SIEM : Louis Dreyfus Company migre vers Microsoft Sentinel

Une infrastructure IT fortement teintée Microsoft

Voulant opérer un retour aux fondamentaux, Sébastien Carrière décide de simplifier cet écosystème. Le groupe mène alors sa migration vers le cloud et fait le choix des technologies Microsoft Azure pour porter ses futures infrastructures. Avec pour objectif de fermer les centres de calcul on-premise du groupe sur les prochaines années.

« Nous avons des ressources limitées pour les opérations et nous avions la volonté de simplifier l’écosystème IT, pour que nos analystes travaillent sur ce qui est le plus pertinent. »

L’IT du groupe Louis Dreyfus s’appuie déjà très fortement sur les technologies Microsoft, tant dans ses environnements serveur que dans sa bureautique. Cette dernière ainsi que la messagerie ont déjà migré vers Microsoft 365 E3, associé à la suite Microsoft Security E5 avec le CASB, l’antivirus, Defender pour Identity, et Defender pour Microsoft 365. C’est donc assez logiquement que le RSSI s’est attaqué au chantier du système de gestion des informations et des événements de sécurité (SIEM) en se tournant vers Microsoft Sentinel : « nous avons des ressources limitées pour les opérations et nous avions la volonté de simplifier l’écosystème IT, pour que nos analystes travaillent sur ce qui est le plus pertinent plutôt que de traiter de la donnée à longueur de journée ».

De ce fait, capitaliser sur le choix de Microsoft va grandement simplifier la donne pour les architectes, puisque le SIEM Sentinel, initialement développé par Microsoft pour son propre centre opérationnel de sécurité (SOC), vient s’intégrer nativement à toutes les briques Azure, Office 365 et la pile de sécurité Security E5.

Pour ses ressources on-premise, l’architecture mise en place permet de remonter sur le SIEM de Microsoft les alertes générées par l’antivirus Defender for Endpoint, ainsi que les logs générés par Syslog, notamment pour les équipements réseau. « Il n’y a pas d’investissement en termes de Build pour la mise en place de Sentinel sur les infrastructures déjà portées par Azure. Les informations du Security Center remontent facilement vers Sentinel et la connexion de Sentinel aux produits Azure est immédiate […] C’est opérationnel en 3 clics. Les ressources on-premise réclament un peu plus de travail », explique Sébastien Carrière.

Un déploiement rapide pour mettre fin à l’ancien SIEM

Fort de cette capacité de déploiement rapide de Sentinel pour surveiller une infrastructure Microsoft, le RSSI a décidé de rapidement mettre fin au contrat de licence de son ancien SIEM et de migrer dans un délai très court de quelques mois. Ce déploiement a été réalisé avec l’expertise de Metsys, intégrateur spécialisé en cybersécurité et partenaire Microsoft. « Ce déploiement s’est bien passé et je ne pense pas que cela aurait été possible avec une solution on-premise », estime Sébastien Carrière.

Le RSSI n’estime pas avoir été limité sur le plan des connecteurs d’intégrations de données, un manque évident lorsque Sentinel a été lancé par Microsoft en septembre 2019. « Sur ce plan, nous avons fait le choix de compléter notre plateforme avec Syslog et Logstash d’Elastic. Cela nous permet de filtrer les logs à la source et éviter de faire exploser les coûts côté Sentinel. Du côté de la remontée de log, l’EDR Defender for Endpoint nous permet de faire remonter certains indicateurs, notamment de chercher à détecter les mouvements latéraux d’éventuelles attaques ».

De cette façon, le SOC dispose de remontées de log sur deux niveaux. Cela commence par une alerte synthétique générée par l’EDR. Dans un second temps, l’analyste peut faire remonter dans le SIEM tous les logs de sécurité qui lui seront nécessaires lors de son investigation.

« Sur les premières remontées, nous avons trouvé Sentinel extrêmement verbeux, notamment sur Azure », relève Sébastien Carrière. « Il faut prendre le temps d’ajuster les modèles et ne garder que ce que l’on juge vraiment pertinent dans le contexte de l’entreprise. C’est un travail à faire au démarrage du SIEM. Par contre, tout ce qui est remonté depuis Defender for Endpoint est pertinent ».

