3. 3
A propos d’Informatique CDC
L’action d’Informatique CDC s’inscrit dans le prolongement des
missions de Tiers de confiance de la Caisse des Dépôts.
GIE – Groupement d’Intérêt Economique – créé en 1959
4. 4
Qui suis-je ?
Thomas Le Gallais, responsable du centre opérationnel de
sécurité (SOC) d’Informatique CDC
Premier projet de corrélation d’évènements sécurité en 2004
5. 5
Notre problématique sécurité
Les attaques sont de plus en plus
nombreuses et sophistiquées
– Forte volumétrie de données générées par un
S.I. avec du bruit dans les logs
Les risques globaux sont bien visibles pour
une cellule sécurité…
– … beaucoup moins pour les métiers
Besoin d’un outil
– Pour détecter les comportements à risque
et les attaques
– Rendre compte de l'efficacité et des limites de
nos dispositifs de sécurité
6. 6
Collecter Analyser Comprendre Représenter Anticiper
Données information à valeur ajoutée
Surveillance pré-Splunk
– Vision unitaire des données sans vision consolidée par périmètre
– Scripts pour la collecte et le tri des évènements pas industriel, pas
auditable, pas adapté à notre organisation, difficile à maintenir
Besoin d’un framework pour collecter, centraliser, corréler les
journaux d’évènements
7. 7
Gestion du
cluster
ESX #1 ESX #2
Gestion des
forwarders
Indexeur
Search head
Sources de log
Architecture
Analystes sécurité
Heavy
Forwarder
syslog collecte
Splunk
Stockage
10. 10
Surveillance Applicative
Risque
couvert
# Use cases
Usurpation
d’identité
①
Plus de x identifiants utilisés à partir d'une seule
adresse IP sur y minutes
②
Plus de x adresses IP accédant à un même compte
sur y jours glissants
③
Plus de x demandes de réinitialisation de mot de
passe pour un compte donné sur y jours glissants
Application
robert.duvall IP 204.107.141.25
al.pacino
james.caan
diane.keaton
IP 204.107.141.36
IP 204.107.141.47
11. 11
Evolutions
> Nouvelles données, nouveaux tableaux de bord et use cases
> Pour la sécurité informatique :
> Intégration de davantage de sources de données externes (threat
intelligence) / internes (référentiels)
> Baselining et analyse prédictive
> Pour la lutte contre la fraude :
> Couverture de nouveaux besoins métier
> Ateliers en commun pour apporter davantage de valeur ajoutée
> Et après demain ? Business Intelligence ? Machine Learning ?
Capacity planning 2.0 ?
12. 12
Retour sur la solution pour de la sécurité
Expertise humaine à sécuriser pour
exploiter pleinement l’outil dans la durée
La pleine utilisation de l’interface est à
réserver aux experts dans un premier
temps
– Commencer par un export « données
brutes » ou PDF
Une architecture technique virtualisée
est plus difficile à optimiser pour la plate-
forme qu’un ensemble de serveurs
physiques