Comment SAMSE sécurise ses serveurs et postes de travail

Suite à une attaque de ransomware, cap sur la sécurisation endpoint

De 2019 à 2021, la stratégie de l’équipe infrastructures et réseaux s’est concentrée sur la sécurisation des deux centres de calcul du groupe, avec notamment le déploiement de la solution de NDR (Network Detection and Response, détection et réponse dans le réseau) de Vectra et le remplacement des firewalls Internet. Mais une cyberattaque avec ransomware contre l’une des filiales du groupe va pousser l’équipe à porter l’effort sur la sécurisation endpoint : « nous nous sommes rendus compte qu’en nous focalisant sur la protection de nos datacenters, nous ne pouvions détecter les attaques qu’au moment où celles-ci arrivaient au niveau des centres de calcul. Cela a révélé un manque ».

L’EDR (Endpoint Detection and Response, détection et réponse aux menaces sur les hôtes du système d’information) de Cybereason est rapidement déployé sur l’ensemble des postes de travail VIP et administrateurs, ainsi que sur les serveurs tiers 0 et les serveurs de fichiers dans les filiales. Néanmoins, l’équipe devait songer à une solution pour sécuriser l’ensemble des 6 000 postes que compte le groupe.

« Nous devions faire face à une forte augmentation de notre surface exposée et donc celle du risque associé. Nous avions besoin d’adapter notre stratégie de défense. »

Plus qu’un simple EDR, Anthony Barjon, Responsable sécurité et réseau du groupe SAMSE, cherche une solution qui permettra à la petite équipe de faire face à la mutation d’un groupe de plus en plus présent sur Internet via des sites marchands, ainsi qu’à l’explosion du télétravail et de l’utilisation des outils collaboratifs : « nous devions faire face à une forte augmentation de notre surface exposée et donc celle du risque associé. Nous avions besoin d’adapter notre stratégie de défense. Suite à cette attaque, nous avions aussi identifié un réel besoin de surveillance de nos infrastructures en 24/7, sachant que l’attaque a eu lieu un vendredi à 22h. Notre équipe n’était clairement pas dimensionnée pour assurer une couverture en 24/7 ».

Si le responsable se félicite de l’efficacité de l’EDR déployé dans un premier temps ; il a aussi noté la masse de télémétrie générée par le logiciel : « il faut pouvoir traiter les alertes, écarter les faux positifs, ajustement finement le réglage de la solution. Ces solutions sont beaucoup plus chronophages que les briques de protection endpoint historiques ».

Rehausser le niveau de sécurité global était devenu urgent

En 2021, le renouvellement de l’assurance Cyber du groupe fait apparaître des critères d’éligibilité bien plus exigeants. Le groupe doit améliorer sa maturité en termes de cybersécurité pour ne pas voir sa prime exploser. S’il apparaît rapidement que le déploiement d’un EDR est indispensable pour rehausser le niveau de sécurité des endpoints, plusieurs options sont possibles pour gérer les alertes générées par les briques de sécurité.

Trois approches sont alors étudiées : « nous avons étudié l’option de nous appuyer uniquement sur un service d’EDR managé et conserver en interne la maîtrise de toutes les autres briques de sécurité », explique Anthony Barjon. « Notre deuxième option était d’opter pour un Micro-SOC pour l’EDR et sur lequel connecter quelques briques sensibles avec une approche 24/7. Enfin, l’option la plus coûteuse consistait à mettre en place un SOC complet, avec un SIEM et un EDR ».

Devant la difficulté à embaucher des experts en sécurité dans la région grenobloise et le coût d’une telle opération, en septembre 2021, l’approche Micro-SOC et EDR est finalement retenue. Le mois suivant, alors que le responsable étudie divers EDR du marché pour un déploiement sur l’ensemble des postes, il rencontre Dell Technologies lors des Assises de la Sécurité et se voit présenter l’offre de SOC managé Dell MDR. L’offre qui présente l’avantage d’offrir un EDR intégré dans une prestation de SOC et d’éviter ainsi le coût de deux solutions distinctes.

Un déploiement mené en 3 phases

L’offre Dell Technologies est retenue et le déploiement va être mené tambour battant. David Ortovent résume la démarche adoptée pour le déploiement de la solution : « nous avons compris lors du Kick-off de lancement du projet avec Dell que pour que le SOC puisse démarrer, nous devions atteindre 40 % des postes équipés de l’agent Taegis XDR (eXtended Detection and Response, détection et réponse étendues). Le déploiement s’est donc déroulé très rapidement grâce à notre socle SCCM. Cela nous a permis de déployer sur tous les laptops dans un premier temps. Ce qui correspondait aux 40 % requis par le SOC Dell ».

