C'est tout à l'honneur de l'ARCEP ! Disons qu'un coeur de réseau moderne est une usine d'une complexité incroyable.
La détection par un SOC – Security Operations Center –, c'est-à-dire un système de supervision, devient un centre névralgique qu'il faut protéger, comme il faut protéger le centre de planification et de conduite des opérations (CPCO) dans le domaine militaire. En effet, si un attaquant lit à livre ouvert dans les intentions du CPCO, il sera très difficile de conduire des opérations efficaces.
Encore une fois, la priorité pour les opérateurs n'est pas de déployer des sondes partout mais d'exploiter les données dont ils disposent déjà, c'est-à-dire d'y rechercher des marqueurs connus – ce qui n'est pas encore fait systématiquement – mais aussi des marqueurs qui ne sont pas connus et que nous ne voulons pas rendre publics. On me fait parfois le reproche de ne pas rendre publiques toutes les connaissances que nous avons des attaques mais si l'on annonce publiquement, y compris aux attaquants, qu'ils sont repérés, alors ils changeront immédiatement de méthode – et ils font preuve à cet égard d'une agilité incroyable. Il est donc normal, hélas, qu'une partie des marqueurs dits indicateurs de compromission (IOC) soient publics et exploités, mais que le secret entoure encore, à des degrés parfois très élevés, certains marqueurs si précieux et sensibles que nous ne voulons pas les donner – le problème étant qu'ils se trouvent dans nos coffres et qu'ils ne détectent rien. Il nous faut donc trouver un équilibre entre les marqueurs que nous pouvons donner à certains opérateurs de confiance et les sondes souveraines, qui ont tout leur rôle à jouer parce qu'elles sont capables de garder le secret concernant les marqueurs techniques qu'il ne faut pas révéler aux attaquants.