Cloud builder Cloud service provider
Intitulé de la réunion - Date
Nom du projet Cloud builder Cloud service provider
Serge Richard – CISSP® – [email protected] Architecte Solution Sécurité – Responsable de l’offre IBM Sécurité
La sécurité au service de l’innovation Retour d’expérience sur la mise en place de la solution
IBM QRadar Security Intelligence Platform
Inauguration du Datacenter de production et lancement de l’offre iCod®
« infrastructure Cheops on demand »
2009
2007 Introduction en bourse sur le marché d’Euronext Paris
2013 Intégration de Groupe OCEALIS >> 70 collaborateurs >> Fondée en 2003
aujourd’hui
400 collaborateurs 12 agences 75 M€ de CA
1998 Création de la société en France par CHEOPS TECHNOLOGY Belgique + 3 cadres HP France
Qui sommes nous ?
Division Infrastructure
Division Infogérance
& Cloud
Division Modernisation Technologique
Division Réseau, Sécurité &
Communication Unifiée
Services Organisation /
Sponsor Responsabilités et objectifs de sécurité
Software as a
Service (SaaS)
CxOs (CIO, CMO,
CHRO, ...)
Visibilité sur l’utilisation des services SaaS et une gestion des risques
Gouvernance des accès utilisateurs et fédération des identités
Platform as a
Service (PaaS)
Equipes Application,
équipes métier
Permettre aux développeurs de créer des applications sécurisées pour le
Cloud, avec une expérience utilisateur améliorée
Visibilité et protection contre les fraudes et les menaces applicatives
Infrastructure as
a Service (IaaS) CIO, Equipes IT
Protéger l'infrastructure cloud pour déployer en toute sécurité les processus
métier et atteindre les objectifs de conformité
Avoir une visibilité sur le déploiement des infrastructures de Cloud hybride
et gérer leurs utilisations
Les exigences de sécurité sont inhérentes à la fonction lors de l’adoption du Cloud
Méthodes d'attaque de plus en plus sophistiquées
Disparition des périmètres
Augmentation des failles de sécurité
Des équipes sécurité à la peine
Trop de données à gérer avec peu de personnel et des connaissances limitées sur les nouvelles menaces
Spear Phishing
Persistence
Backdoors
Designer Malware
Constante évolution des infrastructures
Trop de produits provenant de plusieurs fournisseurs, donc coûteux à configurer et à gérer
Des outils inadaptés et inefficaces
Evolution des menaces Complexité des outils Réactivité
Cheops Technology : Gérer la complexité des menaces
L’augmentation et la diversité des attaques devient une problématique pour les RSSI
Identifier les attaques Consolider les données de sécurité
Mieux appréhender les risques métiers Gérer la conformité
Détecter les fraudes internes
« La problématique n’est pas de savoir si nous allons être attaqués, mais quand nous allons être attaqués »
Cheops Technology : Etre proactif sur les menaces
Réglementations & exigences inhérentes à Cheops Technology
Juin 2013: Charte de sécurité. Audit de configuration.
Octobre 2012: HDS, Agrément d’Hébergeur de Données de Santé. Besoin de traçabilité des accès sur le SI des clients Santé
Mars 2012: PSSI, Politique de Sécurité des Systèmes d’Information. Besoin en reporting.
2014: Certification ISO27001. Gestion et analyse des incidents de sécurité.
Cheops Technology : Gérer notre cadre réglementaire
3 Demande des instances réglementaires: ASIP, CNIL, ISO27001
2 Demande de la Direction: Besoin d’auditer l’activité et d’avoir une analyse global des incidents de sécurité
1 Demande de la Production: Besoin d’une vue transverse du SI afin de gagner en proactivité car les architectures sont plus complexes
4 Demande des Clients: Appel d’offre, audit, COPIL, ….
5 Complexité des attaques: Un SIEM n’est pas la solution ultime mais il permet de gagner du temps sur la détection par la corrélation des évènements.
