Projets

Comment l'Urssaf a renforcé son SOC

Keran Campeon, responsable du SOC de l’Urssaf, lors des Assises de la sécurité 2025, le 9 octobre : avant l‘installation du SIEM, « il nous manquait une vision à un seul œil ».

Après avoir fait appel à un prestataire pour protéger des services très exposés, l'Urssaf a déployé sa propre console SIEM et réintégré ce service. Le SOC interne supervise désormais l'intégralité du SI de l'organisme.

PublicitéLa DSI de la Caisse nationale de l'Urssaf regroupe quelque 1300 personnes, qui gère plus de 800 applicatifs métiers et 250 projets actifs. Dépendant d'une direction adjointe au DSI chargée de l'architecture, de l'infrastructure et de la sécurité, la cyber regroupe quelque 80 personnes (prestataires inclus), pour prendre en charge l'ensemble de ce périmètre. Dont une surveillance des opérations, via un SOC désormais réinternalisé, comme l'a raconté Keran Campeon, responsable, depuis 2021, de cette entité employant aujourd'hui 17 personnes, lors des Assises de la sécurité 2025 (Monaco, du 8 au 10 octobre).

Si l'Urssaf a d'abord avancé seul dans la gestion de ses opérations de sécurité - via des tableaux de bord et de premières solutions d'alertes à partir de 2017, puis via une expérimentation d'un MDR (Managed Detection and Response) arrêtée au bout d'un an -, l'organisme public prend un premier virage aux débuts des années 2020 avec le déploiement d'un SOC externalisé pour faire face aux tentatives de fraudes ciblant quelques services Internet très exposés. En urgence, une surveillance 24/7 de deux applications clefs est mise en place et l'Urssaf passe également un contrat avec un prestataire pour mettre sur pied une force d'intervention rapide, vouée à apporter un renfort en urgence aux équipes internes en cas d'incident majeur. Une « forme d'assurance », comme le dit Keran Campeon. Une assurance que l'organisme n'a jamais eue à activer jusqu'à présent.

Le choix des standards

En parallèle, les équipes internes démarrent une veille sur les solutions de SIEM pour le reste du SI. Car Keran Campeon reste persuadé que la multiplication des consoles handicape les capacités de réaction aux incidents des équipes de sécurité opérationnelle. « Il nous manquait une vision à un seul oeil » dit-il. Pour passer aux travaux pratiques, l'Urssaf lance un prototype impliquant trois éditeurs, qui verra la solution française Sekoia.io s'imposer. « Si celle-ci offrait d'emblée de bonnes capacités de détection, c'est avant tout le niveau des échanges avec l'éditeur qui nous convaincu », indique le responsable du SOC. Ainsi, dès le PoC, des évolutions souhaitées par l'Urssaf intègrent la roadmap de l'éditeur. Celui-ci présente aussi l'avantage de s'appuyer sur des standards, comme le format de règles de détection Sigma, qui limitent l'adhérence à la plateforme. « Il existe de nombreuses règles prêtes à l'emploi sur Internet, qu'on peut modifier ou dont on peut s'inspirer », souligne aussi le responsable du SOC. Sans oublier le fait que Sekoia propose une offre en SaaS, qui décharge les équipes de l'Urssaf de la maintenance de l'infrastructure du SIEM proprement dite.

En décembre 2022, une expérimentation à grande échelle, sur la production et couvrant des applications Legacy en production ainsi que 10 000 postes de travail, est lancée. « Nous définissons alors des cibles à intégrer dans la solution pour atteindre cet objectif de couverture : les contrôleurs de domaine, l'antivirus, l'EDR, les proxy de navigation, la messagerie, l'environnement Office 365... Toutes ces briques sur lesquelles nous n'avions pas de vision unifiée », souligne le responsable du SOC. L'Urssaf constate alors la rapidité d'intégration du SIEM avec ses autres outils via les connecteurs fournis par Sekoia ou via des règles d'extraction de données, développées à façon. Un choix du best-of-breed que revendique Keran Campeon : « c'est important de disposer d'une plateforme agnostique des autres éditeurs, pour ne pas dépendre d'un unique fournisseur. »

PublicitéIntégration des données de navigation des usagers

En décembre 2023, l'ensemble du périmètre utilisateurs est couvert (soit 30 000 actifs). Puis, la solution s'étend à d'autres services exposés sur Internet, y compris leurs socles techniques. La question de la réinternalisation de la surveillance des deux applications monitorées en 24/7 arrive naturellement sur la table. « On estime alors le besoin à 2 ETP supplémentaires », précise Keran Campeon, qui sait qu'il peut aussi miser sur un mécanisme d'envoi de SMS proposé par une procédure Sekoia pour déclencher les astreintes sur les alertes majeures. En septembre 2024, l'Urssaf valide cette réinternalisation qui prend effet deux mois plus tard. En avril dernier, le service de surveillance hybride est officiellement arrêté et le SIEM intègre dès l'été les données de navigation des usagers des services de l'organisme public.

Désormais, l'équipe de sécurité opérationnelle travaille à la modernisation de ses pratiques, « pour atteindre un niveau d'analyste augmenté », s'amuse Keran Campeon. La solution propose déjà notamment des rapprochements avec des alertes précédentes et des éléments de contexte, via l'intelligence sur la menace intégrée. « Nous y ajoutons une première analyse des événements via un LLM afin d'obtenir un récapitulatif rapide, précise Keran Campeon. Ce qui s'avère particulièrement utile pour l'analyse des commandes système par exemple. » Selon le responsable du SOC, ces mécanismes ont, par exemple, permis d'isoler très rapidement un poste infecté par un infostealer. L'Urssaf s'intéresse aussi au LLM proposé directement par Sekoia dans sa gestion des dossiers (case management). « Nous espérons basculer notre case management sur Sekoia à la fin de l'année ou mi-2026, pour éviter la synchronisation entre ce dernier et notre outil actuel », précise le responsable du SOC. Même si ce dernier attend encore de l'éditeur l'intégration de champs personnalisables pour le requêtage du case management, afin de produire les indicateurs attendus par sa hiérarchi