Le document décrit l'évolution de la sécurité des données via l'utilisation de la plateforme Splunk par la Caisse des Dépôts, incluant la mise en place d'un système de corrélation des données et d'une approche 'data as a service'. Au cours de la période 2014-2017, cette initiative a permis d'intégrer une grande quantité de logs et de renforcer la surveillance et le monitoring en temps réel des systèmes. Enfin, le projet vise à améliorer l'accès aux données tout en répondant aux besoins métiers divers grâce à la centralisation et l'accessibilité des informations.

1. © 2017 SPLUNK INC.© 2017 SPLUNK INC.
De la mise en place d’une posture de
sécurité à une approche « Data As A
Service »
Christophe CAVROT
Responsable Sécurité Globale / Informatique CDC
Responsable Pilotage intégré de la sécurité SI / DSI

2. © 2017 SPLUNK INC.
Sommaire
▶ Introduction à Splunk
▶ Présentation de la Caisse des Dépots
▶ Elaboration d’un projet de SOC/CERT
▶ Bilan du premier cycle
▶ Approche « data as a service »

3. © 2017 SPLUNK INC.
Introduction à Splunk

4. © 2017 SPLUNK INC.
Company overview
2 800
employees,
35 in France
Largest
license:
2+ PetaB/day
Annual
Revenue:
$950 M

5. © 2017 SPLUNK INC.
Spelunking:
to explore
underground caves
Splunking:
to explore machine data
Splunk

6. © 2017 SPLUNK INC.
Splunk turns machine data into answers
Network
Applications

7. © 2017 SPLUNK INC.
Splunk replaces and does much more than a SIEM
From SIEM to security intelligence
Small Data. Big Data. Huge Data.
SECURITY &
COMPLIANCE
REPORTING
REAL-TIME
MONITORING
OF KNOWN
THREATS
MONITORING
OF UNKNOWN
THREATS
INCIDENT
INVESTIGATIO
NS &
FORENSICS
FRAUD
DETECTION
INSIDER
THREAT

8. © 2017 SPLUNK INC.
Splunk
Empowered Ecosystem
Splunk
Premium Solutions
Mainframe
Data
Relational
Databases
MobileForwarders
Syslog/
TCP
IoT
Devices
Network
Wire Data
Hadoop
Platform for turning machine data into answers
The Splunk Portfolio

9. © 2017 SPLUNK INC.
Caisse des Dépôts

10. © 2017 SPLUNK INC.
La Caisse des Dépôts
• Groupe public au service de l’intérêt général et du développement économique du pays
• Missions d’intérêt général en appui des politiques publiques
• Investisseur de long terme et contribution au développement des entreprises
▶ GESTIONNAIRE de l’épargne réglementée des Français
▶ BANQUIER du service public de la Justice et de la Sécurité Sociale
▶ MANDATAIRE de 48 régimes de retraite et de solidarité publics et semi-publics
▶ PRETEUR sur fonds d’épargne
▶ INVESTISSEUR dans les projets de territoires, au service de l’économie à un horizon de long terme

11. © 2017 SPLUNK INC.
Informatique CDC
• Acteur de confiance, filiale du groupe Caisse des dépôts et Maître d’œuvre de
référence de la Caisse des Dépôts et de l’INPI
• Certification ISO 9001 sur l’ensemble de son périmètre
STATUT
Groupement d’Intérêt
Economique (GIE), créé en
1959 et détenu
majoritairement par la Caisse
des Dépôts et l’INPI.
MISSIONS EXPERTISES
Conception, réalisation,
exploitation du patrimoine
informatique de ses
membres.
Informatique CDC est un
opérateur global de services
informatiques et de
confiance numérique.

