Eiffage mise sur le SIEM pour sécuriser ses moyens de paiement
Sécuriser un SI, c’est aussi contrôler ce qui s’y passe et ce qu’y font les administrateurs et les utilisateurs. C’est en tout cas l’analyse de Gwénaël Rouillec, responsable de la sécurité informatique opérationnelle du groupe Eiffage. Lors des Assises de la Sécurité, qui se déroulaient à Monaco début octobre, il est revenu, à l’occasion d’un atelier organisé par Loglogic, sur un projet de sécurisation du système de gestion des moyens de paiement grâce à une infrastructure de gestion des événements, un SIEM.
Ce n’est pas sans raison qu’Eiffage s’est décidé, en 2007, à sécuriser ses moyens de paiement. Certes, il s’agissait pour l’industriel de «dématérialiser les flux financiers [...] avec l’envoi aux banques des fichiers relatifs aux virements des salaires et des règlements fournisseurs », explique Gwénaël Rouillec, RSIO du groupe Eiffage. Un audit interne en avait souligné le caractère impératif. Mais aussi certains incidents. «Nous avons été confrontés à une escroquerie avec collusion des rôles fonctionnels. Une jolie personne a fait du charme au comptable et ils se sont arrangés entre eux.» Conséquence pour l’entreprise : «un billet de 300 000 est parti.» A l’époque, la fourniture des logs des applications à la police judiciaire a tourné «au drame». Bref, il était clairement temps de faire quelque chose, et tant pis si les maîtrises d’ouvrage, en interne, «avaient du mal à comprendre les risques SI».
Superviser en temps réel et archiver
En tout, il s’agit de sécuriser des applications utilisées par plus de 2000 personnes dans toutes les branches d’Eiffage et dans toutes ses implantations géographiques. Un ensemble qui génère rien moins que 7000 fichiers de virement par mois, soit près de 2 To de données.
Le projet a eu trois objectifs : le contrôle et la supervision des actions des utilisateurs - «et identifier les actions interdites volontaires ou non; avec le clic droit et le glisser-déposer, ça peut vite arriver» -, mais aussi archiver les traces des actions et des flux pour les éventuels besoins d’enquête : «ce n’est pas forcément dans le mois que l’on vous demande vos logs, ça peut arriver 8 mois après les événements». Alors, certes, cela n’empêche pas la malveillance, «mais cela permet de prouver». Et puis le temps réel a un coût en infrastructures et en ressources humaines, alors il faut le cantonner aux domaines où c’est vraiment nécessaire : «c’est aussi un choix économique qui est validé chez Eiffage. On est en pleine crise; on a besoin de rentabiliser les choix au mieux».
Mais de toutes façons, la responsabilité des logs «doit être confiée à une équipe dédiée. Sinon, c’est l’affaire Kerviel; la collusion des rôles ».
Le défi de la collecte des logs
L’une des premières questions auxquelles Eiffage a été confronté, c’est la maturité des éditeurs : «on prend des briques existantes. On dispose alors de logs mais qui n’apportent pas forcément la trace d’audit. Sans compter le coût. On n’a pas encore commencé que pour activer les logs, c’est 4 zéros; ça coûte une fortune à chaque fois.» De quoi motiver à bien définir le périmètre du projet : «il faut bien définir ce que l’on veut remonter.»
Mais le point noir d’un tel projet, c’est peut-être tout simplement la définition des règles de corrélation : «on a eu beaucoup de difficultés en interne [...] pour éviter les faux positifs », explique le RSIO d’Eiffage. «Ah ça en remontait des alertes... qui s’entassaient dans un coin. Au final, on ne voit plus rien passer.» Du coup, Gwénaël Rouillec a fait appel à un prestataire externe pour «nous interpréter les règles d’alerte et de corrélation par rapport à un besoin des MOA. C’est très important. Il faut prendre le temps et ne pas avoir peur de se faire accompagner. On a beaucoup travaillé là-dessus ».
Les alertes sont alors traitées par les équipes d’exploitation; le travail d’enquête sur les événements étant confié à des "experts dédiés, bien concentrés sur ce que l’on cherche» . Quant aux incidents de sécurité nécessitant un traitement immédiat, «ça tombe directement chez moi ».