Faurecia place son EDR en première ligne face aux attaquants
L’équipementier automobile revoit son architecture de sécurité. S’il conserve son SOC, l’EDR et le SOAR occupent désormais une place prépondérante dans la protection du groupe. Une évolution majeure alors que le groupe opère sa transition vers le cloud.
Fort de 114 000 personnes dans le monde, Faurecia est ce que l’on appelle un « Tiers One » du secteur automobile. Il équipe 1 véhicule sur 3 dans le monde : des modèles commercialisés par Renault, Peugeot, mais aussi Tesla ou… Ferrari.
La sécurité de ses sites internationaux est supervisée par un centre opérationnel de sécurité (SOC) qui joue le rôle de vigie sur l’ensemble de ses infrastructures IT. Un rôle que Olivier Daloy, RSSI Groupe de Faurecia, a décidé de remettre en cause. « Nous avons fait le choix d’arrêter de déterminer ce qui survient dans nos systèmes en regardant les logs [journaux d’activité, N.D.L.R.] produits par les infrastructures. Nous avons fait le choix inverse de prendre le poste de travail comme source potentielle de l’alerte de sécurité, car c’est là que se situent les applications et les données ».
Christophe LonguepezDirecteur Business Unit SecOps, OpenMinded/Accenture
Le RSSI a fait le choix de s’appuyer sur l’offre d’EDR managé (MDR) de l’éditeur Cybereason qui assure le niveau 1 de détection des incidents. « Il ne faut pas imaginer que l’EDR va tout faire et peut tout remplacer, mais c’est lui qui est capable de vous dire ce qui se passe. Il donne aussi la capacité de pouvoir répondre à l’attaque directement sur la machine. Si un ransomware ou un malware à diffusion rapide est détecté sur une machine, vous avez besoin d’isoler très rapidement cette machine avec l’EDR. Et de ne pas avoir à appeler l’IT locale sur le site afin de localiser la machine connectée au réseau Wi-Fi pour l’éteindre le plus vite possible ». Autre atout en faveur de l’EDR par rapport à une approche plus classique, il permet de garder un lien actif avec la machine infectée afin d’investiguer sur l’incident, tout en lui interdisant toute autre communication réseau.
Christophe Longuepez, directeur de la Business Unit SecOps d’OpenMinded/Accenture, l’intégrateur venu aider Faurecia dans ce déploiement précise : « L’EDR est-il suffisant pour détecter l’ensemble des éléments de sécurité ? La réponse est non. Il faut allier l’EDR avec de nombreuses autres solutions traditionnelles comme le filtrage réseau, les gateways Web, etc. Tous ces composants sont tout aussi indispensables que l’EDR dans la capacité de détection. La détection de malveillance sur les éléments cloud est un point important, et placer un EDR sur ces serveurs externes n’est pas suffisant. De même, pour les environnements industriels, les équipements IoT et IIoT ne peuvent porter un agent EDR, il faut donc avoir une vue “autre” sur ces systèmes ».
Si l’EDR constitue maintenant le premier rideau défensif du groupe Faurecia, c’est pour toutes ces limites qu’Olivier Daloy ne compte pas réduire la voilure de son SOC bâti sur le système de gestion des informations et des événements de sécurité (SIEM) Elastic Cyber Security Analytics : « notre parti-pris est de travailler à partir des alertes collectées au niveau des endpoints plutôt que sur l’infrastructure, et d’utiliser celle-ci pour éclairer sur ce qui s’est passé. Je ne néglige pas pour autant les logs qui viennent des infrastructures de sécurité. Je les utilise pour m’éclairer, savoir ce qui s’est passé et comment cela s’est passé, quelles ont été les portes d’entrée de l’attaque, les portes de sortie ».
Priorité est donnée à l’automatisation de la réponse
L’autre grande priorité du RSSI de Faurecia est d’automatiser au maximum ses mécanismes de défense. La cheville ouvrière de cette automatisation, c’est la solution xSOAR de Palo Alto Networks. Matthieu Favris, SOC et Incident Response Manager de Faurecia, explique le rôle de l’orchestrateur de sécurité : « le SIEM n’est pas mort, mais le SOAR a pris sa place ! Lorsque je suis arrivé chez Faurecia, nous avions un SIEM dans lequel on ingérait des logs et qui générait des alertes à destination des analystes. À côté de ce SIEM, l’EDR envoyait ses propres alertes, de même que les utilisateurs pouvaient envoyer des alertes via l’ITSM ».
