SlideShare une entreprise Scribd logo
1  sur  26
Télécharger pour lire hors ligne
© 2017 SPLUNK INC.© 2017 SPLUNK INC.
De la mise en place d’une posture de
sécurité à une approche « Data As A
Service »
Christophe CAVROT
Responsable Sécurité Globale / Informatique CDC
Responsable Pilotage intégré de la sécurité SI / DSI
© 2017 SPLUNK INC.
Sommaire
▶ Introduction à Splunk
▶ Présentation de la Caisse des Dépots
▶ Elaboration d’un projet de SOC/CERT
▶ Bilan du premier cycle
▶ Approche « data as a service »
© 2017 SPLUNK INC.
Introduction à Splunk
© 2017 SPLUNK INC.
Company overview
2	800	
employees,
35	in	France
Largest	
license:	
2+	PetaB/day
Annual	
Revenue:
$950 M
© 2017 SPLUNK INC.
Spelunking:
to explore
underground caves
Splunking:
to explore machine data
Splunk
© 2017 SPLUNK INC.
Splunk turns machine data into answers
Network
Applications
© 2017 SPLUNK INC.
Splunk replaces and does much more than a SIEM
From SIEM to security intelligence
Small Data. Big Data. Huge Data.
SECURITY &
COMPLIANCE
REPORTING
REAL-TIME
MONITORING
OF KNOWN
THREATS
MONITORING
OF UNKNOWN
THREATS
INCIDENT
INVESTIGATIO
NS &
FORENSICS
FRAUD
DETECTION
INSIDER
THREAT
© 2017 SPLUNK INC.
Splunk
Empowered Ecosystem
Splunk
Premium Solutions
Mainframe
Data
Relational
Databases
MobileForwarders
Syslog/
TCP
IoT
Devices
Network
Wire Data
Hadoop
Platform for turning machine data into answers
The Splunk Portfolio
© 2017 SPLUNK INC.
Caisse des Dépôts
© 2017 SPLUNK INC.
La Caisse des Dépôts
• Groupe public au service de l’intérêt général et du développement économique du pays
• Missions d’intérêt général en appui des politiques publiques
• Investisseur de long terme et contribution au développement des entreprises
▶ GESTIONNAIRE de l’épargne réglementée des Français
▶ BANQUIER du service public de la Justice et de la Sécurité Sociale
▶ MANDATAIRE de 48 régimes de retraite et de solidarité publics et semi-publics
▶ PRETEUR sur fonds d’épargne
▶ INVESTISSEUR dans les projets de territoires, au service de l’économie à un horizon de long terme
© 2017 SPLUNK INC.
Informatique CDC
• Acteur de confiance, filiale du groupe Caisse des dépôts et Maître d’œuvre de
référence de la Caisse des Dépôts et de l’INPI
• Certification ISO 9001 sur l’ensemble de son périmètre
STATUT
Groupement d’Intérêt
Economique (GIE), créé en
1959 et détenu
majoritairement par la Caisse
des Dépôts et l’INPI.
MISSIONS EXPERTISES
Conception, réalisation,
exploitation du patrimoine
informatique de ses
membres.
Informatique CDC est un
opérateur global de services
informatiques et de
confiance numérique.
© 2017 SPLUNK INC.
Elaboration du projet
de SOC
© 2017 SPLUNK INC.
• Objectif : Doter l’équipe en charge de la surveillance d’un dispositif de corrélation
• Missions :
§ Veille sur les vulnérabilités des produits utilisés
§ Analyse des alertes de sécurité
§ Gestion des outils
• Choix en 2013:
§ Solution capable d’intégrer des logs antérieurs
§ Ergonomie/flexibilité d’utilisation
§ Intégration à l’architecture interne
§ Extension possible de la solution à des besoins métier
• Mise en production de la plateforme début 2014
Genèse du projet
© 2017 SPLUNK INC.
Architecture cible
Search Heads
Production Sécurité
