La RTM gagne en visibilité sur son réseau avec Darktrace
L’autorité de transport de la métropole Aix-Marseille-Provence veut pouvoir détecter d’éventuelles menaces, mais également les comportements à risques que certains utilisateurs ne manquent pas d’adopter.
Le réseau, cet inconnu. Si ce résumé peut sembler excessif, il n’en est probablement pas moins correct pour beaucoup d’organisations. Gérard Henrion, RSSI de la Régie des Transports Métropolitains (RTM), décrit d’ailleurs une situation initiale qui n’a probablement rien d’exceptionnel : « nous avions besoin de mieux comprendre ce qui se passait sur notre réseau, de mieux appréhender le comportement des utilisateurs. Car jusqu’à présent, nous gérions plutôt le réseau sous l’angle des performances et de la disponibilité ».
Gérard Hérion s’est donc penché sur la question des sondes susceptibles d’aider à changer cela. Un démonstrateur, mis en place avec Darktrace il y a un peu d’un an, l’a convaincu de continuer, de prolonger l’utilisation, sur un mode d’abonnement. Parce l’essai initial, sur une période d’un mois, « a permis d’apprendre beaucoup de choses très rapidement ».
D’inévitables surprises…
Et cela commence par « des comportements volontaires ou involontaires d’utilisateurs qui ne respectent pas les bonnes pratiques ou enfreignent les politiques internes » sur les usages personnels des outils informatiques mis à disposition. Des exemples ? « Des personnes du service informatique qui dont des choses qu’on préfèrerait qu’ils ne fassent pas ». Les informaticiens ne sont parfois pas si différents des utilisateurs bureautiques qu’on peut le croire…
« On a été surpris de découvrir des utilisateurs envoyant plusieurs giga-octets de données vers l’extérieur. On se doutait bien que des personnes pouvaient parfois copier des choses, mais lorsque l’on voit de tels volumes, on a quand même besoin de savoir ce qui se passe ». Ne serait-ce que pour s’assurer qu’il ne s’agit pas d’un attaquant exfiltrant massivement des données ou d’activités illégales.
« On sait très bien qu’aujourd’hui, l’une de failles de sécurité que l’on rencontre, c’est à travers le comportement des personnes. Parce que tout le monde peut cliquer sur un lien, sur une pièce jointe, en pensant qu’il n’y a pas de risque », relève Gérard Henrion.
Mais voilà, non seulement la plateforme de Darktrace permet détecter des anomalies, mais elle permet aussi d’enquêter dessus : « sur quel poste, quel serveur, avec quel protocole, pour quels types de flux, etc. A partir de là, on contrôle pour savoir si l’on peut expliquer ou pas ». Et ce peut lors être l’occasion d’actions d’amélioration continue, au travers d’opérations de sensibilisation, « ou de paramétrages pour éviter que cela ne se reproduise », par exemple.
Une mise en œuvre transparente
Le RSSI de la RTM explique que la plateforme de Darktrace couvre actuellement tout le domaine bureautique – « souvent, les ennuis partent de là ». La mise en place s’est faite sans coupure puisque la plateforme est alimentée par une copie des flux réseau. La configuration peut être finement ajustée, de même que les profils, mais seuls quelques-uns ont fait l’objet de ce travail : « pour l’instant, il s’agit surtout d’apprendre à mieux connaître la plateforme et notre environnement ».
En fait, Gérard Hérion l’appréhende comme un complément de ses autres outils de sécurité, permettant de disposer « d’un point de vue différent et de faire le lien entre sécurité périmétrique et hôtes de l’infrastructure ». Au point que des équipes chargées de l’administration du contrôleur de domaine ont demandé à pouvoir accéder à la plateforme pour observer certaines activités : « ils trouvaient ça plus intéressant que les outils dont ils disposaient… un regard sur le réseau, avec historique, cela permet de corréler un certain nombre de choses ».
Et pourtant, reconnaît le RSSI, pour l’heure, la plateforme n’a pas encore la possibilité de donner tout son potentiel. Travaillant avec des effectifs limités, Gérard Hérion doit se contenter d’agir sur la base des rapports hebdomadaires produits par l’outil. Un ingénieur sécurité venant en renfort permettrait d’aller plus loin, de suivre et d’utiliser plus finement la plateforme au quotidien.
Trop tôt pour la réaction automatique
Au moins d’avril, Darktrace a commencé la commercialisation d’Antigena, sa solution de réponse automatique aux anomalies observées. Et depuis la mi-septembre, Gérard Hérion l’utilise, mais en simulation « qui formule des recommandations d’actions correctives face aux anomalies observées ». Pour l’heure, c’est un test prudent : « nous avons besoin de recul, d’analyser si l’on est d’accord ou par avec les recommandations ».
Il faut dire que le changement culturel est là important : historiquement, les automatises sont là pour assurer de la continuité de fonctionnement des systèmes… pas pour bloquer des activités. Mais d’après les premières observations du RSSI, « on peut agir sur les modèles, ajuster des seuils, des volumes, des durées, et adapter les actions prises suivant son contexte spécifique ». Alors, peut-être, dans quelques temps, la RTM sautera-t-elle le pas.