Le document présente l'utilisation de Splunk comme un outil de corrélation d'événements de sécurité pour le groupe Caisse des Dépôts, face à l'augmentation des attaques informatiques. Il souligne l'importance de collecter et analyser les données de façon centralisée pour détecter les comportements à risque tout en anticipant les menaces. Enfin, il évoque les évolutions possibles de l'utilisation de Splunk vers l'intelligence d'affaires et l'apprentissage automatique.

1. Copyright © 2014 Splunk Inc.
Splunk comme corrélateur
d’évènements sécurité

2. 2
Thomas Le Gallais
Responsable SOC
Informatique CDC,
Groupe Caisse des Dépôts

3. 3
A propos d’Informatique CDC
L’action d’Informatique CDC s’inscrit dans le prolongement des
missions de Tiers de confiance de la Caisse des Dépôts.
GIE – Groupement d’Intérêt Economique – créé en 1959

4. 4
Qui suis-je ?
Thomas Le Gallais, responsable du centre opérationnel de
sécurité (SOC) d’Informatique CDC
Premier projet de corrélation d’évènements sécurité en 2004

5. 5
Notre problématique sécurité
Les attaques sont de plus en plus
nombreuses et sophistiquées
– Forte volumétrie de données générées par un
S.I. avec du bruit dans les logs
Les risques globaux sont bien visibles pour
une cellule sécurité…
– … beaucoup moins pour les métiers
Besoin d’un outil
– Pour détecter les comportements à risque
et les attaques
– Rendre compte de l'efficacité et des limites de
nos dispositifs de sécurité

6. 6
Collecter Analyser Comprendre Représenter Anticiper
Données  information à valeur ajoutée
Surveillance pré-Splunk
– Vision unitaire des données sans vision consolidée par périmètre
– Scripts pour la collecte et le tri des évènements  pas industriel, pas
auditable, pas adapté à notre organisation, difficile à maintenir
Besoin d’un framework pour collecter, centraliser, corréler les
journaux d’évènements

7. 7
Gestion du
cluster
ESX #1 ESX #2
Gestion des
forwarders
Indexeur
Search head
Sources de log
Architecture
Analystes sécurité
Heavy
Forwarder
syslog collecte
Splunk
Stockage

8. 8
ShellShock

9. 9
Rapport Antivirus

10. 10
Surveillance Applicative
Risque
couvert
# Use cases
Usurpation
d’identité
①
Plus de x identifiants utilisés à partir d'une seule
adresse IP sur y minutes
②
Plus de x adresses IP accédant à un même compte
sur y jours glissants
③
Plus de x demandes de réinitialisation de mot de
passe pour un compte donné sur y jours glissants
Application
robert.duvall IP 204.107.141.25
al.pacino
james.caan
diane.keaton
IP 204.107.141.36
IP 204.107.141.47

11. 11
Evolutions
> Nouvelles données, nouveaux tableaux de bord et use cases
> Pour la sécurité informatique :
> Intégration de davantage de sources de données externes (threat
intelligence) / internes (référentiels)
> Baselining et analyse prédictive
> Pour la lutte contre la fraude :
> Couverture de nouveaux besoins métier
> Ateliers en commun pour apporter davantage de valeur ajoutée
> Et après demain ? Business Intelligence ? Machine Learning ?
Capacity planning 2.0 ?

12. 12
Retour sur la solution pour de la sécurité
Expertise humaine à sécuriser pour
exploiter pleinement l’outil dans la durée
La pleine utilisation de l’interface est à
réserver aux experts dans un premier
temps
– Commencer par un export « données
brutes » ou PDF
Une architecture technique virtualisée
est plus difficile à optimiser pour la plate-
forme qu’un ensemble de serveurs
physiques

13. 13
Splunk est…
Un outil extrêmement flexible, véritable
couteau suisse de la donnée

14. Merci