Forwarders
Cluster Master
Deployer / License
Monitoring
Console
Deployment
Server
Zone
Sécurité
Zone postes de
travail
Indexers
site1 site2
Cloud
Threat intel
© 2017 SPLUNK INC.
Fin
2014
2015-
2017
2014
Décision de partir en 2014 sur une architecture virtuelle
Ajout de scénarios métier (logs applicatifs)
Ajout de la totalité des équipements d’infrastructure
Mise en place de scénarios spécifiques par famille de technologie
Collecte des postes de travail Windows 10 & 7
Nouveaux scénarios métier sur les projets majeurs
Historique technique et fonctionnel
Création rapide de scénarios sécurité et infrastructure
Ajout de forwarder sur tous les serveurs Windows / Linux / Aix
Ajout de deux nouveaux Indexers et augmentation du stockage
Utilisation de la volumétrie totale de la licence
© 2017 SPLUNK INC.
Bilan du premier
cycle
© 2017 SPLUNK INC.
• Sources intégrées : 25 000
• Agents Splunk déployés : + 2 500
• Volumétrie collectée : + 600 Go/jour
• Scénarios (sécurité & métier) : 260
• Types de logs collectés :
§ Equipements de sécurité (firewall, WAF, IDS, proxy,...)
§ Serveurs d’hébergements
§ Logs systèmes
§ Logs d’applications internes
• Utilisateurs de la solution :
§ Equipe sécurité
§ Equipes systèmes et applicatives
Quelques chiffres
1
Incident de
sécurité / jour
4
Evénements de
sécurité / jour
150
Alertes de sécurité / jour
1 300 000 000
logs / jour
© 2017 SPLUNK INC.
Quelques exemples de rapports / alertes
© 2017 SPLUNK INC.
• Les points forts :
§ Communauté active
§ Plusieurs domaines d’utilisation
§ Collecte et analyse de tout type de
données
§ Flexibilité pour organiser les données
§ Puissant pour rechercher dans les logs
Points marquants
• Les points d’attention :
§ Les alertes en temps réel
§ Dimensionnement de l’architecture
§ Coût aux Go indexés / jour
§ Formation nécessaire pour une
utilisation optimale
§ Personnalisation nécessaire
© 2017 SPLUNK INC.
Approche “Data as a
service”
© 2017 SPLUNK INC.
MEMES DONNEESAux
Posent différentes
Différentes PERSONNES
QUESTIONS
Sécurité Production Métier
© 2017 SPLUNK INC.
• Première plateforme Big Data (en volume de données et cas d’usage)
§ Solutions ELK et Hadoop également utilisées
• Ouverture de la plateforme aux équipes de production
§ Objectif : casser les silos technologiques
§ Communication ciblées pour les équipes techniques organisées avec Splunk
(Splunk4Rookies)
§ Former les équipes techniques à être autonomes
Evolution vers une plateforme « data as a service »
© 2017 SPLUNK INC.
• Proposer plus de scénarios métier
• Offrir un service d’accès aux données pour les MOA et métiers
• Mise en place d’un centre d’expertise capable d’offrir un service aux
métiers
• Stratégie gagnant/gagnant pour les équipes:
§ Centralisation et accessibilité de toutes les données
§ Facilite le monitoring et le troubleshooting
§ Gain en terme d’infrastructure et stockage
Les avantages d’une plateforme « data as a service »
© 2017 SPLUNK INC.
1. Collecte de données hétérogènes
2. Ouverture de la plateforme à de très
nombreuses équipes
3. Réponse par des scénarios aux besoins
et risques métier
Conclusion
© 2017 SPLUNK INC.
Questions ?
© 2017 SPLUNK INC.© 2017 SPLUNK INC.
Merci

