Projets

Saint Gobain confie sa détection d'incident à une IA

Saint Gobain confie sa détection d'incident à une IA
Nicolas Fernandez, directeur Cybersécurité de Saint Gobain, a mis en perspective l'usage de l'IA au sein du cyberSOC. (Crédit Photo : Jacques Cheminat)

Tirant les leçons de l'attaque NotPetya, Saint Gobain a revu son plan de cyberdéfense. Sur la partie détection, le SOC peut maintenant compter sur l'IA de Vectra pour affiner les remontées d'alertes. Un changement pas uniquement technologique.

PublicitéSans revenir sur l'affaire NotPetya, il y a un avant et un après. Nicolas Fernandez, directeur de cybersécurité de Saint-Gobain résume l'histoire,« nous avons été touchés, nous avons chuté et nous nous sommes relevés ». Il intervenait en préambule d'un retour d'expérience aux Assises de la sécurité à Monaco sur l'usage de l'intelligence artificielle comme composante du plan cyberdéfense de la firme en particulier l'aspect détection. Face au contexte, le manager explique, « nous avions identifié avant NotPetya la solution Cognito de Vectra Networks et commencé à faire un POC, l'attaque a finalement accéléré la mise en place de ce service ».

Cette intégration répondait à trois objectifs, selon le dirigeant : « d'abord accroître la visibilité. On avait un SIEM en cours d'installation, mais nous voulions y ajouter le trafic réseau. Par ailleurs, nous souhaitions augmenter la capacité d'analyse via l'IA en créant des scénarios d'attaques. Enfin, la rapidité d'utilisation et d'adoption était impératif ».

Dans le détail, Paul Le Mesle, responsable du cyber SOC de Saint-Gobain, est revenu sur l'implémentation de Cognito de Vectra. En premier lieu, il dresse un panorama de l'IT de Saint Gobain : 140 000 postes répartis dans 60 pays et environ 10 000 serveurs localisés dans 3 grands datacenters et 10 datacenters régionaux. Avec NotPetya, le cyberSOC a pris une autre dimension avec une attente très forte sur la détection d'incident. « Il était donc nécessaire d'avoir un renforcement de la détection et un gros effort sur l'automatisation et l'orchestration », confie le responsable.

Un changement de paradigme

Sur le déploiement de Vectra, « il s'agit d'une sonde réseau. Il suffit de la placer au bon endroit au sein de notre hub télécom et Vectra commence à remonter rapidement des informations », constate Paul Le Mesle. « C'est vraiment plug & play », poursuit-il avant d'indiquer avoir « rajouté des sondes pour regarder certains points comme les flux entre les datacenters ». Au final, les remontées sont immédiates, « les sondes Vectra sur notre réseau analysent 8000 Mbit/s avec des pointes jusqu'à 10 000 Mbit/s de trafic. Cela donne une vue des adresses IP ayant des comportements déviants selon les scénarios (une cinquantaine) établis par Vectra », constate le spécialiste du CyberSOC.

Sur les alertes, « la solution ne renvoie que des alertes pertinentes. A tel point que j'ai du mal à parler de faux-positif sur les comportement remontés », retourne Paul Le Mesle. « Il y a un changement de paradigme pour les analystes car avant ils devaient qualifier une détection du SIEM et maintenant l'alerte est déjà qualifiée » poursuit-il. La question après est « de savoir si cette alerte correspond à un comportement légitime ou pas ». Il donne l'exemple d'un logiciel de gestion des codes-barres, installé discrètement par les métiers, qui avait la particularité de scanner le réseau pour chercher d'autres logiciels et un serveur de licence. Il s'agissait d'un comportement anormal, mais légitime de l'application. « Un des travaux que nous menons réside dans la suppression de ces applications légitimes au comportement anormal », précise le responsable. Il rapporte une autre anecdote sur l'usage de WebEx qui dans certains cas nécessite une prise en main à distance et cette action était perçue par Vectra comme une connexion avec un serveur de commandes et contrôles.

PublicitéAller vers de l'automatisation

En conclusion, « il y a un vrai futur pour ces solutions d'intelligence artificielle. La mise en en place est rapide, les détections sont pertinentes, il n'y a pas besoin de défini des cas d'usage », considère Paul Le Mesle. Le seul élément perturbant est que « cela change tout, on réfléchit comportement contre offense, c'est-à-dire qu'une analyse fine est requise. En même temps, les détections remontées s'adressent à des experts plus qualifiés que le niveau 1 et 2 en étant capables d'aller discuter avec les métiers, de corréler, de connaître le SI. ». Pour l'avenir, le responsable regarde l'installation d'un outil d'orchestration pour automatiser certaines tâches et libérer du temps au L1 et L2 pour monter en compétence.

Interrogé par la salle sur ce qui aurait pu se passer si Vectra avait été mis en place lors de NotPetya, Nicolas Fernandez botte en touche, « nous avons appris surtout l'humilité et il est bien difficile de savoir quel impact aurait pu avoir Vectra. Il y avait une rapidité et une complexité technique dans l'attaque. Vectra est un élément du puzzle ». Autre question sur la disparition du SIEM, « je vois plutôt cela comme quelque chose de complémentaire, l'un est sur la gestion de log, l'autre sur le flux réseau. Certaines choses ne sont pas vues par Vectra comme les attaques de Kerber hosting visant les Active Directory », conclut Paul Le Mesle.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis