EDF/MARC CARAVEO

Comment EDF fait face à 10 millions de cyber-attaques par an

EDF s'est appuyé sur Orange pour mettre en place un Security Operations Center (SOC) afin de faire face aux multiples attaques dont est victime son SI chaque seconde. Plus d'une année et demi de travail a été nécessaire tant le contexte d'EDF est complexe et l'intensité des assauts élevée.

C'est désormais de notoriété publique, les énergéticiens sont, après les banques, l'une des cibles privilégiées des pirates informatiques. En décembre 2015, des hackers étaient même parvenus à interrompre la production de trois centrales énergétiques en Ukraine avec une attaques particulièrement évoluée. Et on imagine que bon nombre des installations d'EDF ont été classées OIV (opérateurs d'importance vitale) par l'ANSSI, l'agence nationale de la Sécurité des systèmes d'information. En conséquence, EDF doit hausser le niveau de protection "cyber" de ses installations et renforcer ses moyens de reporting d'incidents vis-à-vis des autorités en cas d'attaque.

Groupe comptant 155.000 personnes, EDF est présent sur de multiples métiers, depuis la distribution jusqu'au nucléaire, en passant par l'hydraulique, le thermique, l'hydraulique et les énergies nouvelles. De ce fait, son environnement informatique est complexe et réparti à l'international.

Celui-ci est géré par les 1 800 personnes, dont 200 personnes dans les équipes sécurité. Entre 30 à 40 personnes travaillent sur le volet purement cybersurveillance. Une centaine de personnes assurent une permanence 24 heures sur 24 et 7 jours sur 7 en cas d'incident.

EDF veut maîtriser sa cybersurveillance en interne

Olivier Ligneul, RSSI du groupe EDF revient sur l'approche qui a mené le groupe à mettre en place un SOC interne pour veiller à la sécurité du système d'information du groupe. « Nous voulions impérativement que nos équipes internes gardent la maîtrise de notre cybersurveillance. Le SOC vient assurer les fonctions de détection des événement, il sert de contrôle de l'ensemble du système d'information afin de nous donner les moyens de réagir ».

Si les membres du projet sont particulièrement discrets quant aux solutions mises en œuvre dans ce SOC, EDF exploite notamment le SIEM QRadar édité par IBM. La phase d'intégration du SOC, menée avec Orange a duré plus d'un an et demi car pour Olivier Ligneul, l'intégration de l'outil au contexte EDF était capitale dans le succès du projet. « Nous avons voulu un outillage qui soit totalement adapté à notre environnement, notre histoire et notre culture d'entreprise. Un événement qui est remonté par le SOC est un événement qui doit être ramené au contexte d'EDF, qui doit avoir une vraie signification soit pour le métier, soit pour les exploitants… et pas simplement une alerte réseau qui ne veut rien dire ».

Le SOC mis en œuvre chez EDF est alimenté par l'ensemble des informations relatives aux failles et attaques disponibles auprès des CERT, des "Feeds" qui publient les IOC (Indicator of Compromise) qui vont permettre aux équipes d'identifier le plus rapidement possibles les attaques et se préparer à les contrer.

En parallèle, le SOC collecte en temps réel l'ensemble des données d'activité générées par le système d'information d'EDF et de ses équipements de protection périmétrique comme les firewalls ou les IPS. Il recueille aussi des informations auprès des applications et de l'ensemble des activités métier afin de détecter des comportements frauduleux.

« Il est potentiellement intéressant d'avoir un outil capable de capter un maximum d'informations. Toute la difficulté que nous avons dans la mise en œuvre de ce SOC, c'est de faire ressortir à partir de tous ces signaux faibles une information pertinente et qui pourrait aboutir à un incident de sécurité que l'on devrait traiter », explique le RSSI.

Etant donnée la richesse du SI d'EDF et du nombre d'équipements et d'applications qui le composent, les responsables du projet ont dû revoir à la baisse leurs ambitions. Si tous les équipements avaient dû transmettre leurs données de log, 10% du réseau interne d'EDF aurait été mobilisés, une charge bien évidemment impossible à tenir. « Idéalement, nous aurions voulu intégrer toutes les sources de possibles, mais cela représente un volume de données beaucoup trop important à traiter, donc il faut opérer un choix sur les équipements, applicatifs et réseaux qui sont pertinents en regard de notre contexte et des besoins métiers. »

Actuellement, le SOC EDF traite l'ensemble du périmètre du SI de gestion, et des informations remontent d'autres environnements, notamment afin d'intégrer des logs applicatives, une démarche plus récente.

Il est aussi mis en œuvre pour les SI industriels du groupe, mais Olivier Ligneul ne souhaite pas intégrer en central de compétences sur ces SI industriels. « Nous avons des équipes dédiées qui sont chacune spécialisées dans leurs métiers et qui travaillent dans un environnement qui leur est propre. Il était intéressant de les ramener sur le SOC car, potentiellement, leurs informations peuvent aussi être traitées par ses corrélateurs d'événements de notre SOC. Très vite une relation s'est créée avec les métiers afin qu'ils utilisent notre SOC et n'aient pas à investir de leur côté dans des outils équivalents ».

10 000 événements de sécurité traités par seconde

La mise en place a été imposée à l'ensemble du groupe EDF et la cybersurveillance s'effectue sur les systèmes informatiques et réseau tant en France que dans les filiales à l'étranger. En outre, le SOC est désormais intégré au dispositif de gestion de crise de l'énergéticien. Une dimension SI a été intégrée à la gestion de crise d'EDF qui est transversale dans le groupe.

« Si un incident cyber survient, on va armer la cellule de crise des différents métiers qui sont impactés et on arme la cellule de crise liée à l'activité cyber de manière à bien coordonner la vision des métiers et celle de l'informatique. »

Le SOC d'EDF est officiellement en production depuis 9 mois environ, après un an et demi d'intégration et le moins qu'on puisse dire, c'est ce celui-ci ne chôme pas. « Notre SOC traite 10 000 événements par seconde, des événements de sécurité qui peuvent être corrélés entre eux et éventuellement se transformer en incidents de sécurité. Nous traitons 115 vulnérabilités par mois et en parallèle, nos systèmes automatiques bloquent plus de 10 millions de tentatives d'attaques par an ».

La difficulté majeure pour le RSSI d'EDF, c'est que le SOC puisse traiter un maximum d'attaques en mode automatique afin de ne pas submerger l'équipe de cybersurveillance d'incidents à traiter manuellement.

« Notre problématique c'est être capable de gérer les incidents de sécurité de manière industrialisée, de pouvoir les qualifier et avoir des niveaux de communication correspondant au niveau de la menace. Il faut une organisation adaptée à cela, Il faut aussi savoir concentrer ses efforts sur les éléments de sécurité qui sortent du commun ».

Olivier Ligneul explique ainsi que chaque mois une centaine d'incidents ne peuvent être traités par les procédures automatiques et nécessitent l'intervention d'un expert sécurité. Le système de signalement des attaques de phishing remonte 7 000 signalements par mois, soit 4 000 messages différents à traiter chaque mois. « Parmi les menaces qui nous obligent à passer dans un mode de traitement plus "costaud", les attaques Dridex notamment, nous en subissons une dizaine par an » révèle le RSSI.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)