Contenu connexe

En vedette

How security analytics helps UCAS protect 700,000 student applications
How security analytics helps UCAS protect 700,000 student applicationsHow security analytics helps UCAS protect 700,000 student applications
How security analytics helps UCAS protect 700,000 student applicationsSplunk
 
The Power of SPL
The Power of SPLThe Power of SPL
The Power of SPLSplunk
 
Splunk Discovery Indianapolis - October 10, 2017
Splunk Discovery Indianapolis - October 10, 2017Splunk Discovery Indianapolis - October 10, 2017
Splunk Discovery Indianapolis - October 10, 2017Splunk
 
Machine Learning für Event Management
Machine Learning für Event ManagementMachine Learning für Event Management
Machine Learning für Event ManagementSplunk
 
Splunk Partner+ Program - Partner Marketing e-Learning - France August 2017
Splunk Partner+ Program - Partner Marketing e-Learning - France August 2017Splunk Partner+ Program - Partner Marketing e-Learning - France August 2017
Splunk Partner+ Program - Partner Marketing e-Learning - France August 2017Splunk
 
Reactive to Proactive: Intelligent Troubleshooting and Monitoring with Splunk
Reactive to Proactive: Intelligent Troubleshooting and Monitoring with SplunkReactive to Proactive: Intelligent Troubleshooting and Monitoring with Splunk
Reactive to Proactive: Intelligent Troubleshooting and Monitoring with SplunkSplunk
 
Rage WITH the machine, not against it: Machine learning for Event Management
Rage WITH the machine, not against it: Machine learning for Event ManagementRage WITH the machine, not against it: Machine learning for Event Management
Rage WITH the machine, not against it: Machine learning for Event ManagementSplunk
 

En vedette (7)

How security analytics helps UCAS protect 700,000 student applications
How security analytics helps UCAS protect 700,000 student applicationsHow security analytics helps UCAS protect 700,000 student applications
How security analytics helps UCAS protect 700,000 student applications
 
The Power of SPL
The Power of SPLThe Power of SPL
The Power of SPL
 
Splunk Discovery Indianapolis - October 10, 2017
Splunk Discovery Indianapolis - October 10, 2017Splunk Discovery Indianapolis - October 10, 2017
Splunk Discovery Indianapolis - October 10, 2017
 
Machine Learning für Event Management
Machine Learning für Event ManagementMachine Learning für Event Management
Machine Learning für Event Management
 
Splunk Partner+ Program - Partner Marketing e-Learning - France August 2017
Splunk Partner+ Program - Partner Marketing e-Learning - France August 2017Splunk Partner+ Program - Partner Marketing e-Learning - France August 2017
Splunk Partner+ Program - Partner Marketing e-Learning - France August 2017
 
Reactive to Proactive: Intelligent Troubleshooting and Monitoring with Splunk
Reactive to Proactive: Intelligent Troubleshooting and Monitoring with SplunkReactive to Proactive: Intelligent Troubleshooting and Monitoring with Splunk
Reactive to Proactive: Intelligent Troubleshooting and Monitoring with Splunk
 
Rage WITH the machine, not against it: Machine learning for Event Management
Rage WITH the machine, not against it: Machine learning for Event ManagementRage WITH the machine, not against it: Machine learning for Event Management
Rage WITH the machine, not against it: Machine learning for Event Management
 

Similaire à Assises 2017 - Caisse des Depots

FIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 JanuaryFIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 JanuarySplunk
 
From Idea to the Cloud, a JHipster Story
From Idea to the Cloud, a JHipster StoryFrom Idea to the Cloud, a JHipster Story
From Idea to the Cloud, a JHipster StorySteve Houël
 
SplunkLive! Paris 2016 - Customer Presentation - Natixis
SplunkLive! Paris 2016 - Customer Presentation - NatixisSplunkLive! Paris 2016 - Customer Presentation - Natixis
SplunkLive! Paris 2016 - Customer Presentation - NatixisSplunk
 
Cisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco Canada
 
Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo
 
Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Nuvollo
 
Gab17 lyon-rex build dev ops sur une infra iaas-paas multisite-by-matthieupetite
Gab17 lyon-rex build dev ops sur une infra iaas-paas multisite-by-matthieupetiteGab17 lyon-rex build dev ops sur une infra iaas-paas multisite-by-matthieupetite
Gab17 lyon-rex build dev ops sur une infra iaas-paas multisite-by-matthieupetiteAZUG FR
 
20171122 01 - REX : Intégration et déploiement continu chez Engie
20171122 01 - REX : Intégration et déploiement continu chez Engie20171122 01 - REX : Intégration et déploiement continu chez Engie
20171122 01 - REX : Intégration et déploiement continu chez EngieLeClubQualiteLogicielle
 
MonitorPack Architecture supervision
MonitorPack Architecture supervisionMonitorPack Architecture supervision
MonitorPack Architecture supervisionMonitorPack
 
