Projets

L'Oréal Recherche et Innovation enrichit ses scénarios de sécurité avec l'IA

Piotr Matusiak, CISO de l'Oréal Recherche & Innovation, a misé sur l'IA de Darktrace pour enrichir les scénarios de sécurité. (Crédit Photo : Jacques Cheminat)

Pour mieux protéger son activité recherche et innovation, L'Oréal a choisi la solution d'intelligence artificielle de Darktrace. Un complément au SIEM classique qui a provoqué un peu de résistance face à cette innovation.

PublicitéL'histoire de l'Oréal Recherche et Innovation (branche R&D du spécialiste de la cosmétique) et de Darktrace a commencé par une fuite de données non détectée par les outils classiques, rappelle Piotr Matusiak, CISO de cette division, lors d'un atelier aux Assises de la Sécurité à Monaco. A ce moment-là, « nous nous sommes aperçus que nous étions pas très outillés », souligne le responsable. « La première approche a été de s'appuyer sur le SIEM déjà implanté au niveau corporate avec des scénarios classiques et compréhensibles par les métiers », poursuit-il avant de donner un exemple, « on a un système qui héberge l'ensemble des formules des produits l'Oréal, quelqu'un qui va regarder n formules pendant un laps de temps et qu'il dépasse un certains seuils, une alerte est envoyée. Cette fréquence a été fournie par les métiers ».

Cette démarche a montré ses limites avec des scénarios plus complexes et surtout comment prendre en compte les scénarios que l'on ne connait pas. « L'approche classique ne suffisait pas, il fallait quelque chose de plus innovant dont l'intelligence artificielle », se souvient Piotr Matusiak. Le CISO est parti à la recherche d'un spécialiste de l'IA en matière de cybersécurité et a finalement retenu Darktrace, « pour plusieurs raisons, la méthodologie est claire et documentée, nous avons sollicité des datascientists en interne pour savoir si c'était bien de l'IA. Un voyage aux Etats-Unis avec un investisseur au fait des start-ups nous a rassuré sur la pérennité de l'entreprise. Enfin, Darktrace nous a mis en relation avec une société suisse pour un échange sur son expérience. Elle nous a recommandé d'utiliser Darktrace en complément du SIEM ».

Des résistances du SIEM classique

Fort de ces conseils, l'Oréal Recherche & Innovation a décidé de tester rapidement sur un site physique avec un laboratoire de recherches basé en France. « Le déploiement est relativement rapide et simple, il suffit d'installer un rack 2U et de brancher les bons câbles. Il faut impliquer les équipes réseaux sinon c'est impossible. Au final, en une après-midi, l'installation était réalisée », précise Piotr Matusiak. « Il faut laisser le boîtier travailler pendant deux à trois semaines, un élément à prendre en compte, pour qu'il puisse apprendre », précise le dirigeant. Après ce laps de temps, l'expert Darktrace est revenu et les premières alertes ont été remontées et expliquées, « car ce n'est pas nécessairement facile au début d'appréhender l'IA ».

Le CISO ajoute avoir impliqué les équipes du CSIRT et SOC où « on a vu une certaine résistance, car cela implique un changement d'état d'esprit ». Il y avait des inquiétudes sur la croissance des faux-positifs, mais c'est un faux raisonnement, l'IA sert à diagnostiquer des comportements anormaux, après il y a une analyse pour définir si c'est malveillant ou pas. La question est donc posée aux équipes SOC de savoir si elles veulent élaborer des scénarios obsolètes rapidement ou faire un travail d'analyse plus intéressant ? Darktrace nous accompagne pour éliminer cette résistance en réalisant des formations.

PublicitéUne vision étendue des menaces

Sur les résultats, beaucoup de mauvaises pratiques utilisateurs ont été trouvées. « Historiquement, chez l'Oréal, l'Internet était très fermé, pas de Facebook, pas de YouTube. Puis du jour au lendemain, c'est devenu Open Bar », évoque le CISO avant de citer l'exemple de comportements anormaux détectés, « une RH qui copiait un document marqué RH dans le texte dans un cloud non sécurisé. Contactée, la personne a expliqué qu'elle travaillait avec un cabinet de conseil en recrutement et qu'il lui avait demandé d'envoyer les documents sur ce cloud ». Ce type d'incident n'est pas détecté par un SIEM, insiste le responsable. Autre exemple sur des mauvaises pratiques d'administration, « des admins usaient du Powershell depuis leur PC, on leur a demandé de respecter des bonnes pratiques, car nous avions beaucoup d'alertes».

Par ailleurs, « il y a quelques mois, une résurgence de Wannacry, mais sans chiffrement de postes, a été découverte. Darktrace a détecté des adresses IP internes à l'Oréal Recherche & Innovation qui essayaient d'installer des exécutables sur des PC. On a pu assainir le problème rapidement. Le SIEM n'avait vu qu'une dizaine d'adresses IP, alors que Darktrace en a vu une centaine ». Il y a aussi des remontées des anomalies discrètes, glisse Piotr Matusiak, comme « une imprimante 3D qui a été retracée par l'adresse IP et l'adresse MAC, qui de manière régulière envoie des paquets vers une IP externe. On s'est aperçu qu'une fois l'impression faite, le terminal envoyait le modèle à l'éditeur ».

Au final, la solution d'IA de Darktrace est perçue comme un complément du SIEM global. « Il n'a pas été déployé sur l'ensemble de l'Oréal, mais il a été décidé de protéger les « joyaux de la couronne », c'est-à-dire la recherche et l'innovation », avoue Piotr Matusiak. Il existe par contre des passerelles entre les deux mondes « les logs Active Directory remontés par Darktrace sont envoyés au SIEM pour réaliser des scénarios liés à Active Directory », conclut-il.