Retour d’expérience sur la mise en place de la solution IBM QRadar Security Intelligence Platform

2. Cloud builder Cloud service provider
Intitulé de la réunion - Date
Nom du projet
Cloud builder Cloud service provider
Serge Richard – CISSP® – serge.richard@groupe-ocealis.com
Architecte Solution Sécurité – Responsable de l’offre IBM Sécurité
La sécurité au service de l’innovation
Retour d’expérience sur la mise en place de la solution
IBM QRadar Security Intelligence Platform

3. Inauguration du Datacenter
de production et lancement de
l’offre iCod®
« infrastructure Cheops on demand »
2009
2007
Introduction en bourse
sur le marché d’Euronext Paris
2013
Intégration de
Groupe OCEALIS
>> 70 collaborateurs
>> Fondée en 2003
aujourd’hui
400 collaborateurs
12 agences
75 M€ de CA
1998Création de la société
en France par CHEOPS TECHNOLOGY Belgique
+ 3 cadres HP France
Qui sommes nous ?

4. Division
Infrastructure
Division
Infogérance
& Cloud
Division
Modernisation
Technologique
Division Réseau,
Sécurité &
Communication
Unifiée

5. Services
Organisation /
Sponsor
Responsabilités et objectifs de sécurité
Software as a
Service (SaaS)
CxOs (CIO, CMO,
CHRO, ...)
 Visibilité sur l’utilisation des services SaaS et une gestion des risques
 Gouvernance des accès utilisateurs et fédération des identités
Platform as a
Service (PaaS)
Equipes Application,
équipes métier
 Permettre aux développeurs de créer des applications sécurisées pour le
Cloud, avec une expérience utilisateur améliorée
 Visibilité et protection contre les fraudes et les menaces applicatives
Infrastructure as
a Service (IaaS)
CIO, Equipes IT
 Protéger l'infrastructure cloud pour déployer en toute sécurité les processus
métier et atteindre les objectifs de conformité
 Avoir une visibilité sur le déploiement des infrastructures de Cloud hybride
et gérer leurs utilisations
Les exigences de sécurité sont inhérentes à la fonction lors
de l’adoption du Cloud

6.  Méthodes d'attaque de plus en
plus sophistiquées
 Disparition des périmètres
 Augmentation des failles de
sécurité
 Des équipes sécurité à la peine
 Trop de données à gérer avec
peu de personnel et des
connaissances limitées sur les
nouvelles menaces
Spear Phishing
Persistence
Backdoors
Designer Malware
 Constante évolution des
infrastructures
 Trop de produits provenant de
plusieurs fournisseurs, donc
coûteux à configurer et à gérer
 Des outils inadaptés et
inefficaces
Evolution des menaces Complexité des outils Réactivité
Cheops Technology : Gérer la complexité des menaces

7. L’augmentation et la diversité des attaques devient une problématique pour les RSSI
Identifier les attaques Consolider les
données de sécurité
Mieux appréhender les
risques métiersGérer la conformité
Détecter les fraudes
internes
« La problématique n’est pas de savoir si nous allons être
attaqués, mais quand nous allons être attaqués »
Cheops Technology : Etre proactif sur les menaces

8. Réglementations & exigences inhérentes à
Cheops Technology
Juin 2013: Charte de sécurité. Audit de configuration.
Octobre 2012: HDS, Agrément d’Hébergeur de Données de Santé. Besoin
de traçabilité des accès sur le SI des clients Santé
Mars 2012: PSSI, Politique de Sécurité des Systèmes d’Information. Besoin
en reporting.
2014: Certification ISO27001. Gestion et analyse des incidents de sécurité.
Cheops Technology : Gérer notre cadre réglementaire

9. 3 Demande des instances réglementaires: ASIP, CNIL, ISO27001
2
Demande de la Direction: Besoin d’auditer l’activité et d’avoir une analyse
global des incidents de sécurité
1
Demande de la Production: Besoin d’une vue transverse du SI afin de
gagner en proactivité car les architectures sont plus complexes
4 Demande des Clients: Appel d’offre, audit, COPIL, ….
5 Complexité des attaques: Un SIEM n’est pas la solution ultime mais il
permet de gagner du temps sur la détection par la corrélation des
évènements.
Cheops Technology : Pourquoi une solution SIEM

10. Définition du
périmètre
Choix des
Solutions
Mesures
techniques
Aval de la
Direction
Résultats
Conclusion
Analyse
financière
Cheops Technology : Du Proof of Concept jusqu’à la prise
de décision

