Un NDR français sécurise le réseau du Conseil départemental de la Haute-Garonne
Plutôt mature en termes de cybersécurité, le CD31 a choisi de déployer un NDR, en complément de son EDR et du SIEM déjà en place. L’objectif est d’analyser le trafic réseau interne et de détecter toute tentative d’intrusion passée sous les radars des outils traditionnels.
Collectivité locale relevant d’un niveau de maturité cyber au-dessus de la moyenne, le Conseil départemental de la Haute-Garonne a fait le choix de se doter d’un NDR (Network Detection and Response).
Jean-Xavier Mauruc, en charge de la sécurité du SI, explique ce choix : « nous sommes dans une course à l’armement. Après une évolution vers l’EDR pour compléter notre antivirus classique, nous avons rapidement souhaité renforcer notre arsenal de cyberdéfense avec un NDR, pour lever le voile sur les angles morts présents sur notre réseau local ». Cette montée en puissance vise à la constitution d’un SOC interne.
Un Conseil départemental très étendu
Recensant plus de 25 000 actifs, le Conseil départemental de la Haute-Garonne dispose d’un système d’information 3 à 4 fois plus gros que celui d’un Conseil départemental moyen. Il compte de l’ordre de 700 machines virtuelles, 7 000 postes de travail, des équipements réseau, des objets connectés dédiés à la gestion des bâtiments, de l’IoT sur les châteaux d’eau, etc.
Outre les PC déployés dans les bâtiments de l’Hôtel du département, de nombreux agents accèdent au système d’information en télétravail via un VPN et depuis les 300 sites distants du CD31. Comme dans de nombreuses organisations de ce type, le réseau s’est construit progressivement, ce qui a induit une certaine hétérogénéité dans l’architecture et les équipements déployés.
Souhaitant diversifier ses solutions de sécurité et éviter une adhérence trop forte avec un éditeur, l’équipe projet a souhaité étudier de nombreuses solutions du marché, en privilégiant l’expertise et la technologie : « nous préférons nous tourner vers des éditeurs pure player, car l’analyse réseau est leur métier », résume Jean-Xavier Mauruc. « Ce type de projet prend entre 1 et 2 ans, car nous effectuons une veille, puis nous menons des PoC avec les solutions sélectionnées avant de faire notre choix. Dans ce cas, nous avons mené 4 PoC avant d’opter pour l’offre Custocy ».
L’IA, un prérequis
Parmi les critères de choix figuraient la compatibilité native avec le SIEM déjà déployé par le Conseil départemental, ce qui était le cas de toutes les offres, et le recours à l’Intelligence Artificielle afin de disposer d’une bonne qualité de détection tout en abaissant la charge de travail sur l’équipe sécurité, majoritairement constituée d’administrateurs systèmes et réseaux.
La solution choisie est finalement celle d’un éditeur local, Custocy, basé à Labège, près de Toulouse. Le CD 31 en met en œuvre le NDR intégrant la technologie de l’éditeur Enea.
Cédric Lefebvre, responsable de la stratégie cybersécurité et IA chez Custocy explique ce choix : « nous avons signé un partenariat avec Enea il y a environ un an. Cette société suédoise a racheté Qosmos, un éditeur français dont nous intégrons les composants d’analyse du trafic réseau ».
Cette technologie de Deep Packet Inspection (DPI) offre à la sonde la capacité de catégoriser très finement les flux. Cela permet d’enrichir l’apprentissage de l’IA avec des données relatives aux types de protocole et avec diverses caractéristiques de ce protocole. Cette technologie est désormais disponible dans toutes les sondes livrées par Custocy. Elle offre en outre un gain significatif en termes de performances : « grâce à Enea, nous bénéficions d’une capacité à traiter en temps réel des débits conséquents, de l’ordre de plusieurs dizaines de gigabits par seconde », ajoute Cédric Lefebvre.
Cette reconnaissance des protocoles permet en outre de mettre en place des détections spécialisées. Une seule sonde a été nécessaire pour traiter l’ensemble du trafic interne du Conseil départemental, de l’ordre de 10 Gbit/s en pic.
Un déploiement dans la foulée du PoC
Pour la mise en place du NDR, l’éditeur a pu capitaliser sur la configuration définie pour la réalisation du PoC. Cédric Lefebvre détaille la démarche : « lors du PoC, nos IA, déjà pré-entraînées dans notre laboratoire interne, poursuivent leur apprentissage directement sur l’environnement du client. En quelques semaines seulement, elles s’adaptent au biorythme du réseau qu’elles surveillent. Pendant le premier mois, nous accélérons la convergence des IA grâce au whitelisting et à l’active learning ».
Jean-Xavier Mauruc ajoute : « suite au PoC, nous avons réalisé l’intégration du NDR avec notre SIEM, un projet mené en co-construction avec Custocy ».
L’intégration dans le reporting du SIEM est complète. Pour la corrélation des données, qui va à accroître les capacités de détection et d’analyse, l’intégration est plus complexe. Elle implique d’entrer dans les modèles de données des solutions : « la prochaine version de Custocy va nous amener ce niveau d’intégration », précise l’administrateur.
L’équipe de sécurité passe en moyenne 30 minutes par jour sur l’outil pour vérifier les alertes remontées par le NDR et mener une chasse proactive. Un passage régulier permet également d’affiner le whitelisting et d’optimiser en continu la détection.
Le NDR Custocy a su démontrer son efficacité en détectant un PenTest mené sur un réseau IoT du CD31, de même que plusieurs tentatives d’intrusion qui avaient échappé au pare-feu et à l’EDR.
Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)
-
![]()
Contourner l’EDR ? Miser sur des objets connectés non supervisés
Par: Valéry Rieß-Marchive
-
![]()
BNP Paribas veut recycler 400 000 appareils IT par an
Par: Philippe Ducellier
-
![]()
NDR : l’IA démontre sa pertinence au conseil départemental du Tarn
Par: Alain Clapaud
-
![]()
Lynred mise sur la complémentarité entre EDR et NDR
Par: Alain Clapaud