En 2 semaines, tous les PC portables étaient donc équipés. N’observant aucun problème lié à l’agent, ce sont les serveurs, les PC des administrateurs, puis tous les autres postes qui sont rapidement déployés. En parallèle, l’équipe infrastructure intègre sur le XDR les API Office 365, de Proofpoint et un connecteur interne pour son infrastructure VMware.

La deuxième phase du projet a porté sur l’analyse des premières alertes remontées par Teagis XDR. L’équipe va alors travailler avec celles de Dell Technologies afin d’éliminer un maximum de faux positifs.

Actuellement, la phase 3 du déploiement bat son plein. L’équipe est dans un mode d’amélioration continue, avec des points réguliers avec celles de Dell pour avoir de la visibilité sur les attaques et les investigations qui ont été menées dans le but d’améliorer la plateforme de détection et de remédiation.

Six mois après l’activation du SOC, le premier bilan est jugé très positif par Anthony Barjon : « près de 700 000 alertes ont été remontées. Après nettoyage, ces alertes ont donné lieu à 6 000 investigations par les équipes de Dell et 31 sont parvenues jusqu’à nous et ont nécessité une intervention de notre équipe. Il s’agissait parfois d’actions légitimes, parfois des faux positifs ou d’incidents qui étaient déjà bloqués en amont par d’autres équipements. Cela a donné lieu à du tuning au niveau des règles de détection ».

Quelques alertes furent bien réelles et ont demandé l’intervention de l’équipe. Ainsi, dès le démarrage du SOC, le XDR détecte que dans l’une des petites filiales du groupe, un annuaire Active Directory exécutait systématiquement un script contenant un login/mot de passe en clair. Cette vulnérabilité a rapidement pu être corrigée.

Un autre cas fut celui d’un collaborateur ayant téléchargé une pièce jointe infectée depuis son webmail personnel. « Nous avons rapidement été prévenus par l’équipe SOC et nous avons immédiatement isolé le poste pour le priver ainsi de tout accès réseau. L’équipe de proximité a remastérisé le poste et a sensibilisé le collaborateur sur les dangers d’ouvrir ainsi ses pièces jointes », précise David Ortovent.

Anthony Barjon commente à son tour cet incident : « ce sont les défaillances de plusieurs de nos briques de sécurité qui ont amené à cet incident. Nous avions déjà eu des problèmes liés aux Webmail personnels, qui sont bloqués par notre SI en temps normal. Une mauvaise catégorisation de l’URL de ce service grand public a permis de passer les règles de filtrage. En outre, la charge active n’a pas été identifiée par notre IPS, car elle était intégrée à un downloader et c’est finalement l’action sur le poste qui a été identifiée par l’agent XDR et qui a généré l’alerte et mené à l’isolation logique du poste ».

La combinaison EDR + SOC a permis de contenir la charge d’administration

Si la partie EDR intégrée de l’agent Teagis XDR n’est sans doute pas aussi sophistiquée qu’un EDR « pure player », SAMSE a gagné en rapidité de détection, ce qui permet, selon David Ortovent, de limiter au maximum la propagation d’un maliciel qui aurait passé les mailles du filet.

« Nous n’avons pas eu d'augmentation significative de la charge d’administration. »

Le groupe a énormément gagné en visibilité sur ses postes de travail, serveurs et équipements de sécurité sans toutefois submerger l’équipe sous les incidents de sécurité à traiter : « nous n’avons pas eu d'augmentation significative de la charge d’administration. C’était un point très important, car nous souhaitions pouvoir garder de la bande passante pour les autres projets sécurité à mener en parallèle ».

Le responsable souligne aussi le rôle de l’interface en ligne de la plateforme XDR qui permet à l’équipe de communiquer avec les analystes du SOC et qui livre de nombreux détails quant au contexte des incidents tout en formulant des recommandations jugées pertinentes par le responsable. « Cela nous permet d’améliorer le niveau global de notre sécurité, gagner en maturité. Nous avons ainsi pu pousser des campagnes de correction sur d’anciens OS, nous sommes intervenus sur nos contrôleurs de domaines, etc. »

Pour Anthony Barjon, la mise en place d’un SOC et d’un EDR fut avant tout un challenge en termes d’organisation interne : « nous sommes une petite équipe et nous avons dû modifier nos astreintes pour passer en 24/7, nous former sur la façon de réagir en cas d’attaque et interagir avec les équipes SOC de Dell sur notre tenant ». En outre, SAMSE est une entreprise francophone et les SOC Dell fonctionnent en « Follow the sun ». L’équipe a dû rafraîchir son anglais pour discuter avec les analystes, qu’ils soient en Australie ou à Boston.

SAMSE a pu voir l’échéance du renouvellement de son assurance cyber en août dernier avec beaucoup plus de sérénité qu’en 2021. La mise en place du SOC et de l’EDR rassure l’équipe informatique tout autant que l’assureur du groupe.

Propos recueillis à l’occasion de l’édition 2022 des Assises de la Sécurité.