Philippe Tavernier

Lors de son message de bienvenue Philippe Tavernier a rappelé que le Cloud est un levier de croissance pour les PME française mais aussi sans doute une solution face à l’explosion de la cybercriminalité. D’ailleurs, selon lui, le Cloud Computing est un vecteur de croissance avec des taux de 30 à 40%. Par contre pour l’instant la sécurité est considérée comme frein au déploiement du Cloud. C’est pour cela que Numergy a décidé de mettre la sécurité au cœur de son offre et ouvre aujourd’hui son SOC. .Il a confirmé que Numergy est une société de droit français, avec une localisation en France et politique ambitieuse de labellisation et de certification. D’ailleurs ses actionnaires sont SFR, Bull et de la CDC. En conclusion il a rappelé les trois valeurs de sa société : performance des solutions, responsabilité de mission et agilité. Puis il a cédé la parole à Thierry Floriani RSSI de Numergy qui a présenté les grandes lignes du SOC.

L’analyse prédictive est de rigueur pour réduire les incidents de sécurité

En guise d’introduction, Thierry Floriani a rappelé que Numergy propose un Cloud public. De ce fait, il concentre des informations donc attire les pirates informatiques, les cyber-mercenaires et des mafias, sans compter les menaces étatiques. Il a identifié 4 principales menaces :
• Tentatives de compromissions
• Attaques à faibles signaux réussies non détectées par les systèmes de sécurité
• Utilisation frauduleuse du Cloud
• Attaques par rebonds

Ce Cloud mutualise et industrialise les équipements afin d’améliorer la protection des clients contre ces menaces. Il s’affiche comme étant souverain donc peut accueillir des données de santé, des données confidentielles sensibles. Il faut donc détecter, analyser et réagir. Ainsi une organisation a été conçue qui est animée par Bull et dédié à Numergy. Ce centre est hébergé par SFR et redondé au siège de Numergy à Aubervilliers afin d’assurer une continuité de service et de sécurité. Il est construit sur le principe « No Trust » donc ne fait confiance à personne. Dans cette architecture, il n’y a aucune sonde dans les VM des clients. L’important n’est pas d’analyser les attaques détectées mais plutôt de stopper celles qui sont inconnues. Une base d’événements a été constituée qui contient 40.000 log/seconde et à termes pourra contenir 46 TO à 1,5 Po soit un an de log.

Au niveau des outils utilisés, une analyse de log est effectuée avec l’outil RSA. De même pour le big data. L’objectif est de détecter les APT sur un an glissant. La modélisation des comportements est réalisée grâce à Picviz pour détecter les comportements anormaux et atypiques. L’analyse de vulnérabilités est fournie par Itrust. Enfin, la modélisation des scénarios d’attaques est conçu à partir de l’outil de Skybox afin de détecter les attaques en cours.

Pour ce qui concerne la réaction aux attaques, un processus a été aussi mis en place qui inclut : la gestion de crise et le plan de remédiation, l’analyse forensic et les préconisations d’action et de contre-mesures. Les deux derniers points concernent le rôle du SOC. Lors d’attaques sur une adresse IP, un signalement est adressé au client/partenaire pour qualifier l’incident. En cas, de confirmation d’une attaque, un signalement est aussi adressé à l’opérateur. En parallèle, un signalement de l’adresse IP malveillante est fait à la communauté et en dernier ressort aux autorités. Bien sûr des préconisations et des correctifs sont émis. Ces dernières sont intégrées dans la méthodologie de protection.

Aujourd’hui, son infrastructure propre analyse de 4 millions à 3, 5 milliards d’évènements par jour.. Tentatives de compromissions.

Des outils mais surtout des hommes

Guillaume Rossignol, responsable CSS est pour sa part entré dans la technique de l’architecture du SOC. Il a mis en place une analyse des signaux faibles qui ont permis la réussite d’attaques donc non détectées par les équipements de sécurité. L’objectif de ces analyses est d’améliorer les systèmes de défenses. Il a aussi déployé des outils d’analyse prédictive afin d’identifier les attaques se déroulant sur des semaines ou des années. Une analyse comportementale est effectuée avec un outil de SIEM. Pour ce faire, Bull a conçu des outils de cartographies des machines, réseaux… Les produits d’analyse prédictives permettent de faire un suivi dans le temps des attaques. En parallèle, des analyses statistiques de probabilité d’attaques sont faites afin de prévoir les prochaines attaques. Quant à l’analyse comportementale, elle permet de remédier aux erreurs de configurations, aux comportements déviants... L’ensemble permet de ce fait de réduire les coûts pour les clients par la réduction des besoins en bandes passantes. Tous ces outils permettent d’améliorer aussi l’analyse des équipes. Une n’analyse des chemins critiques d’attaques est aussi effectuée afin d’identifier les points de failles, les chemins utilisés et les faux positif.

Le SOC Numergy est redondé et des briques de sécurité sont déployées tous les niveaux avec entre autre : détection d’intrusion, pots de miel, trou noir... En outre, il est déconnecté d’Internet. Une Liaison spécialisée a été mise en place avec Numergy. Une haute disponibilité sur deux bâtiments, une supervision du SOC sont aussi en activité.

Pour Thierry Floriani comme pour Guillaume Rossignol, les analystes qui travaillent en 24/7 sont la clé de la réussite de leur SOC. Ils sont recrutés au niveau Bac +3 à Bac +5 et sont issues de différentes écoles ou universités comme par exemple l’EPITA. Pour eux ce mélange de compétence est essentiel pour éviter la pensée unique et donc pouvoir mieux détecter les événements déviants.

Vers la certification pour 2015

Pour conclure cette inauguration, Aurélia Delfosse, responsable qualité de Numergy a présenté la Roadmap de certification. Aujourd’hui, sa société a lancé une campagne de certification pour les données de santé, PCI DSS. Elle a aussi une démarche pour obtenir l’ISO 9001, pour la sécurité l’ISO 27001 etpour la partie cloud le CSASTAR. Pour y arriver, un référentiel unique a été mis en place, ce processus prendra fin normalement en janvier 2015.