La Banque Postale achève un méga déploiement de Tehtris XDR
Près de 80 000 hôtes de la Banque Postale sont désormais sous la protection de la solution XDR de l’éditeur français. Plus qu’un simple déploiement d’outil, ce projet représente une véritable construction d’un dispositif de surveillance et de protection, qui a demandé un gros investissement pour les équipes de la banque, l’intégrateur et l’éditeur.
On ne présente plus la Banque Postale tant son réseau de proximité est dense en France. La banque issue des services financiers de la Poste et de CNP Assurances compte 17 000 points de contact en France, dont 7 600 bureaux de poste. Elle compte 10,1 millions de clients, 48 millions d’assurés CNP Assurance et 308 000 clients professionnels, des entreprises et des acteurs publics locaux. Une attaque informatique sur ses infrastructures aurait des conséquences très importantes pour le pays.
C’est en février 2021 que la Banque Postale initie un projet de déploiement d’un outil de détection et de réponse sur les hôtes (EDR, Endpoint Detection and Response) à grande échelle, afin de muscler la protection de l’ensemble de ses endpoints. « Nous disposions déjà d’un EDR sur une échelle limitée, mais l’idée était désormais de couvrir l’ensemble des actifs, qu’il s’agisse des postes de travail ou des serveurs », résume Stéphane Bertaux, responsable du SOC de la Banque Postale depuis 2016. « Si l’on inclut les filiales et d’autres entités du groupe, cela représente entre 70 000 à 80 000 terminaux à protéger ».
Carlos Martin, directeur cybersécurité de la Banque Postale précise : « nous n’avons pas été attaqués et nous n’étions pas contraints de déployer un EDR suite à une attaque de ransomware. Il s’agissait d’une décision prise en mode préventif dictée par l’analyse de risque ». Le responsable a pu s’appuyer sur un directoire et un conseil de surveillance très sensibilisés au risque cyber : « le volet EDR me paraissait primordial dans le contexte actuel, car si nous disposions d’antimalware à l’état de l’art, l’EDR nous apportait une détection basée sur le comportemental, mais surtout des capacités de remédiation ». L’équipe SOC étant déjà en charge de l’antimalware, c’est assez naturellement que celle-ci a été impliquée dans le choix et le déploiement de l’EDR.
Une évaluation très poussée des EDR du marché
Pendant plus de deux mois, l’équipe projet a évalué les solutions disponibles, essentiellement celles proposées par des pure players de la Cybersécurité. « Nous avons évalué le volet technique des solutions EDR, ainsi que leur implémentation pour savoir si celles-ci mettent en œuvre les infrastructures d’un fournisseur cloud français, européen, américain, et s’il s’agit de solutions hybrides ou full-cloud », explique Stéphane Bertaux. De même, les ingénieurs ont voulu vérifier la compatibilité de l’EDR avec l’antimalware déjà en place, ainsi que sa capacité à protéger un parc de terminaux obsolètes. Enfin, l’équipe SOC souhaitait que les alertes générées par l’EDR puissent alimenter leur SIEM.
Une grille d’évaluation a été mise en place avec de multiples critères, dont la localisation du service. S’appuyer sur un cloud américain uniquement était un critère éliminatoire et un cloud français était mieux noté qu’un cloud européen. Les solutions ont été testées sur des postes modernes comme obsolètes. Des tests d’intrusion ont été menés sur l’EDR afin de valider ses capacités de détection et de remédiation.
Le volet exploitation n’a pas été négligé, avec notamment l’ergonomie de la console pour gérer un très grand nombre d’hôtes (ou endpoints en anglais) et enfin la présence d’une API pour le SIEM de Banque Postale. La capacité de détection et remédiation représentait 30 % de la note, l’exploitation 30 %, et le prix les 40 % restants.
« La somme des notes a fait que nous avons retenu l’un des leaders du marché, Tehtris, ainsi que l’éditeur de notre antimalware qui propose un EDR, pour participer à la phase des démonstrateurs. Celle-ci s’est déroulée de mai à juin 2021 ». Nicolas Cote, Head of XDR Solutions chez Tehtris le reconnaît : « cette phase de POC fut l’une des plus poussées auxquelles nous avons pu participer. Elle a même permis de faire monter dans notre roadmap des fonctionnalités dont tous les clients bénéficient aujourd’hui ».
Une interminable phase de contractualisation…
Le choix de l’outil a été arrêté en septembre 2021, puis le projet est entré dans sa phase la plus longue, celle de la contractualisation : « nous n’étions pas prêts à signer pour des solutions en mode cloud, et nous avons dû subir des délais importants liés à la peur que peuvent engendrer les solutions de sécurité dans le cloud », reconnaît Carlos Martin. « Même si nous avions opté pour un déploiement hybride sur nos datacenters, ce projet aurait posé des difficultés entre l’intégrateur de Tehtris et Banque Postale sur les questions juridiques posées par le cloud ». La signature du contrat ne fut effective qu’en mars 2022.
