L’Oréal mise sur l’analyse du trafic réseau contre la malveillance interne
Le groupe de produits cosmétiques compte sur la solution de Darktrace pour détecter les anomalies susceptibles de trahir des comportements malveillants furtifs visant en particulier sa propriété intellectuelle.
C’est en 2017 que L’Oréal a commencé à utiliser la solution d’analyse du trafic réseau (NTA) de Darktrace. L’objectif était simple : réussir à détecter des comportements anormaux au sein du système d’information, au-delà des alertes susceptibles d’être générées par les règles de détection configurées dans le système de gestion des informations et des événements de sécurité (SIEM).
Lors d’une rencontre aux Assises de la Sécurité, la semaine dernière, à Monaco, Piotr Matusiak, RSSI de L’Oréal, explique que la réflexion est partie d’un « incident de sécurité » : « nous avons cherché à y répondre avec nos outils en place. Mais très rapidement, la question a émergé de la détection des comportements discrets ». Ceux qui sont susceptibles de passer inaperçus.
Il s’agissait moins là de notions techniques que de considérations métiers, et en particulier de protection de la propriété intellectuelle du groupe : « comment détecter, par exemple, une personne qui consulte toutes les formules sur un laps de temps suffisamment long pour en avoir une connaissance complète, puis démissionne et part avec ? » Ce genre de comportement hautement furtif est susceptible de ne pas déclencher d’alerte au niveau du SIEM – quand bien même celui-ci surveille les activités liées aux applications critiques.
Un choix éclairé
Les équipes de Piotr Matusiak ne se sont pas contentées d’étudier la solution de Darktrace. Elles ont également examiné et testé celle de son concurrent Vectra Networks. Mais voilà, le RSSI de L’Oréal explique que le britannique « a fourni une documentation fouillée et claire sur les concepts mathématiques sous-jacents, que nous avons soumise à nos propres data scientists ». Et ces derniers se sont montrés convaincus. Mais ce n’est pas tout. A cela s’est ajouté la rencontre avec un fonds d’investissement : « pour investir là-dedans, ils doivent croire dans la solution. Et c’est un gage de pérennité ». Des échanges avec un client Suisse de Darktrace ont en outre permis d’évoquer les questions liées à l’exploitation de la solution.
Mais c’est un démonstrateur qui a achevé de convaincre L’Oréal. Les équipes du CSIRT du groupe ont confronté les solutions de Darktrace et de Vectra à des scénarios d’attaque, sur le même périmètre. Et le second « s’est avéré un peu moins bon » sur ceux-ci, commente Piotr Matusiak.
Dans la pratique, L’Oréal n’a pas déployé Darktrace sur l’ensemble de son infrastructure, mais sur ses actifs les plus critiques. Concrètement, il s’agit donc d’un centre de calcul abritant l’essentiel des serveurs liés aux activités de recherche et développement, ainsi que sur un centre de R&D, afin d’avoir une visibilité côté serveurs et côté utilisateurs. Piotr Matusiak souligne là qu’il « est important d’impliquer les équipes réseau dès le départ » afin précisément de savoir où collecter le trafic à analyser.
Des habitudes de travail modifiées
Rapidement, la solution a conduit à la découverte de surprises. Comme « une imprimante 3D qui communique sur Internet après chaque impression ». Rien de bien méchant dans les faits, mais un comportement qui soulevait des questions : « qu’est-ce qu’elle envoie et à qui ? » Certaines activités d’administration, avec Powershell, ont également pu générer des alertes. Ainsi que des utilisateurs de bonne foi : l’un d’entre eux partageait des documents de manière non sécurisée avec un fournisseur, en suivant simplement ses instructions.
Au sein des équipes de sécurité de L’Oréal, il a toutefois fallu tenir compte de certaines « résistances », notamment liées à la crainte de ce qui peut être perçu comme des « faux positifs » par rapport à des règles de détection patiemment affinées avec le temps : « mais lorsque Darktrace signale quelque chose, ce n’est pas un faux positif, c’est une anomalie ! », relève Piotr Matusiak. Et elle mérite investigation : « on y passe du temps, c’est sûr. Mais je préfère faire ce genre d’analyse plutôt que de me contenter de développer des scénarios statiques ».
Concrètement, les analystes de niveau 2 de L’Oréal – les activités de centre opérationnel de sécurité (SOC) sont externalisées – travaillent désormais avec deux consoles en parallèle : celle du SIEM, et celle de Darktrace. Le tout sans ressources additionnelles. A la fin de l’été, elles ont reçu une demi-journée de formation à l’utilisation optimale de la solution.