Pourquoi le groupe Matmut a refondu sa couche de détection sur un EPP, EDR et NDR commun
C’est à l’issue d’un long processus de sélection (deux ans) que le groupe Matmut a fait le choix de la plateforme de détection complète, avec EPP, EDR et NDR, et intégrée, issue d’un unique éditeur.
Groupe d’assurance mutualiste qui gère de multiples systèmes d’information, le groupe Matmut devait faire face à la complexité de sécuriser de multiples systèmes interconnectés.
Tout l’enjeu pour son RSSI était d’avoir une vision globale et centralisée de l’ensemble de ses systèmes afin de pouvoir réagir rapidement au moindre incident de sécurité.
Si la mutuelle n’a pas cédé à la mode du « Cloud First », gérer ses propres infrastructures dans ses datacenters ne simplifie pas nécessairement cette équation. « Le on-premise n’exclut pas la complexité », explique Cédric Chevrel, responsable de la Sécurité des Systèmes d’Information du Groupe Matmut. « Nous avons de multiples partenaires sur le volet distribution de nos offres, sur les services proposés à nos sociétaires, etc. De plus, nos méthodes de travail ont beaucoup évolué depuis le Covid, avec le développement du télétravail pour les salariés et des prestataires qui ne se déplacent plus et interviennent à distance. La complexité est aujourd’hui de sécuriser toutes ces portes d’entrées au SI ».
« Si on s’appuie sur une nébuleuse de solutions qui chacune remontent une information, chacune d’entre elles, prise individuellement, peut être considérée comme négligeable. »
Cédric ChevrelResponsable Sécurité des Systèmes d’Information, Groupe Matmut
Pour contrer toutes les menaces qui pèsent sur ces accès, les équipes cyber du groupe disposent de nombreux logiciels et équipements de sécurité. Mais cela implique de devoir manipuler de nombreuses consoles, de multiples logiciels qui répondent chacun à un risque précis. Et pour Cédric Chevrel, « cette approche ne répond plus au besoin actuel. Une attaque se compose d’une multitude d’événements, un chemin que va parcourir le cybercriminel pour atteindre sa cible. Cela peut être de la donnée personnelle, par exemple. Ce cheminement dans le SI va déclencher des signaux faibles, or si on s’appuie sur une nébuleuse de solutions qui chacune remontent une information, chacune d’entre elles, prise individuellement, peut être considérée comme négligeable ».
La promesse d’ouverture des éditeurs avec des API et des connecteurs ne séduit pas le RSSI. « Dans les faits, les connecteurs sont bien présents. Quand on les met en œuvre, ceux-ci sont fonctionnels, mais, en réalité, cette approche fonctionne très mal. Ces éditeurs restent malgré tout concurrents entre eux et ne dialoguent pas de façon complète avec les autres solutions », explique-t-il.
Deux années d’étude sur les EDR
Pendant plus de deux ans, une étude est menée par l’équipe sécurité sur toutes les solutions de détection du marché.
« C’est seulement en associant l’ensemble des informations disponibles dans le SI que l’on arrive à mettre le doigt sur une action malveillante. »
Cédric Chevrel RSSI, Groupe Matmut
Cédric Chevrel explique que les tests menés par la Red Team ont démontré que les solutions, prises une à une, peuvent être contournées sans grands problèmes par les attaquants : « un attaquant bien entraîné peut maquiller ses actions et passer inaperçu de n’importe lequel des EDR du marché. C’est seulement en associant l’ensemble des informations disponibles dans le SI que l’on arrive à mettre le doigt sur une action malveillante. Il faut accumuler les signaux faibles et réaliser une corrélation entre eux pour y parvenir ».
La conclusion de cette étude est de privilégier une approche plateforme intégrant les antivirus, EDR et NDR et disposant d’algorithmes et d’IA capables de corréler les informations glanées par ces différents logiciels pour détecter des scénarios d’attaque complexes.
Testée par la Red Team du groupe Matmut, cette approche s’est montrée extrêmement efficace : « le sujet n’était pas de dire si un EDR est meilleur qu’un autre. Certains sont sans doute très bons, mais ils ne couvriront jamais l’ensemble des risques et, seul, un EDR ne vaut pas grand-chose et ne va répondre qu’à des cas très simples comme l’utilisateur qui branche une clé USB… Or les cyberattaques avancées visent plus particulièrement les organisations comme les nôtres ».
