Pour gérer vos consentements :
Categories: Composants

La boîte à outils du Cigref pour anticiper les cyberattaques

Wiz, CyberVadis et Cybeangel, approuvés par le Cigref ? Chacun a tout cas droit à son encart dans le dernier rapport de l’association de DSI. Sujet : l’anticipation des cyberattaques, de la surveillance à la gestion de crise.

Divers retours d’expérience jalonnent ce rapport. Dont celui d’EDF. Le groupe dispose d’un CERT, d’un VOC et d’un SOC, avec pilotage opérationnel commun. Le CERT est chargé d’analyser la menace et de réagir rapidement en cas d’incident – c’est lui, entre autres, qui coupe le lien du SI avec un partenaire en cas de nécessité. Le VOC centralise les vulnérabilités identifiées à la suite des scans et accompagne les filiales dans la remédiation.

EDF a réinternalisé l’essentiel son SOC en 2021, notamment au vu du turnover chez le prestataire. Les équipes se répartissent entre Nanterre, Lyon, Nancy et Rennes. Un partie de l’activité demeure externalisée, au niveau 1. Raison avancée : la difficulté à garder les collaborateurs à cet échelon, du fait de leur désir d’évolution rapide.

CTI hybride chez AXA ; purple team à la SNCF

Du côté d’AXA, on a opté pour un modèle hybride de sourcing sur la partie CTI. En parallèle, on maintient une expertise 24/7 pour la gestion des incidents de sécurité en interne. Voilà quatre ans que le groupe a lancé la modernisation de son SOC, dans le contexte de sa migration (multi)cloud. Une démarche qui a présenté des défis, de la récupération des historiques à la réécriture des logiques de sécurité.

Chez la SNCF, CERT et SOC fonctionnent avec des structures blue team et purple team pour évaluer la pertinence des règles de détection. Leur périmètre d’action touche à des systèmes industriels… comme chez Pierre Fabre. Celui-ci recense 18 sites logistiques, plus d’un millier d’automates… et « des centaines de fournisseurs peu sensibilisés à la cybersécurité (souvent sans clauses de notification en cas d’attaque) ». Il insiste sur la protection du patrimoine intellectuel. En l’occurrence, des données liées aux procédés industrielles, partagées avec des tiers.

Wiz, CyberVadis et Cybelangel sont tous mentionnés en illustration d’une problématique : la connaissance de la surface d’attaque.
Pour ce qui est de la connaissance de la menace, le Cigref recommande, au chapitre OSINT, quatre sources : MITRE ATT&CK, MalwareBazaar, ABUSE.CH et AlienVault. Concernant les outils de collecte, d’organisation et de partage des informations, il en liste également quatre : MISP (Malware Information Sharing Platform & Threat Sharing), OpenCTI, ThreatQuotient et Anomali.

Sur le volet gestion de crise, le Cigref a déjà un document de référence, publié début 2023.

Illustration © VicenSahn – Shutterstock

Recent Posts

Legapass : comment protéger ses données privées jusque dans l’au-delà

Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…

22 heures ago

Iris, un assistant d’IA conversationnelle en langue des signes

Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…

1 jour ago

GenAI : le Royaume-Uni poursuit ses investigations sur les partenariats de Microsoft et Amazon

L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…

2 jours ago

Clients de VMware : les raisons de la colère

Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…

2 jours ago

Laurent Carlier – BNP Paribas Global Market : « L’IA permet de modéliser des relations plus complexes, mais il faut rester prudent »

La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…

2 jours ago

Open Compute Project : les datacenters partagent des bonnes pratiques pour l’environnement

OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…

3 jours ago