À cette masse d’alertes provenant de multiples sources, sont venues s’ajouter celles générées par les ressources déployées par le groupe dans le cloud, autant d’alertes non priorisées qui mettaient les analystes du SOC en difficulté. Ceux-ci croulaient sous la charge et avaient bien du mal à traiter les urgences réelles.
Face à cette situation, le responsable a alors lancé un démonstrateur afin de choisir une solution SOAR qui allait permettre d’automatiser les processus, de la détection d’un incident jusqu’à sa remédiation. Ce démonstrateur a poussé Faurecia à faire le choix de la solution Cortex xSoar de Palo Alto Networks : « nous cherchions une solution pour automatiser tout ce qui pouvait l’être. Nous nous sommes intéressés dans un premier temps à la détection ; nous avons créé plusieurs playbooks afin de traiter les alertes issues du SIEM et automatiser un certain nombre d’actions ».
Ainsi le SOAR pouvait exploiter les données de renseignement sur les menaces afin de vérifier de manière automatique l’IP et le domaine d’une ressource. De même, le SOAR va chercher des données sur les postes dans la CMDB du groupe pour vérifier à qui est affecté le poste, ou s’il s’agit d’un actif critique.
Pour le volet réponse, Matthieu Favris a adopté la même démarche d’automatisation à outrance : « nous avons mis en place des playbooks entièrement automatisés. Par exemple, la mise en production d’une nouvelle solution interne a généré près de 20 000 alertes en août et septembre 2021, mais moins de 200 alertes ont été traitées manuellement. Tout le reste l’a été automatiquement ».
Olivier Daloy RSSI Groupe de Faurecia
Le responsable souligne que la plupart des playbooks mis en place sont hybrides, avec un volet automatique et un volet manuel : « un Playbook peut par exemple envoyer automatiquement un email aux équipes IT locales qui vont répondre via un formulaire pour dire si une alerte est légitime ou pas. On ne sollicite les analystes que si l’alerte est effectivement malveillante ».
Le SOAR est interfacé avec l’EDR au moyen d’APIs, ce qui permet par exemple de récupérer le fichier suspect repéré par Cybereason et de l’envoyer sur un service de type Virus Total pour l’analyser. Ce processus est entièrement automatisé.
La gestion du risque doit dicter le choix des outils
Au-delà de ce volet outillage et automatisation, cette refonte de la sécurité de Faurecia s’appuie sur un principe auquel est très attaché le RSSI du groupe : « outre la performance de détection de l’EDR, j’insiste sur l’importance de la couverture liée au framework MITRE ATT&CK. Il faut aujourd’hui arrêter de vouloir trouver toutes les règles de corrélation qu’il faut implémenter sur le SIEM afin de détecter toutes les attaques. Ce n’est pas notre métier, nous ne sommes pas des spécialistes de cette question et nous ne le serons jamais. Le métier de notre entreprise, c’est de fabriquer des sièges auto, des tableaux de bord ! Ce n’est pas de créer des règles de corrélation pour un SIEM ».
Le RSSI mise sur l’implémentation des référentiels de sécurité MITRE ATT&CK dans ses outils pour identifier les risques auxquels sont exposées les ressources IT du groupe. Matthieu Favris ajoute que « MITRE ATT&CK, c’est la référence en termes de méthodes utilisées par les attaquants. Cela nous permet d’identifier les techniques pour lesquelles nous n’avons pas de moyens de détection et donc de prioriser les alertes à mettre en place, éventuellement quelle solution acquérir pour disposer des sources de données qui nous permettront de couvrir ces risques ».
Faire correspondre les moyens de détection aux risques réels encourus par l’industriel est la priorité d’Olivier Daloy : « le risque majeur pour nous, c’est l’arrêt de la production industrielle. Notre priorité est de bien identifier ce qui est de nature à arrêter notre production. Un deuxième risque majeur, c’est la compromission d’un plan stratégique, d’un fichier fournisseurs ou de données de R&D. Nous avons établi une cartographie des risques et c’est en fonction de ces risques que nous mettons en place les moyens de protection aux endroits où nous ne sommes pas en capacité à prévenir ces attaques ».
Pour le RSSI, chercher à détecter des événements qui sont faciles à prévenir n’a aucun sens. Alors que les moyens en ressources humaines sont limités, la meilleure stratégie reste de se focaliser sur les attaques que l’on n’est pas capable de prévenir, et de chercher à les détecter. « Nous voulons concentrer nos ressources sur ce qui est important et nécessite de l’intelligence, et automatiser tout le reste », conclut le RSSI de Faurecia.
Texte rédigé à partir de la présentation d’Olivier Daloy, Matthieu Favris et Christophe Longuepez lors des Assises de la Sécurité 2021