Comment Mirakl a bâti son SOC sur le XDR de Sekoia.io

Avec un système d’information 100 % cloud, le spécialiste de la marketplace a fait le choix de centraliser toutes les données de ses solutions de cybersécurité SaaS vers la plateforme Sekoia.io. Un choix qui lui permet de tenir son SOC avec des effectifs très réduits.

Tout acheteur de produits partenaires sur les sites de Carrefour, Auchan, Leroy Merlin ou de Décathlon voient ses commandes transiter par les serveurs de Mirakl. Ce spécialiste de la marketplace en marque blanche s’est fait connaître il y a deux ans pour avoir levé 555 millions de dollars. L’entreprise compte aujourd’hui 750 collaborateurs et supporte 6 milliards de dollars de volume d'affaires par an.

La plateforme technique de Mirakl est multicloud, avec des infrastructures placées chez AWS, Google Cloud Platform et Microsoft Azure. Des briques de sécurité ont été déployées sur chacun de ces environnements tant au niveau des infrastructures et des applicatifs que pour effectuer de la collecte de journaux d’activité (logs).

« Un point important est que nous avons très peu d’infrastructures physiques », explique Alexis Cadoret, Security Operations Lead chez Mirakl. « Nous avons 750 postes de travail et c’est à peu près tout ! Notre réseau se limite à la fourniture de connexions Internet, et l’équipe est très réduite. Nous sommes 2 seulement sur la partie SOC et 5 si on y ajoute la partie gouvernance et pilotage. Il nous faut des outils qui nous permettent de déployer des actions directement sans devoir entrer dans des usines à gaz ».

La sécurité de l’entreprise s’appuie sur de multiples solutions SaaS avec autant de consoles de supervision à manipuler : « en cas d’incident, on se dispersait très vite. Nous ne disposions pas d’un point central où récupérer toutes les informations afin d’améliorer nos capacités de détection et de corréler les données de nos logs. C’était notre besoin le plus important. Il nous fallait une solution capable de communiquer avec ces solutions SaaS via leurs API et enrichir ces logs avec des informations de CTI [Cyber Threat Intelligence, ou renseignement sur les menaces] ». 

Mirakl a privilégié sa proximité avec Sekoia.io

Le responsable a fait le choix d’une autre jeune entreprise issue de la French Tech pour structurer son activité SOC, Sekoia.io. Outre une grande proximité d’identité entre les deux partenaires, la start-up a su accompagner Mirakl en phase de démonstrateur de la solution, puis lors du déploiement.

Le souci numéro 1 d’Alexis Cadoret était de connecter simplement et rapidement toutes ses solutions de sécurité SaaS afin d’alimenter le XDR Sekoia.io : « la plupart des connecteurs nécessaires étaient déjà disponibles », souligne le responsable. « Nous avons pu immédiatement remonter des informations dans la console de Sekoia.io et, quand il n’y avait pas d’intégrations disponibles, nous avons trouvé une forte réactivité de l’éditeur pour développer de nouveaux connecteurs. Il était important pour nous de connecter nos outils de sécurité d’infrastructure, notre outil de surveillance applicative et récupérer directement toutes les données sur la console Sekoia.io ». 

Alors qu’il n’existait pas de connecteur natif pour la solution de bastion de Teleport récemment déployée par Mirakl, l’équipe SOC a rapidement créé un petit parser pour récupérer les données de logs et les injecter dans le XDR : « sur Teleport, nous avions besoin d’un monitoring de l’activité de populations spécifiques, notamment les prestataires, et nous assurer que nous n’allions pas rater une activité suspecte. Développer un connecteur a été assez rapide. En quelques heures, nous avons pu récupérer les informations contenues dans les logs, générer un fichier JSON et intégrer les événements dans Sekoia.io. Nous disposons de toutes les briques pour récupérer l’événement, le normaliser et le stocker dans la plateforme centrale ».

