NDR : l’IA démontre sa pertinence au conseil départemental du Tarn
Le CD81 a fait le choix de l’appliance NDR de Custody, afin de renforcer la sécurité de son système d’information. L’IA mise au point par la startup assure la surveillance de l’ensemble du trafic de réseau interne de la collectivité territoriale sans surcharger l’équipe SOC.
En charge des solidarités, dont l’autonomie, de l’entretien du réseau routier départemental et des collèges, le conseil départemental du Tarn compte 2 300 agents. Son système d’information couvre une centaine de sites dans le département, dont une trentaine de collèges, les maisons du département, les pôles routiers.
« La caractéristique d’une collectivité territoriale, c’est que nous avons une grande variété de métiers et autant de logiciels spécifiques », résume Paul Charrière, DSI du CD81. Plus précisément, « nous comptons une cinquantaine d’applicatifs métiers dans notre système d’information. C’est un système d’information complexe, qui s’appuie sur de multiples partenaires et sur lequel pèsent de fortes contraintes de sécurité ».
« Le dernier panorama de la cybersécurité montre que les collectivités territoriales représentent 23 % des attaques. Nous sommes des cibles vivantes et c’est ce qui nous a poussés à nous intéresser à un NDR. »
Paul CharrièreDSI du Conseil départemental du Tarn
La DSI compte une quarantaine de personnes qui doivent gérer un parc de 6 000 postes de travail (si l’on inclut les collèges du département) et de l’ordre de 400 serveurs. La cybersécurité est un souci permanent. Le conseil départemental a déjà fait l’objet d’une attaque majeure il y a une dizaine d’années et les derniers chiffres publiés par l’ANSSI ne sont pas rassurants : « le dernier panorama de la cybersécurité montre que les collectivités territoriales représentent 23 % des attaques. Nous sommes des cibles vivantes et c’est ce qui nous a poussés à nous intéresser à un NDR (Network Detection and Response) ».
Une sécurité à laquelle manquait un volet NDR
Face à cette situation, la DSI s’est dotée de compétences internes en cybersécurité et a investi afin de hausser le niveau de sécurité de son infrastructure informatique. Un EDR/XDR a été déployé sur les postes et les services, des firewalls Palo Alto déployés en périphérie et dans le système d’information. Elle a en outre contractualisé avec IMS Networks afin de bénéficier des services 24/7 d’un service de SOC managé, mais Paul Charrière a souhaité aller plus loin : « nous avons estimé qu’il restait un “trou dans la raquette” en ce qui concerne la surveillance du réseau interne. Il nous manquait cette brique de NDR, c’est-à-dire un outil capable de repérer d’éventuelles élévations de privilèges ou les mouvements latéraux des attaquants. L’idée est de chercher les mouvements à bas bruit ».
C’est à l’occasion d’une réunion avec son prestataire IMS Networks que ce dernier évoque la solution NDR développée par Custocy, un spin-off du Toulousain alors en cours de création.
La rencontre avec Sébastien Sivignon, le fondateur et CEO de Custocy chez IMS Networks va s’avérer fructueuse. L’approche de « matheux » du créateur de la startup, mais aussi le côté souverain de sa solution, vont plaider en faveur du Toulousain. Lorsque celui-ci propose à Paul Charrière de mettre en place un démonstrateur de sa solution, le DSI accepte avec enthousiasme. Le NDR est déployé dans le SI au début de l’été 2023, alors que la startup était encore en phase de démarrage. Le démonstrateur a été mené pendant 6 mois, jusqu’au mois de décembre 2023.
Pour le DSI, l’idée est de renforcer les solutions de protection en place avec une solution d’analyse du trafic réseau, mais sans induire d’efforts supplémentaires en matière d’administration d’une console de supervision et d’analyse des événements de sécurité : « l’une de nos conditions initiales à ce projet était de ne pas avoir à gérer une console d’administration trop complexe et trop consommatrice de ressources et que celle-ci soit intégrée à notre SOC », explique le DSI. L’équipe SOC d’IMS Networks disposait des compétences internes pour gérer le NDR en plus des logs des serveurs, celles du XDR, et le tout est géré par l’équipe SOC externalisée.
