des enjeux et des risques de l’entreprise. Le consultant positionné ‘RSSI à temps partagé’ pilote avec le client la mise en œuvre des différents plans d’action, nous suivons le rythme du client. Pour la partie conseil, parfois, nous proposons seulement du coaching RSSI, lorsque le RSSI ne possède pas une culture SSI très poussée, notre objectif ici est de le faire monter en maturité sur le sujet. Sans oublier notre démarche sensibilisation qui peut prendre forme avec des démonstrations d’attaques ou de fausses campagnes de phishing pour sensibiliser les utilisateurs à la notion de bonne gestion de la messagerie.

Quelle est la mission du dernier pôle ?

Il s’agit du pôle Sécurité Opérationnelle, le SOC. Nous accompagnons dans la durée sur la supervision de la sécurité à travers un ensemble de services managés autour du cycle de vie des incidents de sécurité, de l’anticipation à la réaction en passant par la détection. Cela se concrétise notamment avec notre offre historique de la gestion de vulnérabilité des assets techniques ou applicatifs des clients, le tout dans une logique de contrôle permanent.

(((IMG8125)))

Quelles sont les autres offres du SOC ?

D’abord, une offre de détection d’incidents de sécurité, pour cela, nous travaillons avec plusieurs produits du marché pour proposer un service managé de SIEM-as-a- Service ou de SIEM managé.

Les clients disposent ainsi d’un dispositif opérationnel rôdé et mettent à profit des activités et compétences mutualisées. Puis, notre offre de veille SSI qui remonte des alertes sur d’éventuelles vulnérabilités présentes dans le SI et dans un périmètre bien précis. Le client est complètement autonome avec cette solution. Enfin, notre offre de Cyber Threat Intelligence.

Pouvez-vous détailler cette offre Cyber Threat Intelligence ?

Dans ce cas, nous nous positionnons en dehors du système d’information du client, et au travers d’outils, nous détectons la menace à l’extérieur du SI, menace qui pourrait potentiellement l’attaquer, comme des actions malveillantes en raison de fuites de données, de mots de passe. Sans être intrusifs, nous avons cette capacité d’anticiper des menaces avant qu’elles ne s’avèrent vraiment critiques, en mettant sous surveillance les assets du client, par exemple les adresses IP externes. Il peut ainsi voir si des informations lui appartenant et le concernant se promènent de manière illégitime sur internet. Nous remontons des alertes et le client procède au contrôle de la remédiation.

Toutefois, en amont, il nous faut savoir ce qui est critique pour lui et ce qu’on doit absolument surveiller. L’échelle du risque, c’est le client qui la mène, mais nous pouvons l’aider à la définir. Tout est une question de maturité mais aussi d’enjeux business. Les clients commencent à percevoir l’intérêt de cette logique d’anticipation de la menace au plus tôt et leur responsabilité d’affiner cette écoute pour détecter les éléments potentiellement malveillants…

Et côté sécurité des technologies émergentes ?

Nous avons déjà réalisé des prestations sur les technologies sensibles et émergentes des objets connectés, avec un positionnement notamment sur la sécurité des systèmes industriels, qui est devenue un enjeu de la sécurité globale de la nation. A ce niveau, les méthodologies de travail et l’approche sont bien différentes des tests d’intrusion classiques.