Security Operation Center
Les videurs
50 experts surveillent et défendent en continu les réseaux d’entreprise de clients. Quel rapport entre Roger Federer et les cyber-criminels? Qui protège les entreprises contre les attaques de pirates en Suisse? Visite du centre de sécurité de Swisscom à Zurich.
Texte: Flavian Cajacob, Images: Michele Limina, Publié dans le NZZ supplément du 9 novembre 2017, mis à jour le 20 janvier 2021
Le badge de Markus Kaegi lui permet de passer les trois premières portes, mais pas la quatrième. «Ici, moi non plus je n’entre pas», explique le Product Manager des Security Services chez Swisscom, ajoutant qu’«il s’agit d’un accès de niveau de sécurité 4 réservé uniquement aux collaborateurs du Security Operation Center.». Au total, l’on en compte 50, tous des professionnels maîtrisant parfaitement le sujet. Leur chef est Nemanja Mitic.
Il s’agit d’un jeune homme intelligent avec une barbe généreuse qui ouvre à présent le sas depuis l’intérieur et qui se retrouve au niveau de sécurité 3. «Quiconque veut travailler dans mon équipe est examiné sous toutes les coutures – en termes de compétences, humainement et, naturellement, l’on examine aussi l’irréprochabilité de sa réputation.» En d’autres termes: qui ne passe pas le contrôle de sécurité relatif aux personnes n’obtient pas de travail au Security Operation Center (SOC) de Swisscom dans le quartier de Binz de Zurich.
Trop de pression: est-ce un frein?
Pour une grande partie des entreprises suisses, la cybercriminalité est déjà une réalité. Les grandes entreprises ne sont pas les seules concernées, cela touche également toujours plus les petites et moyennes entreprises. Selon une nouvelle étude de KPMG, neuf des dix entreprises suisses interrogées ont été victimes de cyberattaques ces derniers mois. Cela représente une hausse de 34% par rapport à l’année précédente. Une autre enquête, menée cette fois par EY, a par ailleurs révélé que seuls 2/5 des entreprises interrogées dans notre pays étaient en mesure de détecter des cyberattaques complexes.
Ces chiffres sont impressionnants mais pas surprenants. En effet, la surveillance et la protection des réseaux d’entreprise sont toujours plus étendues et complexes. «Coûts, capacités, savoir-faire – une entreprise peut rapidement se sentir dépassée par tout cela», constate Markus Kaegi de manière objective. Ce sentiment d’être dépassé, est-ce une raison de freiner des quatre fers sur la sécurité? Une mauvaise raison sans doute.
Se défendre – et se taire
Les cyber-risques sont nombreux (voir encadré). Nemanja Mitic supprime d’une simple pression sur un bouton le cache qui protège les collaborateurs du SOC des regards de ceux travaillant dans la salle de conférence voisine. Il explique: «Nous travaillons ici 24h/24 et 7j/7. Croyez-moi, nous ne nous ennuyons jamais!» Son collègue M. Kaegi présente d’autres chiffres. Selon ses données, les experts en sécurité de Swisscom bloquent tous les mois en moyenne 2 250 attaques par hameçonnage et détectent 1 300 attaques avec des logiciels malveillants.
Ces actions de défense réussies sont souvent passées sous silence. «Nous, Suisses, préférons garder cela pour nous lorsque quelque chose de désagréable comme une cyberattaque se produit, cela est inscrit dans notre ADN», explique Markus Kaegi. Cela peut parfaitement se comprendre et, dans le même temps, c’est comme si nous nous tirions une balle dans le pied. «En particulier dans la lutte contre la cybercriminalité, un peu de transparence pourrait être profitable à tous.» Les attaques visant des réseaux d’entreprise pourraient être contrées plus rapidement et plus largement, et les données analysées pourraient fournir des informations sur d’autres attaques prévues.
Cela fait longtemps que les adolescents hackers qui suscitent étonnamment l’admiration du grand public ne sont plus la source du problème. «Nous avons affaire à des structures organisées de manière professionnelle; la cybercriminalité a pris entre-temps une ampleur industrielle», souligne M. Kaegi. Swisscom combat de tels agissements dans les réseaux grâce à un large portefeuille de Managed Security Services (MSS-i). Ceux-ci peuvent être associés de façon modulaire selon les besoins. Le client se constitue un paquet qui garantit la protection des infrastructures IT et des processus commerciaux numériques.