11. Eléments à prendre en compte
 La volumétrie
 Le temps d’analyse
 L’expertise
 Méthodologie

12. Réponses à nos besoins
Détection des menaces
Avoir des informations les plus complètes de votre SI. Comprendre ce qui se
passe sur le réseau
Consolider les silos de données
Collecter, mettre en corrélation créer des rapports sur ​​les données dans
une solution intégrée et en adéquation avec le besoin des équipes
Détection des anomalies
Supervision de l’activité des utilisateurs
Mieux prédire les risques
Cycle de vie complet de la conformité et la gestion des risques pour les
infrastructures de réseau et de sécurité
Gérer les besoins de réglementation
Collecte automatique des données
Audits de configuration

13. La solution retenue
AUTOMATISATION
INTEGRATION
IBM QRadar
Security Intelligence
Platform
Corrélation, analyse et réduction des données
Pilotage simplifiée de la sécurité
Une architecture unifiée et une seule console
INTELLIGENCE

14. Intelligence : détections des signaux faibles
Précision inégalée : ratio de réduction moyen de 120000 alertes en 1 incidents

15. Intégration : Une architecture unifiée au travers d’une
seule console
Log
Management
NextGen
SIEM
Activity
Monitoring
Risk
Management
Vulnerability
Management
Network
Forensics

16. Automatisation : Simplicité de pilotage de la sécurité
Découverte
automatique des
actifs du réseau
Analyse proactive des
vulnérabilités, contrôle des
configurations et des
politiques de sécurité
Déploiement
simplifié
Configuration automatique
des sources de données
journaux et flux ainsi que
des actifs réseau
Mise à jour
automatique
Etre informé des
dernières vulnérabilités
et menaces
Règles et
rapports inclus
Réduire les efforts
d’investigation ainsi
que de mise en
conformité

17. Botnet ou IP frauduleuse détectée ?
IRC sur le port 80 ?
Communication botnet irréfutable. La couche 7 contient les
détails qui sont nécessaires à l’établissement du dossier
d’incident. L’analyse de la couche applicative du flux
permet de détecter des menaces que d’autres solutions ne
voient pas.
Identifier les
attaques

18. Consolider les
données de sécurité
Analyse simultanée des
événements et des flux.
QRadar permet cette
finesse.
Réduction du volume
d’information d’un SI a un
niveau acceptable
Corrélation avancée entre les
différentes provenances
Sources de données
hétérogènes
Corrélation
intelligente
Précision inégalée : ratio de réduction
moyen de 120000 alertes en 1 incident

19. Gérer la conformité
Trafic non chiffré détecté par le SIEM. Détection d’un texte en claire, ce qui est hors
de la recommandation du chapitre 4 de la norme PCI. Privilégier un SIEM
permettant l’analyse simplifier des conformités et supportant nativement des
principales normes, dans les tableaux de bords, dans les recherches ainsi que dans
les rapports
Risque sur la
conformité PCI ?
Détection en temps
réel d’une possible
violation

20. Détecter les fraudes
internes
Qui?
Utilisateur interne
Perte de données
potentielle
Qui? Quoi? Ou?
Quoi?
Données Oracles
Ou?
Gmail
Détection des menaces y compris dans un périmètre post-attaque avec une
détection de l’anomalie utilisateur et du comportement applicatif

21. Mieux appréhender
les risques métiers
Qu’est ce qui est affecté?
Comment les prioriser ?
Quel détail?
Détails des vulnérabilités
classifiées par score
Remédiation à appliquer
Prédiction des risques en adéquation avec le métier.
Détection des risques potentiels ou des écarts de conformité
Constitution d’une base d’actifs basée
sur les vulnérabilités observées

22. Log Ignorance
Pas de traitement
Log Collection
Collection et stockage
uniquement
Log Investigation
Collection et traitement en
cas d’incident
Log Reporting
Collection et analyse sur
rapport mensuel
Log Analyse
Collection et analyse
journaliére
Log Surveillance
Informations de sécurité
surveillées en temps réel
Ocealis Sécurité: Pour vous aider à démarrer

23. Ocealis Sécurité: Pour vous aider à avancer

24. 24
Security-as-a-Service (SaaS)
Sécurité Intelligente ● Individus ● Données ● Applications ● Infrastructure
Gestion hors/sur site
des journaux de
sécurité
Prise en charge du cycle de vie des jetons
pour des services d’authentification forte
Prise en charge des
vulnérabilités des
composants des
applications web
Prise en charge de la flotte des
terminaux mobiles de
l’entreprise
Prise en charge des
vulnérabilités des composants
de l’infrastructure
Gestion hors/sur site des
événements de sécurité
Gestion des
journaux de
sécurité
Gestion des
environnements
terminaux mobiles
Scan de
Vulnérabilité
Applicatif
Gestion des
événements
de sécurité
Gestion de jeton
d’authentification
Scan de
Vulnérabilité
Infrastructure
Ocealis Sécurité: Pour vous aider à sécuriser