Aircall mise sur le CNAPP Lacework pour sécuriser son cloud

Éditeur français d’une solution de téléphonie en SaaS, Aircall compte 17 000 clients en Europe, aux États-Unis, en Asie, ou encore en Australie. Licorne en forte croissance, Aircall compte Blablacar, Mano Mano et Back Market parmi ses clients.

Créée en 2014, l’entreprise a fait le choix de bâtir son infrastructure technique sur le cloud d’Amazon Web Services. « Nous avons fait le choix d’une infrastructure 100 % cloud, afin de pouvoir scaler rapidement tout en gardant un maximum de contrôle sur les données de nos clients. Le cloud était une évidence pour nous, » résume Rawad El Khoury, Engineering Director for Security and SRE chez Aircall.

« Nous avons fait le choix d’une infrastructure 100 % cloud, afin de pouvoir scaler rapidement tout en gardant un maximum de contrôle sur les données de nos clients. »

Pour protéger cette infrastructure par nature critique pour l’activité de l’éditeur, Aircall exploite les solutions de sécurités natives proposées par AWS. Elle exploite le pare-feu applicatif (WAF), ainsi que la protection contre les attaques en déni de service (DDoS) apportée par AWS Shield.

La sécurité était initialement assurée par l’équipe SRE (Site Reliability Engineering), mais l’activité de l’entreprise prenant de l’ampleur, Rawad El Khoury a rejoint la société il y a 2 ans afin de monter une équipe dédiée à sécurité. Le nouveau responsable de la sécurité souhaite aller plus loin : « en arrivant, je me suis livré à une étude du risque. Comme c’est souvent le cas, j’ai eu une centaine de risques à traiter rapidement, et nous avons dû prioriser nos actions ».

De cette étude, il apparaît que l’équipe de sécurité doit gagner en visibilité sur l’infrastructure cloud et véritablement suivre l’activité de tous les composants de cette infrastructure, notamment les conteneurs logiciels : « nous disposions bien évidemment des logs d’AWS, mais il fallait effectuer beaucoup de travail de corrélation pour atteindre le niveau de visibilité que nous souhaitions atteindre. De même, nos ressources sont dans des pods conteneurs. Or, nous avions besoin de savoir ce qui survenait à l’intérieur de ces conteneurs et pas seulement leurs flux entrants et sortants. Beaucoup de malwares peuvent agir dans un conteneur ou au niveau d’un pod ».

Le responsable sécurité s’intéresse alors aux solutions CNAPP – cloud native application protection, en anglais – pour améliorer sa visibilité sur les infrastructures cloud d’Aircall. Plusieurs solutions de CNAPP sont alors évaluées, notamment celles des grands éditeurs de cybersécurité ou encore celle de Sysdig : « outre les qualités techniques de la solution, l’approche client de Lacework nous a séduits lors du PoC. Nous sommes une startup et nous avons voulu essayer des solutions nouvelles, qui viennent en rupture sur le marché. Avec Lacework nous n’avons pas été déçus. »

Le déploiement de la solution est mené très rapidement avec la collaboration de l’équipe SRE. L’équipe de sécurité va monter en compétences graduellement sur la solution et, après 3 mois d’exploitation, le responsable estime que son équipe a maintenant une bonne maîtrise de la solution. 

La technologie Polygraph de Lacework établit une baseline de l’infrastructure cloud mise sous sa surveillance, un comportement considéré comme « normal » et qui va permettre de générer des alertes en cas d’écart avéré : « c’est une approche extrêmement intéressante, car ce n’est pas parce qu’on n’a aucun symptôme que l’on n’est pas malade. Avoir une alerte est un élément intéressant, mais c’est ensuite à nous d’investiguer et vérifier si cette alerte est justifiée ou pas. Néanmoins, la manière dont sont présentées ces alertes est très efficace, car on peut effectuer un drill-down afin de visualiser tous les événements qui ont mené à son déclenchement ».

Outre l’utilisation des outils en ligne apportés par l’éditeur, le responsable de la sécurité a voulu collecter l’information agrégée par Lacework dans un système de gestion des informations et des événements de sécurité (SIEM) afin de pouvoir les recouper avec les données issues des applicatifs.