L’architecture choisie par Banque Postale n’est pas 100 % cloud. Afin de répondre aux contraintes réglementaires, les architectes de l’équipe sécurité, les architectes SI et l’équipe de Tehtris ont mis au point une architecture hybride avec la mise en place de proxy entre la partie nomadisme et le SI ; des appliances Tehtris dans les data centers de la Banque Postale ; et une restriction des flux vers le cloud de production Tehtris. Les sandbox sont pour leur part exécutées dans le cloud de Tehtris de manière automatique – voire manuelle en cas de besoin de levée de doute. En outre, Banque Postale dispose d’un environnement de qualification dans le cloud de Tehtris pour tester les évolutions produits. Les consoles d’administration sont quant à elles pleinement SaaS.
Carlos MartinDirecteur cybersécurité de la Banque Postale
Pour ce déploiement, la Banque Postale a pu bénéficier de l’expérience de Capgemini, intégrateur de la solution Tehtris, qui avait déjà mené des déploiements de l’EDR auprès de ses clients. Dès la signature du contrat fin mars, des ateliers hebdomadaires ont été mis en place avec Capgemini pour bénéficier de son expérience et avec Tehtris pour les points plus techniques. Ces ateliers tripartites se sont poursuivis jusqu’à l’été 2022. Depuis, ceux-ci se poursuivent toujours avec l’éditeur. Carlos Martin souligne l’importance du travail mené avec l’intégrateur et l’éditeur : « il s’agit d’un point crucial lorsqu’on déploie à une telle échelle. Si vous n’êtes pas proche de l’éditeur, vous pouvez rencontrer d’énormes problèmes. Un lien étroit est fondamental pour partir d’une idée et aboutir à une solution opérationnelle ».
Le contrat a été signé le 21 mars 2022, mais Tehtris avait pu préparer ses appliances et les environnements cloud avaient été qualifiés. Dès le 23 mars, le déploiement a été lancé sur plusieurs centaines d’environnements pilotes. Ensuite, l’équipe a pu pousser le rythme à 3 000 postes par semaine, puis 5 000, et jusqu’à 7 000 postes à la fin de cette première vague.
Fin mai, 55 000 postes étaient déployés. « Nous aurions pu déployer beaucoup plus de postes dès la première semaine, mais nous souhaitions vérifier que les proxy allaient tenir la charge. Nous avons achevé les dernières queues de chantiers en septembre 2022 », explique le responsable du SOC. Les périmètres considérés comme les plus risqués ont été déployés en priorité, puis ceux où le risque était moins élevé par la suite. Le déploiement en datacenter n’a été initié qu’à partir du mois de juillet, essentiellement pour des raisons réglementaires.
Le défi de traiter des millions d’alertes par jour
Si le déploiement de l’EDR a représenté un projet important en matière de volume et de complexité, du fait du choix d’une architecture hybride, le responsable de la cybersécurité estime que le réel critère de succès d’un tel projet est d’être capable de traiter les alertes qui sont remontées vers le SOC par les dizaines de milliers d’agents installés.
« Depuis le déploiement, nous avons pu constater qu’un EDR, ça parle beaucoup ! Ce sont des millions d’alertes qui sont remontées chaque jour. Nos équipes ont travaillé avec l’intégrateur et Tehtris afin de trouver des solutions pour réduire ce bruit et se placer en mode remédiation sur certaines actions. Nous sommes toujours dans une démarche d’amélioration continue. Il faut avancer prudemment pour ne pas prendre le risque de bloquer les métiers, » résume Stéphane Bertaux. « Quel que soit le produit choisi, un EDR est très prolixe. Il faut être capable de réduire cette masse d’informations, d’identifier ce qui est important. Après la mise en place en mode détection, il faut activer le mode remédiation dans un deuxième temps ». Carlos Martin estime que disposer d’une expertise sur l’outil en interne est un atout pour faire face à de tels volumes d’informations à traiter.
Stéphane BertauxResponsable du SOC de la Banque Postale
Stéphane Bertaux considère qu’il faut dédier 2 personnes pour gérer un EDR la première année, puis une personne par la suite lorsque le travail sur les règles de filtrage et les premières remédiations automatiques sont en place. Banque Postale a affecté 1,5 ETP à la solution, un demi-poste étant assuré par la personne qui était auparavant chargée de l’antimalware.
Outre les ateliers menés avec l’intégrateur et l’éditeur, l’équipe SOC a bénéficié de 5 jours de formation sur Tehtris XDR, de même que les personnes en charge de la gestion des hôtes et le personnel d’astreinte. Pour l’équipe « Front Office » qui traite les incidents, une formation d’une journée a été proposée en eLearning.
Un projet qui avance pas à pas
Carlos Martin estime qu’il est encore trop tôt pour tirer des conclusions sur l’efficacité concrète de cette nouvelle couche de protection. Le responsable souligne : « nous sommes aujourd’hui beaucoup plus sereins par rapport au risque. Pour l’instant, ce processus d’amélioration continue fonctionne bien. Nous avançons dans la bonne direction, nous sommes confiants, mais je dirais que nous sommes encore au milieu du gué ».
Plusieurs chantiers sont encore en cours sur le déploiement de Tehtris XDR. Outre son installation sur les serveurs hébergés en data center, l’équipe SOC doit encore intégrer et traiter les données de l’EDR au niveau de son SIEM. En 2023, ce sera au tour des smartphones du groupe d’être équipés, puis il faudra songer à exploiter les capacités XDR de la solution.
Propos recueillis à l’occasion de l’édition 2022 des Assises de la Sécurité.