Schneider Electric : "nous avons adopté une approche proactive"
Lors des Assises de la Sécurité, début octobre à Monaco, Gilbert Paccoud, Vice-Président, Directeur de la Sécurité de l'Information, division IPO de Schneider Electric, est intervenu pour présenter la manière dont le groupe a déployé la solution de SIEM d'Alien Vault pour appréhender les menaces informatiques le plus en amont possible. Un déploiement qui n'a pas manqué de réserver quelques surprises.
Gilbert Paccoud est responsable sécurité IT du groupe Schneider depuis 3 ans. Trois ans durant lesquels il indique avoir appris une chose : "il faut avoir un profil un peu humble" en matière de sécurité informatique.
Dès lors, plutôt que de parler d'avance, il "préfère dire que Schneider Electric a adopté une approche proactive pour adresser la menace" en déployant la solution de SIEM système de gestion des événements et des incidents de sécurité d'Alien Vault pour superviser, en continu, la sécurité de ses infrastructures IT. Un projet lancé en 2009 dans le cadre d'une stratégie plus large, qui intègre la création d'un SOC, centre opérationnel de sécurité, mais également le développement de compétences de test d'intrusion, d'investigation, etc. Et qui reste, selon ses propres termes, "plus un voyage qu'une fin en soi."
Le lancement de ce projet a été motivé par plus de facteurs. D'une part, le groupe est "leader mondial dans nombreux secteurs, ce qui en fait une cible naturelle ", explique Gilbert Paccoud. En outre, ses activités évoluent vers les mondes de l'IT et du logiciel, avec le virage du Smartgrid, mais également l'expansion du groupe dans le domaine des Scadas.
Il y a trois ans, "nous avons donc réalisé que notre manque d'anticipation était suffisamment élevé pour que l'on déclenche un programme spécifique." La consolidation de la fonction IT à l'échelle du groupe a simplifié le lancement de la démarche. Le projet de SIEM à proprement parler a démarré mi-2011 et le groupe est actuellement en phase de roll out.
Gagner en visibilité sur les menaces actuelles et… à venir
Vincent Jaussaud, Global Technical Security Officer, explique que ce projet doit en priorité permettre de "détecter ce que l'on ne voyait pas. Nous ne pouvions nous permettre de rester aveugles face à la menace", mais également de générer des rapports de traçabilité et de conformité PCI. En outre, il devait permettre de réduire le coût des investigations. Car ni Gilbert Paccoud ni Vincent Jaussaud ne sont dupes : "des attaques, nous en aurons toujours. Un outil comme celui que nous déployons nous permettra de mieux réagir." Mieux, et plus vite.
Telvent n'était pas encore protégé par la solution Alien Vault
Mi-septembre, Telvent, devenu filiale de Schneider Electric à l'issue de son acquisition fin 2011, a annoncé avoir été victime d'une intrusion dans son système d'information. Interrogé sur le sujet à l'occasion de l'atelier durant lequel il témoignait sur le déploiement du SIEM d'Alien Vault, Gilbert Paccoud nous a indiqué que, "pour le moment, Telvent est toujours dans sa configuration IT initiale, c'est à dire pas intégré à l'informatique du groupe."
Comprendre qu'ils ne sont donc pas dans le périmètre couvert par la solution Alien Vault. "Bien entendu, comme vous l'avez écrit, nous avons apporté nos compétences dans la gestion de la crise, pour les assister." De son côté, la concomitance de l'annonce d'une offre de sécurité Scada développée avec Industrial Defender ne semble être qu'une coïncidence.
Concrètement, Schneider Electric a déployé dans les entités concernées des appliances chargées de superviser le trafic réseau, de récupérer et de normaliser les logs de systèmes identifiés comme clés, avant de les remonter dans les centres de calcul du groupe où les informations sont corrélées pour générer des alertes.
Vincent Jaussaud fournit quelques éléments de quantification : "dans un groupe comme Schneider Electric, présent dans 200 pays, ce sont quasiment 100 millions d'événements de sécurité qui sont remontés chaque mois. Après corrélation, ils génèrent une dizaine d'alertes par jour." De quoi se forger une petite idée des apports de la solution : "sur de tels volumes, la surveillance serait impossible sans corrélation." A date, le SOC ne mobilise d'ailleurs qu'un temps plein - chiffre qui devrait doubler une fois la solution totalement déployée.
Certains résultats concrets soulèvent l'étonnement : "avec le SIEM, nous avons identifié quasi immédiatement plus de 200 machines en interne infectées par des botnets - mariposa, conficker, etc." Des machines qui étaient par ailleurs protégées par un anti-virus récent doté d'une base de signatures à jour… En outre, "nous avons observé des effets de bord intéressants, comme la découverte d'équipements réseaux mal configurés" qui entraînaient une surconsommation de bande passante.
Surtout, le SIEM a déjà permis d'identifier des menaces en devenir : "des tentatives d'intrusion ciblant les équipements de voix sur IP, venant souvent de Chine ou de Russie. Les attaquants ne sont pas encore en phase offensive; ils semblent essayer d'établir une cartographie." Une menace nouvelle et préoccupant que Schneider Electric prend très au sérieux.
L'attrait de l'Open Source
Après avoir évalué de nombreuses solutions, Schneider Electric a retenu celle d'AlienVault tant pour les modules de détection d'intrusion (IDS) que pour le SIEM : "nous les avons retenus notamment sur le critère d'intégration - un outil, une console."
Mais le facteur économique a également joué : "nous avons économisé au moins 30 % sur le coût total du projet", notamment en évitant la multiplication des appliances. L'open source apporte une cerise supplémentaire au gâteau : "l'évolutivité. Ainsi, nous ne sommes pas figés dans un environnement propriétaire." Et les apports de la communauté peuvent profiter rapidement au groupe.