L’idée était alors d’étendre les automatisations pour traiter ainsi davantage d’événements. Plutôt que d’opter pour un SIEM du marché, Rawad El Khoury a fait le choix de développer son propre SIEM. Il explique ce choix, motivé par le coût des SIEM du marché, mais pas seulement : « Lacework nous pousse des données pour toute la partie infrastructure et nous avons estimé que nous aurions plus de valeur ajoutée en développant notre propre SIEM. Outre les événements agrégés délivrés par Lacework, nous intégrons une partie des logs d’AWS et les données issues de nos applications ».

Outre ce volet purement cybersécurité, Aircall met en œuvre sa solution de CNAPP dans le cadre de la gestion de la conformité. L’éditeur met en œuvre le Compliance framework de la solution pour gérer notamment sa conformité aux cadres imposés par certains de ses clients : « le recours aux infrastructures AWS nous apporte l’ISO 27000, mais nous devons aussi être certifiés SOC 2, HIPAA pour nos clients dans le domaine de la santé », souligne le responsable. De plus, en interne, Aircall met en œuvre le framework CIS. « Nous apprécions l’idée de niveaux de maturité pour chaque contrôle développé par ce framework. Cela nous permet de nous améliorer en continu ».

« Lorsque nous avons déployé la solution, nous avons dû faire face à un grand nombre d’alertes. Nous avons dû nous lancer dans le développement d’automatisations pour en traiter la plus grande part. »

Après 2 années d’utilisation de la solution de Lacework, Rawad El Khoury se félicite de la relation étroite qu’il a pu entretenir avec l’éditeur américain : « lorsque nous avons déployé la solution, nous avons dû faire face à un grand nombre d’alertes. Nous avons dû nous lancer dans le développement d’automatisations pour en traiter la plus grande part, par exemple bloquer au niveau du firewall une ressource cloud exposée publiquement. En parallèle, Lacework développait le module Auto Remediation d’automatisation de la réponse à incident. Nous avons pu entrer en contact avec l’équipe qui développait ce produit et nous avons eu des discussions très ouvertes avec eux, où ils nous ont expliqué ce qu’ils souhaitaient faire et où nous avons pu leur expliquer ce dont nous avions besoin ».

En outre, en tant qu’« early adopter » de la solution, Aircall a accès aux nouveaux développements de Lacework en avant-première. C’est notamment le cas de la fonction de Path Analysis que le responsable de la sécurité trouve particulièrement intéressante : « nous faisons déjà du Threat Modeling en interne afin de savoir sur chaque brique du SI et chaque application quelles sont les menaces qui pèsent sur elles. Nous nous appuyons sur les informations fournies par le MITRE et l’OWASP pour nous livrer à ce travail. Nous gérons ces risques en mettant en face des solutions de protection et en identifiant les risques résiduels ».

Toutefois, « c’est beaucoup plus complexe lorsqu’on commence à agréger les risques de services qui font appel à d’autres services, notamment ». C’est là qu’intervient Path Analysis, en mettant en évidence « quelles briques sont impactées par un type d’attaque. Le logiciel est très visuel et c’est d’une grande aide lorsqu’on fait du Threat Modeling. On peut mener cette agrégation de risque de manière très efficace. Le module est encore en pré-release, mais c’est très prometteur ».

Autre module accessible en pré-release qui intéresse tout particulièrement le responsable de la sécurité, l’analyse automatisée des droits d’accès : « Lacework nous délivre déjà des analyses sur le comportement des utilisateurs, mais la solution va pouvoir délivrer des analyses sur les droits d’accès, nous signaler des accès non utilisés depuis des mois ou des droits accordés à un utilisateur sans explication ».

Enfin, Aircall profite des capacités multicloud de sa solution de CNAPP : l’éditeur exploite aussi un tenant Azure afin d’assurer l’intégration de son service de téléphonie à Microsoft Teams. Lacework permet à Aircall d’avoir une visibilité sur cet environnement Azure au même titre que son cloud AWS.