Projets

Comment Systra garde sa cyber sous tension

---

Pour tester l'efficience de ses outils de sécurité et la réactivité de son SOC, Systra a mis en oeuvre une solution automatisant les tests d'intrusion. En sus de pentests plus classiques.

PublicitéUn complément aux défenses déjà en place. C'est la manière dont Systra envisage l'usage de Pentera, outil qui effectue des reconnaissances de la surface d'attaque, une analyse du trafic réseau et des tests d'intrusion basés sur les principaux ransomwares. La solution est déployée depuis 3 ans au sein du bureau d'études spécialiste du ferroviaire, à la suite d'un PoC qui avait montré son intérêt. « Nous nous sommes alors aperçus que notre EDR avait laissé passer un ransomware, souligne Jean-François Tesseraud, le RSSI de ce groupe de 11 000 personnes présent dans 85 pays, qui s'exprimait lors des Assises de la sécurité, à Monaco. La solution offre une couverture globale, même si elle présente aussi la limite de ne pas être basée sur l'humain. » Comprendre : elle restera toujours moins imaginative qu'une équipe de pentest. Systra conserve d'ailleurs une compétence en interne pour effectuer des tests de pénétration (cette même personne gérant également la solution Pentera).

« Pentera permet de renforcer l'EDR, car la solution vérifie que ce dernier bloque bien les ransomwares, et de valider la bonne configuration de nos environnements, sans investir dans des audits externes », précise Jean-Baptiste Auchêne, le responsable du SOC de Systra. Notamment l'outil assure un examen régulier de l'annuaire (Active Directory), à la recherche de mots de passe réutilisables. Pour Jean-François Tesseraud, la solution met aussi en évidence le besoin de changer tel ou tel pan de l'arsenal cyber ou de remonter le niveau d'exigences ; « par exemple, nous nous sommes équipés d'un outil pour générer des mots de passe complexes », dit-il.

Un calendrier des campagnes de tests

Par ailleurs, Jean-Baptiste Auchêne considère également la solution comme un levier permettant de tester le SOC et d'accélérer la formation de ses opérateurs. « Cette équipe connaît un certain turnover et intègre des analystes de différents niveaux. Les alertes soulevées par Pentera permettent de les entraîner. Nous avons besoin de challenger continuellement notre SOC », dit Jean-Baptiste Auchêne. Ainsi, les analystes du SOC, provenant d'un prestataire, sont parfois prévenus des campagnes de tests Pentera, mais d'autres fois non. « Nous testons alors leur réaction », dit le responsable de cette entité.

« Sur un mois, nous menons une campagne de tests presque chaque jour, selon différents scénarios », reprend Jean-Baptiste Auchêne. Ces scénarios peuvent émaner de l'éditeur - la solution tournant alors en mode boîte noire - ou, au contraire, être spécifiques aux besoins d'analyse du bureau d'étude. Par exemple, il s'agira de répertorier l'ensemble des ressources critiques auxquelles accède tel ou tel administrateur IT.

Mise en production progressive

Publicité« Cette solution nous a aidés à bien mesurer l'importance de la bonne configuration et de la surveillance permanente de nos outils », résume le RSSI, Jean-François Tesseraud. Pentera supervise aujourd'hui environ 1000 IP sur le réseau du groupe, même si le RSSI aimerait y ajouter un volant d'adresses flexibles pour accroître le périmètre des tests.

Selon le responsable du SOC, la solution n'a eu aucun impact en production, alors que les tests ciblent bien des applications critiques pour le bureau d'études. « Mais la montée en charge a été progressive, notamment en termes de nombre d'IP concernées par les scénarios », tempère Jean-Baptiste Auchêne, qui reconnaît que les premières campagnes de tests génèrent un accroissement des alertes au SOC. « Mais l'automatisation du SOAR (Security Orchestration, Automation, and Response, l'outil standardisant la réponse aux incidents, NDLR) permet de réduire cette volumétrie », souligne-t-il.

Article rédigé par

Reynald Fléchaux, Rédacteur en chef CIO
Suivez l'auteur sur Twitter

Partager cet article