De même, le responsable pointe la simplicité offerte par la solution pour créer des règles à partir de nouvelles sources de données, définir des patterns de détection, etc. « En une après-midi, une connexion avec une application peut être configurée de A à Z par une seule personne », résume Alexis Cadoret.

Une dizaine de sources de logs étaient centralisées sur la plateforme Sekoia.io au démarrage du projet, que ce soit des solutions d’infrastructure cloud ou l’applicatif. Ainsi, des informations sont collectées auprès des services de Cloudflare et Datadog : « nous n’avons aucune perte d’informations. Cette centralisation des événements participe à l’amélioration de notre connaissance du SI, car on parvient à comprendre ce qui survient même lorsqu’il s’agit de systèmes différents qui fonctionnaient en stand-alone jusque-là. Cela contribue à améliorer notre délai de réponse et nos capacités d’investigation ».

« Avant cette centralisation de nos logs sur Sekoia.io, nous devions chercher les détails d’alerte dans les consoles de chacune de nos solutions de sécurité. Ingérable pour une équipe SOC de 2 personnes seulement. »
Alexis CadoretSecurity Operations Lead de Mirakl

Actuellement, le volume de logs issus du système d’information de Mirakl et ingérés par la plateforme Sekoia.io est de l’ordre du milliard de lignes sur 7 jours. 490 règles ont été activées. Il s’agit essentiellement de règles proposées par Sekoia.io, mais aussi de règles personnalisées créées par la petite équipe SOC. Ces règles mettent en œuvre les moteurs Sigma et Sigma Correlations de la plateforme Sekoia.io.

Ces règles viennent compléter celles déjà en place sur les solutions tierces déjà exploitées par Mirakl, comme le CNAPP Lacework et la plateforme Darktrace qui eux aussi disposent d’un moteur de règles et de leur propre génération d’alertes. « Cela ne fait pas un doublon, mais un complément entre ces outils : une alerte CrowdStrike va être propagée sur Sekoia, l’enrichir au passage avec la CTI ». Mirakl bénéficie des atouts des deux solutions tout en utilisant qu’une seule console.

Les Playbooks, un outil de productivité décisif

Ainsi armé, Alexis Cadoret estime disposer d’une couverture plutôt exhaustive de ses applications, tout en limitant le nombre d’alertes à traiter manuellement. Jusqu’alors, l’équipe devait analyser de l’ordre de 20 à 30 alertes par jour par plateforme. Grâce à la centralisation et les playbooks mis en place pour automatiser le traitement de ces alertes, ce ne sont plus que 1 à 3 alertes par jour qui nécessitent une investigation plus poussée : « nous avons écrit des playbooks pour pouvoir préqualifier et prétraiter ces alertes de façon à réduire le nombre d’investigations à deux ou trois alertes par jour. Lorsqu’on n’est que deux, on ne dispose pas des moyens d’investiguer sur 30 alertes par jour ».

Un playbook permet d’enrichir l’alerte de manière automatisée pour aller, par exemple, chercher des données sur Virus Total s’il s’agit d’une tentative de phishing. En glanant des informations sur les différentes solutions de sécurité, le playbook va réaliser une préqualification de l’attaque. Ainsi seront identifiés les cas qui sont légitimes au lancement d’une investigation et auxquels l’équipe va devoir consacrer du temps. « La solution fournie par Sekoia.io fonctionne sur un mode No-Code : développer un playbook se fait en drag and drop ; c’est très rapide et on peut le tester en direct pour évaluer son comportement en production », explique Alexis Cadoret.

Pour 2024, le responsable s’intéresse au module Asset Discovery qui devrait être lancé par Sekoia.io très prochainement. Celui-ci va lui permettre de lier les notions d’identité et d’actif au niveau du XDR, une capacité nouvelle qui va permettre à l’analyste en pleine investigation de « pivoter » autour d’une personne ou d’un actif et reconstituer tous les fils de l’incident en partant de ce pivot.

Propos recueillis lors des Assises de la sécurité 2023.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)