Garder les technologies à la fine pointe: Un facteur de changement
Garder les technologies à la fine pointe: Un facteur de changementGarder les technologies à la fine pointe: Un facteur de changement
Garder les technologies à la fine pointe: Un facteur de changementCisco Canada
 
#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devopsEmmanuel Roldan
 
Disponibilité de votre infrastructure IT
Disponibilité de votre infrastructure ITDisponibilité de votre infrastructure IT
Disponibilité de votre infrastructure ITMonitor Pack
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!OCTO Technology
 
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...matteo mazzeri
 
Vers des applications modernes : retour d'expérience
Vers des applications modernes : retour d'expérienceVers des applications modernes : retour d'expérience
Vers des applications modernes : retour d'expérienceMicrosoft
 
Computerland c cloud-2013oct17
Computerland c cloud-2013oct17Computerland c cloud-2013oct17
Computerland c cloud-2013oct17Patricia NENZI
 
Computerland c cloud-2013oct17
Computerland c cloud-2013oct17Computerland c cloud-2013oct17
Computerland c cloud-2013oct17Patricia NENZI
 

Similaire à Assises 2017 - Caisse des Depots (20)

FIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 JanuaryFIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 January
 
From Idea to the Cloud, a JHipster Story
From Idea to the Cloud, a JHipster StoryFrom Idea to the Cloud, a JHipster Story
From Idea to the Cloud, a JHipster Story
 
SplunkLive! Paris 2016 - Customer Presentation - Natixis
SplunkLive! Paris 2016 - Customer Presentation - NatixisSplunkLive! Paris 2016 - Customer Presentation - Natixis
SplunkLive! Paris 2016 - Customer Presentation - Natixis
 
Cisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devopsCisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devops
 
Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)Nuvollo and La passerelle-I.D.E (french)
Nuvollo and La passerelle-I.D.E (french)
 
Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)Meeting Nuvollo - La passerelle-I.D.E (french)
Meeting Nuvollo - La passerelle-I.D.E (french)
 
Gab17 lyon-rex build dev ops sur une infra iaas-paas multisite-by-matthieupetite
Gab17 lyon-rex build dev ops sur une infra iaas-paas multisite-by-matthieupetiteGab17 lyon-rex build dev ops sur une infra iaas-paas multisite-by-matthieupetite
Gab17 lyon-rex build dev ops sur une infra iaas-paas multisite-by-matthieupetite
 
20171122 01 - REX : Intégration et déploiement continu chez Engie
20171122 01 - REX : Intégration et déploiement continu chez Engie20171122 01 - REX : Intégration et déploiement continu chez Engie
20171122 01 - REX : Intégration et déploiement continu chez Engie
 
MonitorPack Architecture supervision
MonitorPack Architecture supervisionMonitorPack Architecture supervision
MonitorPack Architecture supervision
 
Garder les technologies à la fine pointe: Un facteur de changement
Garder les technologies à la fine pointe: Un facteur de changementGarder les technologies à la fine pointe: Un facteur de changement
Garder les technologies à la fine pointe: Un facteur de changement
 
Webinar v2
Webinar v2Webinar v2
Webinar v2
 
#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops#1 cloud-infra-talk- l ops-du-devops
#1 cloud-infra-talk- l ops-du-devops
 
Disponibilité de votre infrastructure IT
Disponibilité de votre infrastructure ITDisponibilité de votre infrastructure IT
Disponibilité de votre infrastructure IT
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
 
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
Joseph Glorieux & Mathieu Brun Maintenant que mon delivery pipeline est en pl...
 
Vers des applications modernes : retour d'expérience
Vers des applications modernes : retour d'expérienceVers des applications modernes : retour d'expérience
Vers des applications modernes : retour d'expérience
 
Computerland c cloud-2013oct17
Computerland c cloud-2013oct17Computerland c cloud-2013oct17
Computerland c cloud-2013oct17
 
Computerland c cloud-2013oct17
Computerland c cloud-2013oct17Computerland c cloud-2013oct17
Computerland c cloud-2013oct17
 

Plus de Splunk

.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routineSplunk
 
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTVSplunk
 
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica).conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica)Splunk
 
.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank InternationalSplunk
 
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett .conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett Splunk
 
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär).conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)Splunk
 
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu....conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...Splunk
 
