FotolEdhar - Fotolia
Pourquoi la Casden a choisi le SIEM de LogPoint
Lors d’un atelier organisé aux Assises de la Sécurité, Benoît Fuzeau, RSSI de la Casden, a détaillé un choix largement motivé par les coûts et la simplicité d’utilisation.
C’est dans le courant de l’été que les équipes de la Casden ont engagé le déploiement du système de gestion des informations et des événements de sécurité (SIEM) de LogPoint. Jusqu’ici, et après l’échec d’une tentative de déploiement du SIEM de RSA, la banque ne disposait pas d’un tel outil. Mais le besoin était bien là. A l’occasion d’un atelier organisé aux Assises de la Sécurité, début octobre, Benoît Fuzeau, RSSI de la Casden, explique qu’un point d’entrée unique sur l’ensemble des produits de sécurité était devenu indispensable. Afin d’éviter devoir naviguer entre les différents tableaux de bord et autres consoles d’administration, mais également pour être en mesure de fournir des informations synthétiques, tant à la direction et aux métiers, qu’aux équipes de sécurité elles-mêmes. Et cela tant pour répondre à des contraintes réglementaires que pour se conformer à la politique de sécurité des systèmes d’information du groupe BPCE, dont fait partie la Casden, ou encore fournir des directions à la RSSI.
Maîtriser les coûts…
Prenant pour base de réflexion le quadrant magique de Gartner, les équipes de Benoît Fuzeau ont décidé de se pencher sur QRadar, d’IBM, mais également Splunk, déjà utilisé en interne pour la supervision applicative. Et c’est un partenaire intégrateur qui les a incités à étudier également les outils du Danois LogPoint. Sa notoriété reste peut-être limitée, mais son SIEM, certifié EAL3+, a déjà été adopté par le Conseil Départemental de la Manche ou encore les cinémas UGC. L’un de ses points forts ? Un mode de facturation non pas basé sur la volumétrie – comme avec Splunk –, mais sur le nombre de points de collecte.
L’argument a de quoi séduire face des équipements comme des proxy susceptibles de générer d’importants volumes de journaux d’activités. Et c’est justement l’un des points qui ont joué en faveur de LogPoint, alors même que BPCE dispose d’une licence groupe pour QRadar. Un démonstrateur LogPoint à l’automne 2015 a fini de convaincre les équipes de la Casden en raison de sa simplicité.
Le déploiement, dans le courant de l’été dernier, a conforté Benoît Fuzeau dans son choix : son intégrateur n’était pas disponible et les équipes de la Casden ont donc commencé à avancer seules. Il ne leur a fallu qu’une semaine pour disposer d’une base opérationnelle. L’intégrateur sera désormais sollicité pour les éléments les plus pointus, comme l’amélioration des tableaux de bord, de l’intégration des logs, ou encore construire de nouveaux cas d’usage.
… et les outils
Mais pour Benoît Fuzeau, le fait que ses équipes aient pu s’approprier rapidement le SIEM a de quoi rassurer quant à la maîtrise des évolutions de la plateforme et à son exploitation au quotidien.
A ce jour, le SIEM de LogPoint traite 4 Go de logs par jour. Le périmètre couvert – proxies, pare-feu, commutateurs, passerelles de courrier électronique, bornes Wi-Fi et flux du mainframe sous z/OS – n’est pas encore complet et le RSSI de la Casden s’attend à lui faire traiter jusqu’à 12 Go de journaux d’activité quotidiennement.
La plateforme de surveillance doit être encore enrichie des remontées d’indicateurs de compromission du groupe BPCE, ou encore des rapports d’analyses de vulnérabilités des outils de Qualys. Benoît Fuzeau entend également intégrer à son SIEM les outils de ForeScout, pour accélérer le remédiation en cas d’incident. Mais le RSSI ambitionne également d’interconnecter Splunk et LogPoint afin d’intégrer la surveillance des applications à celle de l’infrastructure.