Cheops Technology : Pourquoi une solution SIEM
Définition du périmètre
Choix des Solutions
Mesures techniques
Aval de la Direction
Résultats Conclusion
Analyse financière
Cheops Technology : Du Proof of Concept jusqu’à la prise de décision
Eléments à prendre en compte
La volumétrie Le temps d’analyse L’expertise Méthodologie
Réponses à nos besoins Détection des menaces
Avoir des informations les plus complètes de votre SI. Comprendre ce qui se passe sur le réseau
Consolider les silos de données
Collecter, mettre en corrélation créer des rapports sur les données dans une solution intégrée et en adéquation avec le besoin des équipes
Détection des anomalies
Supervision de l’activité des utilisateurs
Mieux prédire les risques
Cycle de vie complet de la conformité et la gestion des risques pour les infrastructures de réseau et de sécurité
Gérer les besoins de réglementation
Collecte automatique des données
Audits de configuration
La solution retenue
AUTOMATISATION
INTEGRATION
IBM QRadar
Security Intelligence
Platform
Corrélation, analyse et réduction des données
Pilotage simplifiée de la sécurité
Une architecture unifiée et une seule console
INTELLIGENCE
Intelligence : détections des signaux faibles
Précision inégalée : ratio de réduction moyen de 120000 alertes en 1 incidents
Intégration : Une architecture unifiée au travers d’une seule console
Log Management
NextGen SIEM
Activity Monitoring
Risk Management
Vulnerability Management
Network Forensics
Automatisation : Simplicité de pilotage de la sécurité
Découverte automatique des actifs du réseau
Analyse proactive des vulnérabilités, contrôle des
configurations et des politiques de sécurité
Déploiement simplifié
Configuration automatique des sources de données journaux et flux ainsi que
des actifs réseau
Mise à jour automatique
Etre informé des dernières vulnérabilités
et menaces
Règles et rapports inclus
Réduire les efforts d’investigation ainsi
que de mise en conformité
Botnet ou IP frauduleuse détectée ?
IRC sur le port 80 ?
Communication botnet irréfutable. La couche 7 contient les détails qui sont nécessaires à l’établissement du dossier d’incident. L’analyse de la couche applicative du flux permet de détecter des menaces que d’autres solutions ne voient pas.
Identifier les attaques
Consolider les données de sécurité
Analyse simultanée des événements et des flux. QRadar permet cette finesse.
Réduction du volume d’information d’un SI a un niveau acceptable
Corrélation avancée entre les différentes provenances
Sources de données hétérogènes
Corrélation intelligente
Précision inégalée : ratio de réduction moyen de 120000 alertes en 1 incident
Gérer la conformité
Trafic non chiffré détecté par le SIEM. Détection d’un texte en claire, ce qui est hors de la recommandation du chapitre 4 de la norme PCI. Privilégier un SIEM permettant l’analyse simplifier des conformités et supportant nativement des principales normes, dans les tableaux de bords, dans les recherches ainsi que dans les rapports
Risque sur la conformité PCI ?
Détection en temps réel d’une possible
violation
Détecter les fraudes internes
Qui?
Utilisateur interne
Perte de données potentielle
Qui? Quoi? Ou?
Quoi?
Données Oracles
Ou?
Gmail
Détection des menaces y compris dans un périmètre post-attaque avec une détection de l’anomalie utilisateur et du comportement applicatif
Mieux appréhender les risques métiers
Qu’est ce qui est affecté?
Comment les prioriser ?
Quel détail?
Détails des vulnérabilités classifiées par score
Remédiation à appliquer
Prédiction des risques en adéquation avec le métier. Détection des risques potentiels ou des écarts de conformité
Constitution d’une base d’actifs basée sur les vulnérabilités observées
Log Ignorance Pas de traitement
Log Collection Collection et stockage
uniquement
Log Investigation Collection et traitement en
cas d’incident
Log Reporting Collection et analyse sur
rapport mensuel
Log Analyse Collection et analyse
journaliére
Log Surveillance Informations de sécurité surveillées en temps réel
Ocealis Sécurité: Pour vous aider à démarrer
Ocealis Sécurité: Pour vous aider à avancer
24
Security-as-a-Service (SaaS)
Sécurité Intelligente ● Individus ● Données ● Applications ● Infrastructure
Gestion hors/sur site des journaux de
sécurité
Prise en charge du cycle de vie des jetons pour des services d’authentification forte
Prise en charge des vulnérabilités des composants des
applications web
Prise en charge de la flotte des terminaux mobiles de
l’entreprise
Prise en charge des vulnérabilités des composants
de l’infrastructure
Gestion hors/sur site des événements de sécurité
Gestion des
journaux de
sécurité
Gestion des
environnements
terminaux mobiles
Scan de
Vulnérabilité
Applicatif
Gestion des
événements
de sécurité
Gestion de jeton
d’authentification
Scan de
Vulnérabilité
Infrastructure
Ocealis Sécurité: Pour vous aider à sécuriser