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever....conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...Splunk
 
.conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex).conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex)Splunk
 
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)Splunk
 
Splunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk
 
Splunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk
 
Splunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk
 
Data foundations building success, at city scale – Imperial College London
 Data foundations building success, at city scale – Imperial College London Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College LondonSplunk
 
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk
 
SOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSplunk
 
.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session.conf Go 2022 - Observability Session
.conf Go 2022 - Observability SessionSplunk
 
.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - KeynoteSplunk
 
.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform SessionSplunk
 
.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security SessionSplunk
 

Plus de Splunk (20)

.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine
 
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
 
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica).conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
 
.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International
 
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett .conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
 
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär).conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
 
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu....conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
 
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever....conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
 
.conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex).conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex)
 
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
 
Splunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11y
 
Splunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go Köln
 
Splunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go Köln
 
Data foundations building success, at city scale – Imperial College London
 Data foundations building success, at city scale – Imperial College London Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College London
 
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
 
SOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security Webinar
 
.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session
 
.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote
 
.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session
 
.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session
 

Assises 2017 - Caisse des Depots

  • 1. © 2017 SPLUNK INC.© 2017 SPLUNK INC. De la mise en place d’une posture de sécurité à une approche « Data As A Service » Christophe CAVROT Responsable Sécurité Globale / Informatique CDC Responsable Pilotage intégré de la sécurité SI / DSI
  • 2. © 2017 SPLUNK INC. Sommaire ▶ Introduction à Splunk ▶ Présentation de la Caisse des Dépots ▶ Elaboration d’un projet de SOC/CERT ▶ Bilan du premier cycle ▶ Approche « data as a service »
  • 3. © 2017 SPLUNK INC. Introduction à Splunk
  • 4. © 2017 SPLUNK INC. Company overview 2 800 employees, 35 in France Largest license: 2+ PetaB/day Annual Revenue: $950 M
  • 5. © 2017 SPLUNK INC. Spelunking: to explore underground caves Splunking: to explore machine data Splunk
  • 6. © 2017 SPLUNK INC. Splunk turns machine data into answers Network Applications
  • 7. © 2017 SPLUNK INC. Splunk replaces and does much more than a SIEM From SIEM to security intelligence Small Data. Big Data. Huge Data. SECURITY & COMPLIANCE REPORTING REAL-TIME MONITORING OF KNOWN THREATS MONITORING OF UNKNOWN THREATS INCIDENT INVESTIGATIO NS & FORENSICS FRAUD DETECTION INSIDER THREAT
  • 8. © 2017 SPLUNK INC. Splunk Empowered Ecosystem Splunk Premium Solutions Mainframe Data Relational Databases MobileForwarders Syslog/ TCP IoT Devices Network Wire Data Hadoop Platform for turning machine data into answers The Splunk Portfolio
  • 9. © 2017 SPLUNK INC. Caisse des Dépôts