Il y a de l’ambiance dans le Swisscom Security Operation Center dans le quartier de Binz de Zurich. Il serait toutefois exagéré de parler d’effervescence. Sur l’un des grands écrans affichant entre autres les cyberattaques actuelles, le dossier d’un client apparaît. Cela signifie que la plateforme de surveillance intelligente enregistre un incident et qu’elle n’a pas réussi, pour une fois, à y remédier – l’attaque est alors qualifiée de «menaçante» par le système de défense automatique. Les analystes en sécurité interviennent, deux hommes et une femme se consultent et délibèrent sur la suite de la procédure. «C’est toujours une histoire d’interaction entre l’homme et la machine», explique Nemanja Mitic. «À présent, il faut que les choses aillent vite; pendant que mes collègues travaillent à l’élaboration d’une solution, le client est informé de l’incident.» Sur un Dashboard, ce dernier peut suivre l’évolution en temps réel.
Fausse alerte à cause de Federer
Un acte criminel n’est pas toujours ce qui déclenche l’alarme. N. Mitic cite un exemple issu de la pratique: «Si Roger Federer dispute un match de tennis, les personnes dans les bureaux veulent pouvoir suivre la partie.» Ils regardent donc le jeu sur l’écran de leur ordinateur. Le responsable du SOC sourit. «Et il peut arriver que certains réseaux interprètent cette charge excessive comme une attaque ciblée du service informatique.»
L’attaque de piratage, qui a occupé les spécialistes, est entre-temps évincée. Le client a été victime d’une attaque par hameçonnage. Le firewall de Swisscom est cependant capable de bloquer le malware – grâce aux agents de sécurité, un dommage a pu être évité. Le client reçoit maintenant un rapport détaillé, et les analystes sirotent leur thé. Personne ne sait quand est-ce que le prochain cas sérieux va se présenter.
Sur les grands écrans accrochés au mur du Swisscom Security Operation Center, la liste des tâches à traiter apparaît. À côté, le président américain parle. Et sur un troisième écran, des lignes blanches se croisent, lesquelles affichent les cyberattaques actuelles dans le monde entier. Nemanja Mitic active le cache: fin de la présentation. «Nous sommes un peu comme les videurs postés à l’entrée d’un club tendance», explique-t-il, s’apprêtant à quitter le niveau de sécurité 3 pour entrer dans le niveau de sécurité 4. «Nous refusons l’accès à ceux qui pourraient générer des problèmes. Et mettons dehors tous ceux qui font du grabuge.»
Les cyber-risques les plus fréquents!
La Centrale d’enregistrement et d’analyse pour la sûreté de l’information de la Confédération (MELANI) détecte une multitude de cyber-risques auxquels sont exposées les entreprises:
(Cyber)espionnage
Les faiblesses dans l’infrastructure numérique – absence de cryptage dans une connexion Internet ou mots de passe faibles par exemple – sont exploitées par les cyber-criminels dans le but de collecter des informations confidentielles et de préparer d’autres attaques. Les entreprise publiques ne sont pas les seules concernées; cela touche également les entreprises dont le savoir-faire est dérobé et utilisé de manière abusive.
Fuites de données
Des données confidentielles sont dérobées. L’attaquant externe exerce un chantage sur l’entreprise, en menaçant de publier, de copier et de diffuser ces données. Il est difficile de savoir si l’affirmation est vraie ou non, c’est pourquoi la plupart des entreprises concernées paient la rançon dans le doute.
DDoS
Les attaques désignées visent à restreindre la disponibilité d’un service IT comme un site Web ou une boutique Web et à faire planter le service IT. Ces attaques peuvent également être associées à du chantage. Ce sont principalement les services IT avec une capacité de travail limitée ou sans surveillance du trafic de données qui sont exploités.
Ingénierie sociale
Les utilisateurs sont induits en erreur par le biais d’astuces psychologiques, les poussant à réaliser des activités informatiques dangereuses. L’ingénierie sociale utilise la «faiblesse» humaine. En fait partie la technique de mise sous pression de la victime, avec des messages du type «Connectez-vous immédiatement, sinon votre compte sera bloqué».
Hameçonnage
Une attaque par hameçonnage vise à espionner les données d’accès de la personne souhaitée, sous couvert d’une fausse identité, par exemple celle de la banque personnelle. Grâce au mot de passe acquis frauduleusement, les cyber-criminels peuvent avoir accès à la banque en ligne de la victime.
Malware
Dans de nombreuses cyberattaques, des logiciels malveillants, lesdits malwares, sont utilisés. Les systèmes informatiques sont manipulés et les données sont espionnées, modifiées, voire détruites. Pour l’entreprise concernée, une telle attaque s’accompagne d’une perte de confidentialité, d’intégrité et de disponibilité des données.
Ransomware
Par le biais de chevaux de Troie de cryptage, les «ramsomware», les données de la victime sont cryptées et rendues inutilisables. Les cyber-criminels exigent de l’argent et offrent en contrepartie de déchiffrer leurs données, sans garantie.
Newsletter
Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?
En savoir plus sur ce thème