6 mois pour évaluer l’approche et la solution
Avec le recul, les événements générés par la solution n’ont pas fait bondir la facture du SOC managé. Le secret de la solution Custocy est de s’appuyer sur une « communauté d’IA », plusieurs modèles d’intelligences artificielles, afin de détecter les mouvements malicieux d’un attaquant sur le réseau.
« Les IA doivent apprendre le fonctionnement nominal du réseau avant de pouvoir déclencher des alertes, raison pour laquelle nous nous sommes donné six mois pour mener à bien ce PoC. »
Paul CharrièreDSI du Conseil départemental du Tarn
« Nous croyons beaucoup en l’usage de l’IA pour ce type de détection », explique Paul Charrière : « la particularité de l’IA est de ne pas être opérationnelle “out of the box” ; il lui faut du temps pour apprendre le réseau. Les IA doivent apprendre le fonctionnement nominal du réseau avant de pouvoir déclencher des alertes, raison pour laquelle nous nous sommes donné six mois pour mener à bien ce PoC ».
L’autre point clef pour que la technologie tienne sa promesse est de placer les sondes aux endroits les plus pertinents dans le système d’information. Stéphane Navarro, responsable Infrastructure pour le département du Tarn précise : « le déploiement de la solution n’a pas été un projet très compliqué. Custocy fournit un serveur, une appliance complète dotée de ports fibre que l’on connecte à nos équipements réseau sur des points stratégiques. Il s’agit d’un simple mirroring de ports et l’ensemble du trafic est ainsi envoyé à l’IA. Celle-ci analyse ce trafic pendant 2 à 3 mois avant d’être pleinement opérationnelle ».
Les réunions menées avec Custocy au début de cette phase d’apprentissage ont rapidement permis d’épurer tous les faux positifs. Chaque application ayant un comportement réseau qui lui est propre, l’algorithme doit apprendre à les reconnaître : « j’ai pu constater que le temps d’apprentissage de l’IA est finalement très restreint pour découvrir ces comportements », souligne Stéphane Navarro.
« J’ai pu constater que le temps d’apprentissage de l’IA est finalement très restreint pour découvrir ces comportements. »
Stéphane NavarroResponsable Infrastructure, département du Tarn
De son point de vue, « cette phase de mise en place n’avait rien de très complexe et les demandes exprimées par Custocy pour éliminer les faux positifs étaient très rapidement traitées ».
Le responsable pointe l’importance à accorder dans le choix des points du réseau sur lesquels la solution va pouvoir effectuer sa captation du trafic : « nous voulions suivre l’intégralité du trafic et nous n’avons pas cherché à prioriser tel ou tel trafic critique. Comme on ne connaît pas a priori la stratégie de l’attaquant, on considère qu’il faut tout analyser. Nous avons des ports névralgiques dans notre réseau et nous avons réalisé le mirroring de ces ports. Cela représente un trafic réseau conséquent, mais l’IA permet d’analyser ces grosses volumétries de données sans provoquer une charge de travail excessive pour l’équipe SOC ».
L’IA démontre sa capacité de détection sans induire un bruit intempestif
Un test d’intrusion mené en interne a permis à l’équipe informatique de constater que le NDR était capable de remonter un certain nombre d’informations intéressantes en cas de tentative d’intrusion.
Depuis la mise en production effective du NDR, au début de l’année 2023, aucune attaque majeure n’a été remontée par la solution. Custocy vient de faire évoluer sa plateforme, avec la mise à disposition d’une nouvelle version de son environnement : « cette mise à jour va nous amener à réfléchir à nouveau aux points d’accroche de la solution dans notre infrastructure », explique le DSI qui veut dégager plus de temps à son équipe afin de monter en compétence sur plusieurs de ses outils de sécurité, dont le NDR Custocy.
Outre l’efficacité de la solution, Paul Charrière apprécie la proximité de Custocy dont l’équipe reste très accessible, mais aussi la nécessité de privilégier les solutions souveraines : « nous devons aider nos pépites à se lancer et à monter en puissance sur ces sujets. C’est une dimension souveraineté qui est très importante pour moi », conclut le DSI.
Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)
