C2S Bouygues mise sur l’analyse comportementale et le renseignement sur les menaces

La plateforme d’analyse comportementale du trafic réseau de Darktrace est en production chez C2S Bouygues depuis la fin 2016. Avec ce choix technologique, Marc Cierpisz, directeur de la sécurité des systèmes d’information de la filiale du groupe Bouygues, voulait réduire l’avance que les attaquants ont sur les défenseurs : « les outils du marché, dans leur grande majorité, ne conviennent plus à mes besoins. Depuis une vingtaine d’années, je vois toujours la même problématique : des solutions qui répondent à des besoins passés, pas futurs. L’analyse comportementale, c’est à ce niveau-là que l’on peut voir et agir rapidement sur des évolutions d’attaque que l’on ne connaît pas actuellement ».

Car outre les outils reposant sur une part d’intelligence artificielle, « dans la plupart des cas, les solutions proposent simplement de définir des « use case » pour détecter des profils d’attaque connus. Mais qui dit attaque connue, dit qu’à partir du moment où il y a détection, l’attaque est déjà engagée. Et ça, je veux l’éviter. Cela devient lassant d’être toujours en retard sur des attaques ou des événements de sécurité. Car c’est un fait : on est toujours en retard par rapport à des personnes malveillantes. Elles ont quelque chose que l’on n’a pas : le temps. Et à partir du moment où eux ont du temps, ils peuvent préparer leurs scénarios d’attaque pour toujours avoir un coup d’avance sur les outils de sécurité que l’on peut avoir déployés ».

Et pour rattraper le retard, Marc Cierpisz mise donc sur « l’analyse du comportement des utilisateurs » et « la recherche d’anomalies : un commissaire aux comptes qui vient en clôture d’exercice, c’est normal. Mais un accès qui survient hors de cette période à 2h du matin, ce n’est peut-être pas normal. Et sur pareil cas, j’obtiens une alerte vraiment pertinente dans la détection d’une menace qui serait passée inaperçue dans des outils classiques de centre opérationnel de sécurité (SOC), comme un système de gestion des informations et des événements de sécurité (SIEM) ».

En fait, Marc Cierpisz suit de près les technologies d’apprentissage automatique et d’intelligence artificielle depuis plusieurs années. Il se souvient de l’émergence des premières solutions matures début 2015. Alors bien sûr, il a également observé les éditeurs de SIEM s’intéresser progressivement à ces technologies, à l’instar d’un Splunk avec le rachat de Caspida en juillet 2015 : « ce sont des éditeurs qui se posent les bonnes questions, qui cherchent à dépasser le sujet des use case, sur la base de logs collectés, analysés, corrélés. Encore une fois, être alerté sur des scénarios d’attaque connus, cela veut dire que les attaquants sont déjà bien installés dans le SI ».

Reste qu’aujourd’hui, son SIEM, Splunk justement, ne sert que de puits de journaux d’activité : « avec le déploiement de Darktrace, nous avons revu toute l’approche de la supervision ». Et celle-ci s’articule désormais autour trois axes : le renseignement sur les menaces – la plateforme ad hoc doit être prochainement retenue –, « devenu aujourd’hui obligatoire » ; l’analyse du trafic réseau pour produire les alertes ; et enfin la gestion des alertes et des incidents.

Au total, Marc Cierpisz estime profiter de « gains de temps considérables, profitant aux activités d’analyse, grâce à la réduction du taux de faux positifs traditionnels des SIEM ». Et cela pour superviser plusieurs milliers d'hôtes (postes de travail et serveurs) du groupe Bouygues – hors l’opérateur télécoms maison – avec un SOC comptant cinq personnes.

Pour aller plus loin, le directeur de la sécurité des systèmes d’information de C2S Bouygues cherche à déployer une solution d’orchestration et d’automatisation (SOAR). Dans le domaine, Demisto a notamment piqué sa curiosité. Il concède que la SOAR nécessite, pour être pleinement profitable, de disposer d’une bonne connaissance de son SI, entre cartographique et CMDB à jour : « et c’est une grosse problématique des entreprises. Mais Darktrace m’a permis de valider la nôtre. Et c’est très plaisant ».