--- tags: Semaine-Entreprise, ICE --- # [Entreprise] Orange ``` Intervenant : Stéphane Sciacco (Adjoint SOC manager OINIS) Baptisete Chevreau (Cyber SOC Manager OCD) fais du b2b Entreprise : Orange ``` ## Soc sans secrets Noc : network operation Center : gestion des infra réseau. (routeurs/switches...) Security operation center : gestion des infra sécurité (pare-feu/antivirus...) Cyber Soc : Gestion des risques métiers. (des règles sur une plateforme ou distribuées sur des composants) ### Cyber SOC Gestion complète de la menace 1): contextualiser le client (détection) 2): collecte de donées 3): corrélation des données (détection des évènements à risque) intelligence sur les donées -> ALERTE 4): qualification et investigation CERT (cyber emergency responsive ?) 5): Stratégie de réponse Gestion des incidenst et changements 6): Réponse sur incident : envoyer des hommes sur site pour répondre durablement à la menace en l'analysant et en la mettant hors de nuire. Nécessité d'avoir des compétences notamment en reverse. Compétences particulières : sang froid, profil directif capable de prendre du recul et de mettre en lumière les connaissances de chacun ### Organisation d'un CyberSoc général  Bâti en différentes couches de niveaux : - L1 : suivi, monitoring, surveillance, premières analyses - L2 : équipe d'analystes, mobilisable à tout moment - L3 : Experts en sécurité et solutions L'organisation d'un CyberSOC répond aux différentes menaces : nuit, week-end, là où les équipes des entreprises ne sont pas présentes. Ajout d'une direction type "CISO" pour l'interne.  pas de L1 dans le SOC interne, ils sont uniquement en réaction sur les logs Surveillance générale des logs et des flux réseaux. ### Métiers : - opératuers Analystes Soc : identifier les évènements de sécu, évaluer la gravité; informer et participer au dev et au maintien des règles de corrélation dévènements - Analyste de la menace Cybersécurité : comprendre enjeux & contextes de la menace et en réaliser une veille / qualifier les menaces / étudier l'exposition aux risques et apporter un support dans la compréhension des incidents - Cyber Data Analystes : identifier des solutions innovantes de détection et analyser des données via des techniques de DS ou ML - DevSecOps : automatiser l'analyse d'incident et la réponse qui en découle ### Tri force d'un cyber SOC : Détection basée sur la Datascience et le ML Détection par règles (incidents redoutés puis étude des vecteurs d'attaque) Threat Hunting (suivre les menaces qui arrivent, les qualifier et essayer de voir si la menace est active chez le client)  ### IOC : "Indicator Of Compromise" ou Pétrole de la détection les traces laissées par une attaque qui permettent d'évaluer le risque de compromission: - IP de machine - IP des serveurs de Command & Control - Signature de fichiers - URL d'un site de phishing - clé de registre Windows - ... Un attaquant utilise souvent les mêmes techniques, ce qui permet d'anticiper certains vecteurs. ### Une intégration des outils progressive - Analyse des flux IDS : détection, investigation, notification, remédiation - Analyse des logs - Analyse Netflow (DDoS) - Analyse flux IPS : détection d'une compromission dans le flux préalable à la coupure - Analyse mail et connexion internet (detection de code malveillants dans les mails et sur internet) pb d'analyse de logs : faut un expert pour trouver. ### Outils  Différents outils de collecte et de traitement des données sont utilisés. Outils d'hunting : surveillance proactive (port exposé, service exposé, poste informatique qui ferait tourner du torrent etc) le risque de cyber attaque est au même niveau que le réchauffement climatique Augmentation de 325% des attaques DDoS le nombre d'incidents peu importe le type a augmenté de 28% ### Les enjeux de demain  ## Jobs / Offres de Stages ### En France #### CDI #### Stage #### Etc ### À l'étranger #### CDI #### Stage #### Etc