12. © 2017 SPLUNK INC.
Elaboration du projet
de SOC

13. © 2017 SPLUNK INC.
• Objectif : Doter l’équipe en charge de la surveillance d’un dispositif de corrélation
• Missions :
§ Veille sur les vulnérabilités des produits utilisés
§ Analyse des alertes de sécurité
§ Gestion des outils
• Choix en 2013:
§ Solution capable d’intégrer des logs antérieurs
§ Ergonomie/flexibilité d’utilisation
§ Intégration à l’architecture interne
§ Extension possible de la solution à des besoins métier
• Mise en production de la plateforme début 2014
Genèse du projet

14. © 2017 SPLUNK INC.
Architecture cible
Search Heads
Production Sécurité
Forwarders
Cluster Master
Deployer / License
Monitoring
Console
Deployment
Server
Zone
Sécurité
Zone postes de
travail
Indexers
site1 site2
Cloud
Threat intel

15. © 2017 SPLUNK INC.
Fin
2014
2015-
2017
2014
Décision de partir en 2014 sur une architecture virtuelle
Ajout de scénarios métier (logs applicatifs)
Ajout de la totalité des équipements d’infrastructure
Mise en place de scénarios spécifiques par famille de technologie
Collecte des postes de travail Windows 10 & 7
Nouveaux scénarios métier sur les projets majeurs
Historique technique et fonctionnel
Création rapide de scénarios sécurité et infrastructure
Ajout de forwarder sur tous les serveurs Windows / Linux / Aix
Ajout de deux nouveaux Indexers et augmentation du stockage
Utilisation de la volumétrie totale de la licence

16. © 2017 SPLUNK INC.
Bilan du premier
cycle

17. © 2017 SPLUNK INC.
• Sources intégrées : 25 000
• Agents Splunk déployés : + 2 500
• Volumétrie collectée : + 600 Go/jour
• Scénarios (sécurité & métier) : 260
• Types de logs collectés :
§ Equipements de sécurité (firewall, WAF, IDS, proxy,...)
§ Serveurs d’hébergements
§ Logs systèmes
§ Logs d’applications internes
• Utilisateurs de la solution :
§ Equipe sécurité
§ Equipes systèmes et applicatives
Quelques chiffres
1
Incident de
sécurité / jour
4
Evénements de
sécurité / jour
150
Alertes de sécurité / jour
1 300 000 000
logs / jour

18. © 2017 SPLUNK INC.
Quelques exemples de rapports / alertes

19. © 2017 SPLUNK INC.
• Les points forts :
§ Communauté active
§ Plusieurs domaines d’utilisation
§ Collecte et analyse de tout type de
données
§ Flexibilité pour organiser les données
§ Puissant pour rechercher dans les logs
Points marquants
• Les points d’attention :
§ Les alertes en temps réel
§ Dimensionnement de l’architecture
§ Coût aux Go indexés / jour
§ Formation nécessaire pour une
utilisation optimale
§ Personnalisation nécessaire

20. © 2017 SPLUNK INC.
Approche “Data as a
service”

21. © 2017 SPLUNK INC.
MEMES DONNEESAux
Posent différentes
Différentes PERSONNES
QUESTIONS
Sécurité Production Métier

22. © 2017 SPLUNK INC.
• Première plateforme Big Data (en volume de données et cas d’usage)
§ Solutions ELK et Hadoop également utilisées
• Ouverture de la plateforme aux équipes de production
§ Objectif : casser les silos technologiques
§ Communication ciblées pour les équipes techniques organisées avec Splunk
(Splunk4Rookies)
§ Former les équipes techniques à être autonomes
Evolution vers une plateforme « data as a service »

23. © 2017 SPLUNK INC.
• Proposer plus de scénarios métier
• Offrir un service d’accès aux données pour les MOA et métiers
• Mise en place d’un centre d’expertise capable d’offrir un service aux
métiers
• Stratégie gagnant/gagnant pour les équipes:
§ Centralisation et accessibilité de toutes les données
§ Facilite le monitoring et le troubleshooting
§ Gain en terme d’infrastructure et stockage
Les avantages d’une plateforme « data as a service »

24. © 2017 SPLUNK INC.
1. Collecte de données hétérogènes
2. Ouverture de la plateforme à de très
nombreuses équipes
3. Réponse par des scénarios aux besoins
et risques métier
Conclusion

25. © 2017 SPLUNK INC.
Questions ?

26. © 2017 SPLUNK INC.© 2017 SPLUNK INC.
Merci