« Je ne pensais pas que cet équipement était exposé » Outil clé dans toutes les démarches de gestion des risques, la cartographie du système d’information donne une meilleure visibilité sur la surface d’attaque… Et génère toujours son lot de surprises. Pour Advens et le monde de la cybersécurité en général, c’est un indispensable puisque l’on ne peut auditer et protéger que ce que l’on connait. Mais comment procéder pour en faire un véritable outil de pilotage, de défense et de résilience ?
La cartographie du système d’information comme processus
Historiquement, la cybersécurité a tendance à se focaliser sur les menaces venues de l’extérieur. Essentiel mais peu efficace sans connaissance préalable des éléments qui composent le système d’information visé par ces attaques.
Il est donc indispensable d’identifier, via la cartographie, les assets et les services du SI, le propriétaire de chacun de ces services, etc. L’exercice revêt une forte connotation technique mais il peut également inclure des éléments fonctionnels ou organisationnels qui permettent par exemple de notifier les bons interlocuteurs en cas d’incident. L’objectif est de croiser les visions métier, applicative et infrastructure pour obtenir une représentation à la fois lisible et détaillée du SI.
« C’est un processus plus qu’une photo car les périmètres évoluent très vite », précise Jérémie Jourdin, CTO Advens. D’où le principe de découverte en continu au cœur du travail de cartographie lors du déploiement d’un SOC.
La cartographie du système d’information en centre opérationnel de sécurité
Communiquer
La vocation du SOC est de détecter, analyser et remédier aux incidents de sécurité . Dans la phase de réaction, il est capital d’avoir une vue de chaine de défense en identifiant les bons interlocuteurs. « C’est ce que nous appelons le pacte de communication. ».
Documenter
Une fois ce fondement posé, s’ouvre une phase de récolte lors de laquelle le client fournit la documentation disponible pour commencer à dessiner son contexte. Il peut s’agir a minima de schémas réseaux ou de listings Excel, grâce auxquels Advens dresse une cartographie initiale qui sera ensuite actualisée.
« Dans le cas de clients internationaux aux périmètres massifs, nous avons développé des méthodologies et des outils internes capables de gérer des centaines de milliers d’assets », indique Jérémie Jourdin. Ces clients disposent généralement de bases de données de gestion de configurations (CMDB) avec lesquelles le SOC Advens est en mesure de s’interfacer.
Combiner les approches
Si la CMDB est à jour, Advens en extrait les éléments de cartographie et les intègre à ses outils. Si la qualité de la CMDB n’est pas au rendez-vous, ou en l’absence de CMDB, le service cartographie d’Advens emploie une seconde méthode, qui combine découverte active et passive des périmètres.
« Notre outillage interne scanne par exemple activement les réseaux et collecte passivement des logs, de façon à aboutir rapidement à une cartographie puissante. », explique Jérémie Jourdin. En parallèle de ces outils développés en propre, Advens enrichit son analyse passive grâce à des solutions partenaires comme des sondes réseau spécialisées pour le monde de la santé ou de l’industrie. Ces équipements, placés à des endroits stratégiques chez le client, sont opérés automatiquement.
Actualiser
Dans un contexte de SOC, la notion de cartographie initiale existe donc bien mais chaque nouvel asset détecté est analysé et surveillé : la cartographie est par essence mise à jour. Grâce à ce processus d’amélioration continue inhérent au SOC, les clients bénéficient d’une cartographie actualisée au fil du temps et même ceux qui disposaient d’une bonne CMDB l’enrichissent.
Focus sur la cartographie en milieu industriel
Les systèmes opérationnels sont généralement moins bien cartographiés que les systèmes d’information classiques. Ces premiers réseaux restent encore trop souvent à plat et les protocoles industriels utilisés dans le monde de l’OT impliquent des techniques de découverte différentes de l’IT. Ainsi, scanner un réseau OT via un système de sonde peut s’avérer dangereux si celui-ci présente des équipements et configurations vétustes.
Quel pourrait être l’impact de NIS 2 sur la cartographie ?
Sans que la directive soit explicite sur ce point, il faut s’attendre à voir la cartographie apparaitre dans la transposition du texte car c’est un élément commun à tous les référentiels de l’ANSSI (règle 3 de la Loi de Programmation Militaire, règle 6 de NIS 1, règle 4 du guide d’hygiène informatique).
Il est probable que la cartographie s’étende aux tiers puisque la maitrise de l’écosystème est à la fois une nouveauté et un point central de NIS 2, en plus de la connaissance complète du SI.
La cartographie pourrait ainsi devenir obligatoire et donc, contrôlée. Cela impliquerait une gestion du changement d’ampleur pour les entreprises, loin d’être matures sur ce sujet. Heureusement, des outils un peu plus conviviaux commencent à émerger pour les aider dans cette tâche.
La cartographie du système d’information, plus qu’un sujet technique, une vision commune
En définitive, la cartographie doit dépasser le cadre technique pour déployer son plein potentiel et contextualiser le travail de détection engagé par le SOC. D’où l’importance d’intégrer et de mettre à jour les informations d’ordre organisationnel. C’est en effet à cette condition qu’elle troquera son statut d’exercice fastidieux et chronophage pour celui d’aide actionnable et précieuse à la réaction en cas d’incident.
Article initialement paru dans Cyberun
