SIEM : le Conseil Départemental de la Manche mise sur LogPoint

Le Conseil Départemental de la Manche utilise un système de gestion des informations et des événements de sécurité (SIEM) signé LogPoint depuis peu. Celui-ci aide principalement la collectivité à répondre à ses impératifs réglementaires, tout particulièrement en matière de traçabilité du fait de son statut d’opérateur - via Manche Numérique. Mais le SIEM doit également lui permettre d’enquêter rapidement et simplement en cas d’incident ; un prestataire externe la supervision en continu de l’infrastructure raccordée au SIEM, dans le cadre d’un service de centre opérationnel de sécurité (SOC) : « cela fait près de 8 ans que nous utilisons de tels services », explique Stéphane Riffard, RSSI du Conseil Départemental.

Mais le renouvellement de la prestation a dernièrement conduit à un appel d’offre, adossé à un cahier des charges basé sur le référentiel de l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi), et cela peu de temps après le choix du SIEM… d’ArcSight.

Le Conseil Départemental a déployé ArcSight début 2015, sur un périmètre recouvrant une quinzaine d’équipements de sécurité réseau, une opération adossée à un contrat de licence à renouvellement annuel. Le projet semblait prometteur : les équipes de Stéphane Riffard avaient réalisé des maquettes avec ArcSight, LogRhythm et Splunk. Le premier s’est montré le plus agressif, commercialement, explique le RSSI.

Las, la connexion de certains équipements utilisés sur l’infrastructure a conduit ses équipes à prendre conscience des contraintes de la solution ArcSight : « nous nous sommes heurtés à la complexité du produit », reconnaît-il.

Mais c’est l’appel d’offre pour les services de SOC qui a tout fait basculé : « nous avons lancé notre appel d’offre en proposant aux candidats de s’appuyer sur notre SIEM pour fournir leurs services… mais personne n’a répondu en proposant de s’appuyer sur ArcSight ». Les offres évoquaient plutôt des solutions concurrentes, parmi lesquelles LogPoint.

« Nous connaissions LogPoint et nous l’avions trouvé beaucoup plus simple » - et moins onéreux que Splunk, en particulier. Surtout, pas question de pour le Conseil Départemental de s’appuyer sur un SIEM pour ses besoins internes de conformité réglementaire, et sur un autre, pour son SOC : « nous voulions pouvoir capitaliser sur une unique solution au cas où, un jour, nous serions amenés à rendre le service de SOC en interne ».

Tout le périmètre initialement couvert par ArcSight est aujourd’hui passé sous LogPoint, une migration que Stéphane Riffard décrit comme simple – « on s’appuie principalement sur la collecte syslog ». Un équipement pose quelques difficultés : un pare-feu applicatif de Bee Ware (racheté par DenyAll en 2014). Là, le RSSI doit fournir à LogPoint des logs, mais aussi des indications sur les éléments auxquels il souhaite pouvoir accéder dans les tableaux de bord générés par le SIEM. Juste une question de temps : « fournir les logs, c’est facile. Définir des indicateurs pertinents à remonter dans un tableau de bord, cela mérite réflexion ».

La licence ArcSight est arrivée à échéance fin octobre et n’a pas été renouvelée. La satisfaction apparaît au rendez-vous avec LogPoint, avec toutefois un bémol : « la documentation, en français comme en anglais, un peu simpliste pour le moment ». Du coup, Stéphane Riffard et ses équipes ont parfois besoin « de faire appel à LogPoint pour obtenir quelques précisions ».