vladimircaribb - Fotolia
Cegedim combine NOC et SOC grâce à InsightIDR
Le groupe, agréé hébergeur de données de santé, a retenu l’outil de Rapid7 pour gagner en visibilité sur son infrastructure. De quoi, au passage, confier à ses équipes réseau la supervision 24/7 de la sécurité de l’environnement.
C’est une analyse de risque, réalisée en 2015, qui a conduit Cegedim à déployer InsightIDR, une solution lancée par Rapid7 début 2016 avec l’ambition d’aider à réduire les délais de détection et de remédiation des incidents de sécurité. Comme l’explique Romain Vergniol, responsable de la sécurité informatique de Cegedim, cette analyse a fait ressortir une faiblesse : la capacité interne à détecter les incidents et à réagir, faute notamment de supervision 24/7 de la sécurité du système d’information.
Si Cegedim faisait déjà de la gestion de journaux d’activité avec LogLogic et Splunk - pour les systèmes, l’authentification, les applications ou encore le middleware -, il fallait en fait aller plus loin, notamment pour répondre aux exigences des standards de sécurité des clients de son socle d’hébergement - agréé hébergeur de données de santé.
Une mise en œuvre simple
Romain Vergniol et ses équipes se sont dès lors penchés sur la toute nouvelle solution de Rapid7 ainsi que sur celle, concurrente, de la toute jeune pousse Cynet : « la philosophie est un peu la même, mais nous avons préféré les règles de corrélation et les mécanismes d’analyse comportementale d’InsightIDR ».
La phase de pilote a permis de découvrir un déploiement « simplissime » : il s’agit d’installer une machine virtuelle chargée de collecter, agréger et envoyer les journaux à l’infrastructure de Rapid7 où l’analyse est effectuée. Initialement, Cegedim a configuré serveurs, contrôleur de domaine et aux éléments d’infrastructure pour pousser les logs vers ce collecteur. Depuis, une application Splunk est apparue qui permet d’éviter un double transfert des journaux. Les postes de travail sont également supervisés, via des agents résidents. Et là aussi, le déploiement s’avère particulièrement simple : « on passe par un compte de service disposant des privilèges nécessaires pour installer des applications sur les postes. On indique ensuite au collecteur les plages d’adresses IP des postes à surveiller ». Et il se charge du reste.
Une visibilité étendue
De manière générale, Romain Vergniol explique gagner en visibilité sur les événements se produisant sur le réseau interne. Mais dans le détail, les gains vont bien plus loin. Ne serait-ce que durant la phase de test initiale, des différences notables ont été constatées entre la réalité de la situation sur les comptes à privilèges et l’état présenté par la dernière revue en date : « nous avons retrouvé une vision complète ». Et cela vaut aussi pour les logiciels malveillants sur les postes de travail : le meilleur des antivirus n’est malheureusement pas parfait… et InsightIDR compare les empreintes des processus avec les bases de données de VirusTotal - « l’équivalent au scan transparent de tout son parc avec une cinquantaine d’antivirus différents. Forcément, on trouve des choses ».
Mais pour le responsable de la sécurité informatique, ce n’est même pas le plus intéressant. Le réel bénéfice est à chercher du côté de l’analyse comportementale, qui lui permet de ne pas être « noyé sous les alertes » comme avec… « un IPS », par exemple : « il y a très peu d’alertes, mais elles sont pertinentes » et portent sur des incidents méritant investigation. Et d’évoquer des exemples, comme l’apparition d’un nouvel administrateur de domaine - ce qui permet de vérifier si les processus internes ont été correctement suivis ou pas - ou encore un compte utilisant pour la première fois des fonctions nécessitant des privilèges élevés : « cette notion de nouveauté sur l’usage de privilèges, c’est quelque chose d’extrêmement intéressant » pour gagner en visibilité et en contrôle.
Des bénéfices organisationnels
Le déploiement d’InsightIDR a même permis à Cegedim de mettre en place la supervision de la sécurité 24/7 qui lui faisait défaut… sans avoir à mettre en place un centre opérationnel de sécurité (SOC) interne, ni même à recourir à un tiers prestataire de services de sécurité managés (MSSP) : « nous avions déjà un centre de supervision réseau (NOC) travaillant en 24/7, avec des équipes motivées pour être formées à la sécurité ». Certaines tâches avaient déjà commencé à leur être déléguées, avant le déploiement de la solution de Rapid7. Mais celle-ci a permis d’envisager d’aller plus loin.
Romain Vergniol explique que l’interface d’InsightIDR brille pas sa simplicité et son efficacité : « elle est facile d’usage, que ce soit pour gérer les alertes ou assurer un premier niveau d’investigation. Les fiches synthétiques utilisateur et poste présentent toutes les informations nécessaires sur une même page. Cela fait gagner énormément de temps ».
Dès lors, lui, qui n’imaginait pas confier un système de gestion des informations et des événements de sécurité (SIEM) à ses équipes NOC, a commencé à procéder à un transfert de compétence et à ouvrir l’accès à InsightIDR à ces équipes. Au final, le responsable de la sécurité informatique de Cegedim ne cache pas la satisfaction retirée d’un projet plus simple et moins onéreux que la contractualisation avec un MSSP. « Mais les objectifs fixés fin 2015 sont atteints ».
Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)
-
Rapid7 met en garde contre les tendances lourdes en matière de vulnérabilités de type zero-day
-
Ransomware : les VPN Cisco attaqués par Akira et LockBit
-
Campagne MOVEit : Cl0p divulgue une grande quantité de données volées à Cegedim
-
SIEM : pour Gartner, Exabeam et Securonix sont passés devant Splunk et IBM