Paybox supervise sa sécurité avec le SIEM de LogRhythm
Connu pour ses solutions de paiement électronique sécurisé, Paybox a choisi en 2012 de moderniser la supervision de la sécurité de ses infrastructures en s’appuyant sur le système de gestion des informations et des événements de sécurité de LogRhythm.
Connu pour ses solutions de paiement électronique sécurisé, Paybox a choisi en 2012 de moderniser la supervision de la sécurité de ses infrastructures en s’appuyant sur le système de gestion des informations et des événements de sécurité de LogRhythm.
Jusqu’au début de l’année 2013, Paybox s’appuyait sur des outils développés en interne pour superviser la sécurité de ses infrastructures. Une approche qui ne manquait pas de souffrir de certaines limites et qui a conduit Marc Thomas, directeur technique de Paybox, à chercher un système de gestion des informations et des événements de sécurité, un SIEM. «Nous utilisions une solution de consolidation des logs, syslog, sous Linux, pour récupérer les logs de l’ensemble de nos serveurs pour les centraliser. Et cela sur chacun de nos trois sites d’hébergerment. En réponse à nos besoins métiers, nous avions développé des scripts en interne permettant de remonter des alertes en fonctions d’événements spécifiques.» Selon le niveau de criticité de l’événement relevé, l’alerte pouvait être adressé à la personne d’astreinte par e-mail, voire par SMS, sur son mobile. Une approche efficace «pour des événements très ciblés orientés métiers» mais qui, de l’aveu même de Marc Thomas, pouvait toucher à ses limites lorsqu’il s’agissait de repérer «des comportement un peu suspects». Trop «artisanal », donc. De quoi le pousser à chercher des solutions.
Paybox a commencé à se rapprocher de différents éditeurs de SIEM, «un monde que l’on connaissait mal». Finalement, son attention s’est porté sur la solution de LogRhythm, préconisée par le groupe Point dont fait partie Paybox : «les équipes de LogRhythm nous ont confirmés que leur solution intégrait des éléments préconfigurés répondant à nos besoins, notamment pour les audits annuels de conformité PCI DSS.» Dès lors, les équipes de Marc Thomas ont transmis à l’éditeur des fichiers de logs «pour voir comment se comportait leur solution avec nos logs applicatifs ». Des logs hétérogènes dans leur structure du fait de développements historiques personnalisés. Et là, Paybox a constaté que «l’on pouvait mettre en place facilement des expressions régulières pour créer des alertes, voire des rapports répondant bien à nos besoins ».
Des filtres spécifiques
C’est durant cette phase de test que LogRhythm a développé les filtres d’analyse des logs spécifiques aux applicatifs de Paybox et à ses pare-feu Arkoon et Netasq [tous deux absorbés depuis par Cassidian CyberSecurity, NDLR]. Un travail «rapide», précise LogRhythm, soulignant que les filtres étaient disponibles et opérationnels pour le déploiement.
Le dimensionnement de la solution s’est fait sur la base d’un tableur Excel renseigné par les équipes de Paybox avec les données relatives à la volumétrie de logs sur chaque système, chaque application et chaque équipement réseau de son infrastructure. Au final, le spécialiste du paiement en ligne utilise trois appliances regroupées dans un seul de ses trois centres d’hébergement : la première assure la collecte, la mise en forme et l’indexation des logs; la seconde se charge de la corrélation avancée des événements; et la troisième gère la production des alertes, des rapports, des tableaux de bord, ainsi que la configuration globale du SIEM.
Un projet rapide et vivant
L’ensemble du projet s’est déroulé très rapidement : après une commande ferme adressée début 2013, le déploiement a commencé au début du printemps. Des agents spécifiques ont été installés «sur tous nos serveurs et tous les équipements réseau. Ils transmettent les logs à l’appliance de collecte. Et quand ils ne le peuvent pas, ils stockent les données en local ». Ce délai très bref a même permis à Paybox de s’appuyer sur les rapports du SIEM de LogRhythm pour son audit PCI DSS, en juin dernier. Pour l’heure, par sécurité, Paybox continue d’exploiter en parallèle son système historique de gestion des logs et son SIEM. Mais celui-ci ne pose pour autant pas de problème.
Mieux encore, Paybox envisageait initialement de déployer en parallèle une solution de surveillance de l’intégrité de fichiers (File Integrity Monitoring, FIM). Là, un agent dédié, connecté au SIEM de LogRhythm assure cette surveillance - «peut-être avec des fonctionnalités moins avancées qu’une solution dédiée mais cela répond à nos besoins.»
Les rapports prédéfinis permettent en outre à Paybox de disposer quotidiennement de rapports «type PCI DSS». Et «maintenant que l’on a bien pris en main cet outil, après déploiement de nos scripts historiques, on va plus loin », explique Marc Thomas : «Nous travaillons avec notre équipe de recherche et développement pour obtenir des informations pertinentes et utiliser le SIEM afin de produire des indicateurs de production.»