La boîte à outils du Cigref pour anticiper les cyberattaques

Clément Bohic,
Linkedin
Cigref anticipation cyberattaques

Le Cigref consacre un rapport à l’anticipation des cyberattaques. Il l’émaille de retex… et mentionne un certain nombre de fournisseurs.

Wiz, CyberVadis et Cybeangel, approuvés par le Cigref ? Chacun a tout cas droit à son encart dans le dernier rapport de l’association de DSI. Sujet : l’anticipation des cyberattaques, de la surveillance à la gestion de crise.

Divers retours d’expérience jalonnent ce rapport. Dont celui d’EDF. Le groupe dispose d’un CERT, d’un VOC et d’un SOC, avec pilotage opérationnel commun. Le CERT est chargé d’analyser la menace et de réagir rapidement en cas d’incident – c’est lui, entre autres, qui coupe le lien du SI avec un partenaire en cas de nécessité. Le VOC centralise les vulnérabilités identifiées à la suite des scans et accompagne les filiales dans la remédiation.

EDF a réinternalisé l’essentiel son SOC en 2021, notamment au vu du turnover chez le prestataire. Les équipes se répartissent entre Nanterre, Lyon, Nancy et Rennes. Un partie de l’activité demeure externalisée, au niveau 1. Raison avancée : la difficulté à garder les collaborateurs à cet échelon, du fait de leur désir d’évolution rapide.

CTI hybride chez AXA ; purple team à la SNCF

Du côté d’AXA, on a opté pour un modèle hybride de sourcing sur la partie CTI. En parallèle, on maintient une expertise 24/7 pour la gestion des incidents de sécurité en interne. Voilà quatre ans que le groupe a lancé la modernisation de son SOC, dans le contexte de sa migration (multi)cloud. Une démarche qui a présenté des défis, de la récupération des historiques à la réécriture des logiques de sécurité.

Chez la SNCF, CERT et SOC fonctionnent avec des structures blue team et purple team pour évaluer la pertinence des règles de détection. Leur périmètre d’action touche à des systèmes industriels… comme chez Pierre Fabre. Celui-ci recense 18 sites logistiques, plus d’un millier d’automates… et « des centaines de fournisseurs peu sensibilisés à la cybersécurité (souvent sans clauses de notification en cas d’attaque) ». Il insiste sur la protection du patrimoine intellectuel. En l’occurrence, des données liées aux procédés industrielles, partagées avec des tiers.

Wiz, CyberVadis et Cybelangel sont tous mentionnés en illustration d’une problématique : la connaissance de la surface d’attaque.
Pour ce qui est de la connaissance de la menace, le Cigref recommande, au chapitre OSINT, quatre sources : MITRE ATT&CK, MalwareBazaar, ABUSE.CH et AlienVault. Concernant les outils de collecte, d’organisation et de partage des informations, il en liste également quatre : MISP (Malware Information Sharing Platform & Threat Sharing), OpenCTI, ThreatQuotient et Anomali.

Sur le volet gestion de crise, le Cigref a déjà un document de référence, publié début 2023.

Illustration © VicenSahn – Shutterstock