Quant au portage des règles qui étaient déjà en place sur le précédent SIEM, le RSSI a adopté 2 approches : toutes celles qui étaient déjà couvertes par les solutions dont il disposait déjà ont été supprimées. Seules les règles pertinentes ont été conservées et ont été réécrites pour Sentinel.

Le modèle tarifaire de Sentinel est axé sur la consommation de ressources. Il faut donc garder sous contrôle le volume de logs ingérés, mais surtout leur durée de rétention. Actuellement, Louis Dreyfus Company conserve 90 jours de logs, mais Sébastien Carrière compte bien étendre ce délai de rétention à un an sur des cas bien spécifiques. En outre, le RSSI a opté pour la réservation de ressources qui permet d’alléger la facture. Des alertes sur la consommation de ressources sont en place afin d’éviter toute mauvaise surprise en cas de sursaut d’activité.

Sentinel monte en puissance à l’international

Désormais, l’ambition de Sébastien Carrière est d’étendre le périmètre de couverture du SIEM. Ce changement d’échelle ne devrait pas imposer de repenser l’infrastructure technique pour faire face à la montée en charge. Il lui faut essentiellement se livrer à un nouveau calcul de coût pour évaluer l’impact économique de l’arrivée de nouveaux logs ; charge à Microsoft d’assumer la montée en charge pour son client.

« Nous avons la volonté d’étendre le périmètre de notre SOC au niveau mondial assez rapidement. En configurant correctement Sentinel, on peut avoir de la résilience, mais il y a un point d’attention dont il faut tenir compte : pour un écosystème qui porte aussi sur des ressources on-premise, attention à la connectivité nécessaire à la remontée des logs. Il faut une connectivité IPSec, sinon ce lien peut être coupé par les attaquants assez rapidement », explique le RSSI.

« La stratégie mise en place était d’avoir une couverture large très rapidement, puis de compléter [...] avec des produits de cybersécurité plus spécifiques pour protéger les actifs les plus critiques ».

Si le modèle SaaS simplifie grandement le déploiement, Sébastien Carrière mise beaucoup sur les capacités d’automatisation du SIEM Microsoft pour abaisser la charge de travail de ses analystes : « nous devions pouvoir déclencher des actions automatiquement, notamment pour écarter les faux positifs, mais aussi lancer des actions de remédiation automatiquement. C’est pour cette raison que s’appuyer sur des Playbooks est aujourd’hui un prérequis quand on commence à devoir traiter beaucoup d’événements. Tout le monde ne peut s’appuyer sur des SecOps qui travaillent en H24 ».

Quelques Playbooks sont disponibles sur la plateforme Microsoft, écrits par des membres de la communauté, même si celle-ci reste encore relativement modeste. Le RSSI estime que Sentinel dispose d’un avantage sur les autres SIEM : « la technologie mise en œuvre pour écrire ces automatisations n’est pas propre à Sentinel : quelqu’un qui sait écrire des Power Apps, Microsoft Power Automate (ex-Microsoft Flow) et Azure Logic Apps, sera tout à fait autonome pour créer des Playbooks ». Néanmoins, Sébastien Carrière ne met pas tous ses œufs dans le même panier : « quand on peut automatiser sur Sentinel, on le fait en priorité, mais pour certaines automatisations complexes, notre choix a été de les faire porter par un autre système, un XDR ».

Interrogé sur cette forte dépendance à l’écosystème de sécurité Microsoft, le RSSI explique : « nous devions réduire notre risque cyber dans un délai réduit, et nous avons suivi ce qui nous a paru le chemin le plus rapide. La stratégie mise en place était d’avoir une couverture large très rapidement, puis de compléter ce qui a été mis en place avec des produits de cybersécurité plus spécifiques pour protéger les actifs les plus critiques ».

Article rédigé à partir de la présentation de Sébastien Carrière, RSSI de Louis Dreyfus Company, lors l’édition 2021 des Assises de la Sécurité.