Les sondes Gatewatcher veillent sur les réseaux de la principauté monégasque
Peu de temps après sa création, l’Agence Monégasque de Sécurité Numérique a misé sur une start-up française pour assurer l’analyse et la surveillance de son trafic réseau. Gatewatcher équipe la principauté depuis 2017.
L’Agence Monégasque de Sécurité Numérique a été créée en décembre 2015 sur le modèle de l’Agence nationale de la sécurité des systèmes d’information (Anssi) française. Le législateur a notamment transposé en droit monégasque les obligations qui pèsent sur les opérateurs d’importance vitale (OIV), une notion introduite par la Loi de Programmation Militaire française.
Dans ce cadre, pour se doter de sonde de détection, l’AMSN s’est tournée vers les industriels français qui travaillaient alors sur la qualification de leurs produits par l’Anssi. « Au printemps 2017, nous avons mené une consultation restreinte auprès des 3 industriels qui étaient sur les rangs d’une qualification par l’Anssi », retrace Frédéric Fautrier, directeur de l’Agence Monégasque pour la Sécurité Numérique. « Certaines de ces solutions étaient déjà disponibles, d’autres n’existaient encore que sur le papier. Nous avons sélectionné Gatewatcher qui était la solution qui nous avait semblé la plus avancée dans son développement et celle qui offrait le plus de fonctionnalités ».
Si des IPS et des IDS sont déjà déployés dans certains services de la principauté, principalement portés par des pare-feu, il s’agit du premier NDR déployé par l’État monégasque. Toute l’analyse virale reposait alors sur les antivirus déployés au niveau des postes clients et des serveurs. « Le module d’analyse virale et ses multiples moteurs de détection fournis par Gatewatcher à l’époque représentaient une avancée extrêmement intéressante pour nous, en parallèle à ce qui était déjà déployé dans les différents services de l’État », ajoute le responsable. De facto, à de nombreuses reprises, le NDR Gatewatcher a permis de repérer des incidents qui n’avaient pas encore été détectés par les antivirus en place, des solutions pourtant éditées par un éditeur américain majeur dans le domaine.
Un environnement à surveiller extrêmement hétérogène
La spécificité de l’environnement IT protégé par l’AMSN consiste en l’extrême hétérogénéité des flux réseau. Le système de détection est mis en œuvre sur différents secteurs d’activité, avec des technologies parfois très différentes. Flux IT classiques, mais aussi OT, IoT/Smart City, les sondes travaillent tant sur des technologies anciennes que d’autres beaucoup plus modernes, des flux chiffrés et d’autres qui ne le sont pas. Une telle diversité représentait un défi auquel le NDR a parfaitement répondu, selon Frédéric Fautrier : « le déploiement a été facilité par l’utilisation de la sonde avec des boîtiers d’interception passive via l’interface TAP. Une fois en place, le système de détection de Gatewatcher a commencé à extraire les métadonnées des différents flux supervisés et générer des alertes qui correspondaient aux règles qui avaient été mises en place ».
Frédéric Fautrier, directeur de l'Agence Monégasque pour la Sécurité Numérique (AMSN).
Le système de détection alimente le système de gestion des informations et des événements de sécurité (SIEM) de l’agence, vers lequel convergent aussi les logs des différents équipements de sécurité et des serveurs. Néanmoins, beaucoup de flux sont chiffrés et si un grand nombre peut être déchiffré pour analyse, un système de détection et de réponse (EDR) a été déployé sur les hôtes du réseau, les postes de travail et les serveurs. « L’EDR nous permet d’être certains que si un attaquant est parvenu à contourner tous les mécanismes de protection et de détection, nous aurons un dernier filet de sécurité ».
Le défi du traitement des faux positifs
La problématique des outils de détection, que ce soit les EDR, les XDR et, indirectement, les SIEM, est de devoir faire face à un déluge de faux positifs. La création de règles pour trier et éliminer ces faux positifs est souvent considérable. « Ayant travaillé sur les 3 solutions NDR à l’époque, puis une quatrième par la suite, j’ai pu constater qu’il n’existe pas de recette miracle vis-à-vis des faux positifs. Si on ne prend pas de dispositions préalables, on doit faire face à une avalanche d’informations difficilement exploitable. Il faut d’une part bien positionner les sondes pour avoir des informations pertinentes, analyser ce qui doit l’être, sinon cela ne marchera pas, quelle que soit la solution. C’est inhérent à ce type de solution, quel que soit l’éditeur ».
Pour contenir cette nuisance, l’AMSN a fait le choix d’un déploiement progressif. « Nous avons démarré en 2017 uniquement sur quelques services de l’État. Ce périmètre initial a ensuite été peu à peu élargi et nous supervisons aujourd’hui la quasi-totalité des services de l’État de même que nous opérons les systèmes de détection qualifiés pour un certain nombre d’OIV du secteur privé. Nous avons donc à traiter des données issues de plusieurs secteurs d’activité autres que les services publics ».
« Vouloir faire passer la totalité du trafic dans les sondes de détection va engendrer un taux de faux positifs colossal. Il faut avancer étape par étape et travailler sur des périmètres bien maîtrisés ».
Frédéric Fautrier Directeur de l'AMSN
Officiellement créée en décembre 2015, l’AMSN reste une structure relativement jeune. Celle-ci ne compte que 14 personnes. 5 personnes animent son SOC et traitent les alertes au quotidien. Un ETP et demi est chargé du maintien en conditions de sécurité (MCS) de l’ensemble des systèmes de détection, ainsi que de valider les différentes releases avant leur déploiement. Si la charge liée au MCS reste relativement modeste, l’Agence a quelque peu complexifié l’exercice : son système de détection est totalement déconnecté d’Internet et toutes les mises à jour doivent être réalisées manuellement, de façon déconnectée.
L’AMSN a cultivé une grande proximité avec l’éditeur
En production depuis 2017, le NDR Gatewatcher détecte des actions suspectes quotidiennement, notamment les campagnes de reconnaissance menée par des attaquants très divers, qu’il s’agisse de débutants qui découvrent la cyber ou des groupes para-étatiques. « Les campagnes d’attaque sont très rapidement détectées, car les marqueurs techniques et notre Threat Intelligence sont renouvelés plus que quotidiennement, ce qui nous permet d’avoir les éléments nécessaires à la détection rapide de ces campagnes », se félicite Frédéric Fautrier.
Depuis sa création, l’AMSN entretient une relation privilégiée, et travaille en direct, avec Gatewatcher. « Cette proximité nous permet d’avoir des interactions régulières et fortes avec l’éditeur sur le développement de fonctionnalités complémentaires et de petites améliorations. » Cette relation a permis d’accélérer le développement du produit et la montée en compétences de l’agence en matière de détection.
L’équipe de Frédéric Fautrier travaille aujourd’hui à la validation de la dernière évolution du NDR Gatewatcher. « Cette nouvelle version va nous amener des fonctionnalités supplémentaires, notamment sur la partie interne de nos réseaux, car nous avons un pied sur l’interne, mais aussi un autre sur l’extérieur. Cette architecture nous permet d’avoir un état de la menace en temps réel ». Ce nouveau module Gatewatcher doit permettre à l’AMSN de détecter des événements qui pouvaient encore lui échapper grâce aux capacités d’analyse comportementale du NDR français.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