L’approche plateforme séduit le RSSI
Déjà utilisateur de l’EPP Trend Micro depuis plus de vingt ans, le Groupe Matmut va rester fidèle à l’éditeur japonais pour son EDR et son NDR. Pour le RSSI, la valeur ajoutée de la plateforme résidait aussi dans sa capacité à intégrer toutes les données périphériques issues de l’Active Directory, et de la prise en compte des failles de sécurité.
« Lors de nos nombreux tests, la solution a été capable de détecter nos attaques et les bloquer. Nous avons été convaincus de la pertinence du modèle par l’expérience », explique Cédric Chevrel.
« « Les EDR et les NDR ont peu de chances d’être pertinents si vous les déployez “from scratch” sur votre SI. Une importante phase de configuration et de personnalisation est nécessaire. »
Cédric ChevrelRSSI, Groupe Matmut
La panne mondiale de l’EDR CrowdStrike au début de l’été 2024 n’a pas remis en cause ce choix d’une plateforme unique, mais a poussé le RSSI à réfléchir sur ce choix : « l’option nous a paru viable, car l’ensemble des solutions sont hébergées dans notre SI et l’éditeur ne peut intervenir à distance sans notre aval. Par ailleurs, Trend Micro n’adresse qu’un pan de notre sécurité, le volet détection, et uniquement celui-ci. »
Le déploiement a été mené brique par brique, en commençant par le NDR, car un EDR était déjà en production. Ce dernier n’a été remplacé que dans un second temps : « à chaque étape, nous nous sommes fait accompagner par un partenaire, un spécialiste Trend Micro, afin de tirer parti de son expérience ».
Le Groupe Matmut a la chance de pouvoir s’appuyer sur des compétences internes et, à chaque étape du déploiement, une phase de tests avec des simulations d’attaques a permis de s’assurer que chaque brique répondait bien aux attentes. « Nous avons pu mener nous-mêmes des attaques sophistiquées qui n’ont pas été détectées dans un premier temps. Cela nous a permis d’opérer des ajustements, parfois avec le soutien de Trend Micro qui a dû intégrer des scénarios d’attaque dont ils n’avaient pas encore conscience », explique le RSSI.
L’éditeur a pris en compte les demandes du groupe très rapidement : celles-ci étaient traitées en quelques jours, jusqu’à trois semaines pour les scénarios les plus complexes. Dans 100 % des cas, l’éditeur a apporté une réponse. En l’espace de 3 mois, la plateforme de détection était en œuvre.
Le rôle du SIEM reste clé pour le SOC
Dans l’architecture de sécurité mise en place, toutes les données glanées par ces différentes briques de détection de la plateforme Trend Micro ne sont pas déversées dans le SIEM. L’éditeur assure la consolidation de toutes les informations collectées et génère les alertes qui alimentent le SIEM du Groupe Matmut.
« Les retours d’expérience montrent que les attaquants mettent de moins en moins de temps entre le moment où ils entrent dans le système d’information et celui où ils commencent à faire des dégâts. »
Cédric ChevrelRSSI, Groupe Matmut
Les logs de l’Active Directory sont envoyés dans le SIEM, mais aussi vers la plateforme Trend Micro afin qu’elle dispose d’un facteur d’analyse complémentaire. « Il était important de pouvoir nous appuyer sur l’expertise de pure players dont la détection est la mission principale. C’est la valeur ajoutée de ces éditeurs », ajoute Cédric Chevrel.
L’objectif du RSSI est de réduire au maximum le délai de détection, car le facteur temps est devenu décisif : « les retours d’expérience montrent que les attaquants mettent de moins en moins de temps entre le moment où ils entrent dans le système d’information et celui où ils commencent à faire des dégâts. Si vous n’avez pas une alerte immédiate, il est potentiellement trop tard ».
Ce modèle d’architecture est en production depuis moins d’un an. Dans un premier temps, Cédric Chevrel a opté pour l’offre NDR de l’éditeur lors de la phase de test et le temps que son équipe s’approprie la solution.
Le RSSI compte désormais explorer les capacités des IA génératives aujourd’hui embarquées dans toutes les solutions de sécurité. « Les événements étant très nombreux et le facteur temps étant primordial, l’IA générative est extrêmement pertinente en forensic par sa capacité à faire une synthèse de tous les éléments relatifs à une attaque. C’est une aide qui peut faire gagner jusqu’à une demi-journée à un analyste », conclut-il.
Pour approfondir sur Protection du terminal et EDR