  • 10. © 2017 SPLUNK INC. La Caisse des Dépôts • Groupe public au service de l’intérêt général et du développement économique du pays • Missions d’intérêt général en appui des politiques publiques • Investisseur de long terme et contribution au développement des entreprises ▶ GESTIONNAIRE de l’épargne réglementée des Français ▶ BANQUIER du service public de la Justice et de la Sécurité Sociale ▶ MANDATAIRE de 48 régimes de retraite et de solidarité publics et semi-publics ▶ PRETEUR sur fonds d’épargne ▶ INVESTISSEUR dans les projets de territoires, au service de l’économie à un horizon de long terme
  • 11. © 2017 SPLUNK INC. Informatique CDC • Acteur de confiance, filiale du groupe Caisse des dépôts et Maître d’œuvre de référence de la Caisse des Dépôts et de l’INPI • Certification ISO 9001 sur l’ensemble de son périmètre STATUT Groupement d’Intérêt Economique (GIE), créé en 1959 et détenu majoritairement par la Caisse des Dépôts et l’INPI. MISSIONS EXPERTISES Conception, réalisation, exploitation du patrimoine informatique de ses membres. Informatique CDC est un opérateur global de services informatiques et de confiance numérique.
  • 12. © 2017 SPLUNK INC. Elaboration du projet de SOC
  • 13. © 2017 SPLUNK INC. • Objectif : Doter l’équipe en charge de la surveillance d’un dispositif de corrélation • Missions : § Veille sur les vulnérabilités des produits utilisés § Analyse des alertes de sécurité § Gestion des outils • Choix en 2013: § Solution capable d’intégrer des logs antérieurs § Ergonomie/flexibilité d’utilisation § Intégration à l’architecture interne § Extension possible de la solution à des besoins métier • Mise en production de la plateforme début 2014 Genèse du projet
  • 14. © 2017 SPLUNK INC. Architecture cible Search Heads Production Sécurité Forwarders Cluster Master Deployer / License Monitoring Console Deployment Server Zone Sécurité Zone postes de travail Indexers site1 site2 Cloud Threat intel
  • 15. © 2017 SPLUNK INC. Fin 2014 2015- 2017 2014 Décision de partir en 2014 sur une architecture virtuelle Ajout de scénarios métier (logs applicatifs) Ajout de la totalité des équipements d’infrastructure Mise en place de scénarios spécifiques par famille de technologie Collecte des postes de travail Windows 10 & 7 Nouveaux scénarios métier sur les projets majeurs Historique technique et fonctionnel Création rapide de scénarios sécurité et infrastructure Ajout de forwarder sur tous les serveurs Windows / Linux / Aix Ajout de deux nouveaux Indexers et augmentation du stockage Utilisation de la volumétrie totale de la licence
  • 16. © 2017 SPLUNK INC. Bilan du premier cycle
  • 17. © 2017 SPLUNK INC. • Sources intégrées : 25 000 • Agents Splunk déployés : + 2 500 • Volumétrie collectée : + 600 Go/jour • Scénarios (sécurité & métier) : 260 • Types de logs collectés : § Equipements de sécurité (firewall, WAF, IDS, proxy,...) § Serveurs d’hébergements § Logs systèmes § Logs d’applications internes • Utilisateurs de la solution : § Equipe sécurité § Equipes systèmes et applicatives Quelques chiffres 1 Incident de sécurité / jour 4 Evénements de sécurité / jour 150 Alertes de sécurité / jour 1 300 000 000 logs / jour
  • 18. © 2017 SPLUNK INC. Quelques exemples de rapports / alertes
  • 19. © 2017 SPLUNK INC. • Les points forts : § Communauté active § Plusieurs domaines d’utilisation § Collecte et analyse de tout type de données § Flexibilité pour organiser les données § Puissant pour rechercher dans les logs Points marquants • Les points d’attention : § Les alertes en temps réel § Dimensionnement de l’architecture § Coût aux Go indexés / jour § Formation nécessaire pour une utilisation optimale § Personnalisation nécessaire
  • 20. © 2017 SPLUNK INC. Approche “Data as a service”
  • 21. © 2017 SPLUNK INC. MEMES DONNEESAux Posent différentes Différentes PERSONNES QUESTIONS Sécurité Production Métier
  • 22. © 2017 SPLUNK INC. • Première plateforme Big Data (en volume de données et cas d’usage) § Solutions ELK et Hadoop également utilisées • Ouverture de la plateforme aux équipes de production § Objectif : casser les silos technologiques § Communication ciblées pour les équipes techniques organisées avec Splunk (Splunk4Rookies) § Former les équipes techniques à être autonomes Evolution vers une plateforme « data as a service »
  • 23. © 2017 SPLUNK INC. • Proposer plus de scénarios métier • Offrir un service d’accès aux données pour les MOA et métiers • Mise en place d’un centre d’expertise capable d’offrir un service aux métiers • Stratégie gagnant/gagnant pour les équipes: § Centralisation et accessibilité de toutes les données § Facilite le monitoring et le troubleshooting § Gain en terme d’infrastructure et stockage Les avantages d’une plateforme « data as a service »
  • 24. © 2017 SPLUNK INC. 1. Collecte de données hétérogènes 2. Ouverture de la plateforme à de très nombreuses équipes 3. Réponse par des scénarios aux besoins et risques métier Conclusion
  • 25. © 2017 SPLUNK INC. Questions ?
  • 26. © 2017 SPLUNK INC.© 2017 SPLUNK INC. Merci