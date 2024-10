Lynred est une joint-venture entre Safran et Thales. Localisée en banlieue grenobloise, l’entreprise produit des capteurs de vision infrarouge pour le marché de la défense, le spatial et l’industrie.

L’industriel a récemment lancé un vaste programme de sécurisation qui comporte tant un volet organisationnel que plusieurs déploiements de technologies nouvelles : « cette initiative visait à renforcer notre posture de sécurité en tant qu’industriels », résume Bertrand Frémont, chief security officer de Lynred. Et d’ajouter : « nous voulions réduire notre exposition et améliorer notre capacité de détection, à la fois sur les systèmes que nous gérons et sur lesquels nous pouvons installer des solutions de protection, mais aussi sur ceux pour lesquels nous n’avons pas cette possibilité, notamment certains équipements industriels ».

Outre le site principal à Grenoble, l’industriel dispose d’une entité en région parisienne avec une infrastructure réseau essentiellement on-premise complétée de quelques services SaaS.

Enfin, le troisième critère portait sur le volet financier, même si sur ce point toutes les solutions considérées par l’industriel étaient dans une enveloppe assez proche : « le déploiement de Gatewatcher et sa prise en main par notre SOS nous ont rassurés. La surcharge induite par le NDR était raisonnable et le coût d’administration acceptable ».

Or le cœur des processus de fabrication de Lynred est intégralement informatisé et la microélectronique nécessite une traçabilité complète du processus : « paradoxalement, on ne peut déployer d’EDR sur ces systèmes qui sont les plus coûteux et les plus critiques », déplore le responsable.

Enfin le troisième volet portait sur l’amélioration des capacités de réaction avec le recours à un CERT externalisé : « nous restons une petite structure et nous n’avons pas les moyens d’assumer une supervision de notre sécurité en 24/7. Nous n’avons pas la force de frappe d’un Safran ou d’un Thales, donc nous avons souhaité déployer notre EDR et notre NDR en nous appuyant sur un SOC en service managé ». Le CSO conserve la main sur les consoles d’administration des outils, mais l’exploitation est assurée en mode collaboratif avec Synetis, partenaire du SOC managé de Lynred.

La partie « physique » du déploiement s’est avérée simple et, contrairement au déploiement typique d’un EDR, la mise en marche ne s’est pas soldée par une avalanche de faux positifs. Le secret est de placer les sondes de manière raisonnée et surtout ne pas chercher à suivre immédiatement l’intégralité du trafic réseau.

Prudence toutefois : « il ne faut pas sous-estimer la partie amont, car le diable se loge dans les détails. Il faut notamment s’intéresser à la compatibilité des interfaces optiques et la capacité à traiter les flux en fonction des débits ; ce n’est pas un projet que la cyber peut mener seule. Il est nécessaire d’impliquer l’équipe réseau, mais aussi l’éditeur, pour trouver les endroits où la collecte des données sera la plus pertinente. Une fois cette analyse menée, l’installation d’une sonde nécessite moins de 2 jours de travail ».

Le déploiement de la solution Gatewatcher et l’installation des sondes dans le réseau de l’entreprise n’ont pas posé de problèmes particuliers à l’industriel : « sur le volet déploiement, à partir du moment où l’on sait où déployer les sondes et quels flux seront interceptés, c’est en soi très simple », explique Bertrand Frémont.

Du bruit, mais pas trop

Et là, « les volumétries seront beaucoup plus élevées, mais ces flux sont moins critiques. L’objectif est de bloquer tout mouvement latéral d’un attaquant. La solution est déployée et intégrée et au fur et à mesure de la migration de notre infrastructure de cœur de réseau et nous basculons ainsi progressivement de plus en plus de flux vers Gatewatcher ».

Le responsable estime que le niveau de « bruit » généré par son NDR est nettement moins élevé que celui d’un EDR à l’installation. Le niveau de bruit le plus élevé a été généré par le protocole DNS. Un module Gatewatcher permet d’analyser les requêtes DNS, d’identifier les requêtes provenant de serveurs peu recommandables. « Cela a généré beaucoup de bruit au début, mais cela s’est avéré très utile puisque cela nous a permis d’identifier une attaque de phishing sur une simple requête DNS liée à un domaine dangereux, ce qui nous a permis de remonter jusqu’à la boîte email d’un utilisateur. Aujourd’hui, nous avons moins de faux positifs et les fois où nous avons eu des alertes, celles-ci se sont avérées pertinentes ».

Avec ce déploiement, Lynred dispose maintenant d’une vision sur toutes les entrées/sorties de son système d’information, ce qui permet de mettre en place des mesures de protection en quasi-temps réel et d’identifier les attaques en cours : « cet été, Gatewatcher a détecté une tentative d’exploitation d’une vulnérabilité sur notre plateforme de téléphonie sur IP. Nous avons pu identifier qu’il manquait un correctif de sécurité sur l’un des composants. En s’appuyant sur notre service managé et la solution Gatewatcher, en l’espace de 3h l’attaque était identifiée, les attaquants repérés et bloqués, et la mise à jour de la plateforme était lancée dans la foulée », conclut Bertrand Frémont..