SIEM : Comment l’ANCV associe les métiers

C’est en 2011 que l’agence nationale pour les chèques vacances (ANCV) a commencé à utiliser un système de gestion des informations et des événements de sécurité (SIEM). A l’époque, c’est ArcSight qui avait été retenu, notamment pour surveiller les activités liées à l’annuaire Active Directory. Mais rapidement, Alain Vidal, RSSI de l’ANCV, et ses équipes ont dû faire un constat : le produit était inadapté aux besoins réels – « nous l’utilisions à 20 % de ses capacités ». Et c’était notamment faute de ressources internes : « il aurait fallu une ressource à part entière, au moins, pour en tirer pleinement profit ». La charge associée avait donc été quelque peu sous-estimée.

Le SIEM ArcSight est malgré tout resté en production pendant quelques années, jusqu’à ce qu’un nouveau projet conduise à repenser le besoin de collecte d’événements. En 2015 s’est posée la question de la traçabilité de l’utilisation des e-chèques vacances, ces chèques « brulés » au grattage d’un code unique permettant de les utiliser pour la commande de services en ligne. Le besoin était simple : « suivre toute la chaîne, depuis le site marchand jusqu’à nos bases de données, car sinon, lorsqu’une recherche est nécessaire, il faut passer manuellement par les logs de tous les équipements intermédiaires, entre pare-feu protocolaire, pare-feu applicatif et serveur Apache. C’est long pour trouver l’information ! »

C’est là qu’a donc été lancée la recherche d’un nouveau SIEM. En l’espace de quelques années, l’offre avait eu le temps de s’étoffer : Splunk, LogRhythm, LogPoint, et même ForeScout ont répondu à l’appel d’offres lancé par l’ANCV. « LogPoint s’est rapidement démarqué, ne serait-ce que par son modèle tarifaire », explique Alain Vidal. Pour mémoire, ce SIEM est facturé au nombre de sources de journaux d’activité, là où beaucoup le sont au volume ou à la vélocité, avec dès lors une prédictibilité des coûts bien moindre. Mais ce n’est pas le seul facteur qui a joué en la faveur de LogPoint.

Alain Vidal souhaitait un outil suffisamment simple à exploiter pour le rendre « dynamique » et, dès lors, le faire sortir d’un silo purement technique, entre sécurité et exploitation, pour intéresser les métiers en « mettant en place des collectes d’événements pour des projets bien déterminés, même de façon très temporaire, que ce soit dans une perspective fonctionnelle ou technico-fonctionnelle ».

Et c’est justement ce qu’a permis LogPoint : « désormais, des métiers ont acquis le réflexe de demander à récupérer des logs ou des indicateurs spécifiques ». Cela vaut notamment pour étudier le fonctionnement d’une mise à jour applicative avant son passage en production : le SIEM offre un accès bien plus rapide aux logs que s’il fallait manuellement aller fouiller dans l’infrastructure – « on gagne un temps fou », relève ainsi Alain Vidal.

Les ressources humaines en profitent également pour surveiller – en accord avec les instances représentantes du personnel – le temps de travail afin d’aider chacun à exercer son droit à la déconnexion, par exemple en générant des alertes individuelles relatives au temps passé à utiliser son poste de travail : « là encore, on apporte une autre dimension à un outil qui pourrait être, autrement, purement technique ».

Bien sûr, le SIEM est également utilisé dans une perspective de sécurité. Les indicateurs générés ont d’ailleurs déjà permis de détecter un début d’attaque en déni de service distribué (DDoS).

Alain Vidal n’a en fait qu’un petit bémol à relever. Lors du déploiement initial, la configuration s’est avérée sous-dimensionnée, avec à la clé une saturation rapide de l’espace de stockage des logs et de la mémoire vive du serveur. Mais le support de l’éditeur et l’intégrateur se sont montrés réactifs et disponibles, facilitant l’ajustement de la configuration aux besoins réels.