Comment Vectra change le travail des analystes chez Saint Gobain
Le groupe a misé sur la détection d’anomalies dans le trafic réseau à l’issue de l’incident NotPetya qui l’a durement frappé en 2017. Une véritable révolution culturelle pour son centre opérationnel de sécurité.
C’est peu dire que l’incident NotPetya s’est avéré déterminant pour Saint Gobain. Nicolas Fernandez, directeur de la cybersécurité du groupe, évoquait ainsi, aux Assises de la Sécurité, à l’automne dernier, une véritable « prise de conscience au niveau du conseil d’administration », avec un effet positif : l’élaboration rapide de programmes « pour avancer ». Des programmes couvrant trois volets : « la détection, la réaction, et la résilience », car la « protection ne suffit pas ». Mais la réflexion était déjà engagée avant cela et les équipes de Saint Gobain avaient déjà prévu de tester les outils de Vectra et ses capacités de détection d’anomalies comportementales sur le réseau. Avec NotPetya, tout s’est trouvé accéléré.
Comme le souligne Paul Lemesle, responsable du centre opérationnel de sécurité (SOC) du groupe, l’épisode a donné une « nouvelle dimension » au SOC, et fait peser sur lui de nouvelles attentes, avec un nouveau mandat, « très fort en détection et réponse à incident ». Ce qui impliquait d’étendre les sources de données collectées et analysées, intégrer le réseau, ou encore mettre en œuvre des approches d’automatisation et d’orchestration.
Dans cette perspective, le déploiement d’outils comme ceux de Vectra ne manque assurément pas d’intérêt. D’autant plus que l’installation initiale n’est pas particulièrement consommatrice de ressources.
Paul Lemesle résume d’ailleurs ainsi la mise en œuvre : « c’est simple, c’est une sonde réseau à placer au bon endroit et à connecter à Cognito », le ‘cerveau’ de Vectra. L’infrastructure de Saint Gobain recouvre 140 000 postes de travail, répartis dans 60 pays, et 10 000 serveurs, ces derniers étant répartis sur trois centres de calcul principaux et une dizaine de centres de calcul régionaux. C’est le hub parisien du groupe qui a été retenu comme premier point de collecte, « pour recevoir tout le trafic entrant et sortant des centres de calcul et des utilisateurs ».
Comme pour un système de détection/prévention des intrusions (IDS/IPS), le positionnement des sondes est critique. Depuis le déploiement initial, Saint Gobain a donc sélectionné d’autres points de collecte, notamment pour couvrir le trafic entre centres de calcul.
Paul Lemesle souligne qu’une fois une sonde déployée, « elle remonte des détections très très vite ». A l’automne dernier, le déploiement Vectra du groupe s’appuyait sur cinq sondes pour analyser 8 Gbps de trafic, avec des pointes à 10 Gbps. Tout cela pour offrir « une vue complète des hôtes du réseau présentant des comportements déviants ». Et cela sur la base d’une cinquantaine de cas d’usage, les hôtes étant classés suivant le degré de certitude de la détection et le niveau de danger de la menace considérée.
Reste que la mise en œuvre d’une solution de détection d’anomalies comportementales ne va pas sans défis. Piotr Matusiak, RSSI de L’Oréal, l’avait déjà souligné dans nos colonnes en revenant sur son déploiement de Darktrace.
Paul Lemesle estime ainsi que l’analyse comportementale du trafic réseau (NTA pour Network Trafic Analytics), consiste en fait en un « changement de paradigme » par l’utilisation d’un système de gestion des informations et des événements de sécurité (SIEM) classique : « avec un SIEM, on reçoit des alertes qu’il faut qualifier », mais avec un outil de NTA, « on a directement une détection qualifiée ; un comportement anormal sur le réseau ». Dès lors, « la question que l’on doit se poser est de savoir si cette anomalie est légitime ou pas ».
Paul LemesleResponsable SOC, Saint Gobain
Développant son propos, le responsable du SOC de Saint Gobain explique « que l’on est amené à réfléchir en termes de comportement et pas d’offense. Un comportement anormal demande une analyse plus fine ». Pour lui, donc, il n’y a jamais là de faux positif, mais des remontées sur la légitimité desquelles il faut enquêter. Et de faire le parallèle avec les alertes que peuvent remonter les analystes de niveau un et deux d’un prestataire de services de sécurité managés : « pour répondre à cela, on ne déroule pas un playbook préétabli ; on a besoin d’analystes de niveau 3, dotés d’une connaissance du métier ». Mais également capables d’aller chercher des indices dans les traces réseau, dans d’autres systèmes de sécurité – comme un outil de détection et de remédiation sur les hôtes (EDR).
Paul Lemesle prend ainsi un exemple : de nombreux systèmes présentaient un comportement anormal, typique d’un ver. Mais en fait, de maliciel il n’y avait point : l’enquête a permis d’identifier un service lié à la suite Bartender, un outil de gestion de codes barres en cours de déploiement par les métiers, et qui scanne le réseau à la recherche, notamment, de son serveur de licences. De la même manière, Cognito a alerté à l’occasion de prises en main à distance via WebEx… en soupçonnant des communications de type Command & Control (C2C). Mais encore une fois, pour Paul Lemesle, pas question de parler de faux positif : une anomalie comportementale est observée, détectée ; cela justifie une enquête.
Toutefois, dans la pratique, ce « changement de paradigme » conduit à une évolution des besoins au sein du SOC : « les analystes de niveau 1 n’ont pas l’expertise » nécessaire pour traiter les détections des outils de NTA ; « cela nécessite une adaptation complète de l’équipe, car nous avons besoin d’analystes de plus haut niveau pour aller chercher des traces ailleurs et les corréler ». Sans compter également « une connaissance fine du système d’information ».