Cloud builder Cloud service provider

Intitulé de la réunion - Date

Nom du projet Cloud builder Cloud service provider

Serge Richard – CISSP® – serge.richard@groupe-ocealis.com Architecte Solution Sécurité – Responsable de l’offre IBM Sécurité

La sécurité au service de l’innovation Retour d’expérience sur la mise en place de la solution

IBM QRadar Security Intelligence Platform

Inauguration du Datacenter de production et lancement de l’offre iCod®

« infrastructure Cheops on demand »

2009

2007 Introduction en bourse sur le marché d’Euronext Paris

2013 Intégration de Groupe OCEALIS >> 70 collaborateurs >> Fondée en 2003

aujourd’hui

400 collaborateurs 12 agences 75 M€ de CA

1998 Création de la société en France par CHEOPS TECHNOLOGY Belgique + 3 cadres HP France

Qui sommes nous ?

Division Infrastructure

Division Infogérance

& Cloud

Division Modernisation Technologique

Division Réseau, Sécurité &

Communication Unifiée

Services Organisation /

Sponsor Responsabilités et objectifs de sécurité

Software as a

Service (SaaS)

CxOs (CIO, CMO,

CHRO, ...)

Visibilité sur l’utilisation des services SaaS et une gestion des risques

Gouvernance des accès utilisateurs et fédération des identités

Platform as a

Service (PaaS)

Equipes Application,

équipes métier

Permettre aux développeurs de créer des applications sécurisées pour le

Cloud, avec une expérience utilisateur améliorée

Visibilité et protection contre les fraudes et les menaces applicatives

Infrastructure as

a Service (IaaS) CIO, Equipes IT

Protéger l'infrastructure cloud pour déployer en toute sécurité les processus

métier et atteindre les objectifs de conformité

Avoir une visibilité sur le déploiement des infrastructures de Cloud hybride

et gérer leurs utilisations

Les exigences de sécurité sont inhérentes à la fonction lors de l’adoption du Cloud

Méthodes d'attaque de plus en plus sophistiquées

Disparition des périmètres

Augmentation des failles de sécurité

Des équipes sécurité à la peine

Trop de données à gérer avec peu de personnel et des connaissances limitées sur les nouvelles menaces

Spear Phishing

Persistence

Backdoors

Designer Malware

Constante évolution des infrastructures

Trop de produits provenant de plusieurs fournisseurs, donc coûteux à configurer et à gérer

Des outils inadaptés et inefficaces

Evolution des menaces Complexité des outils Réactivité

Cheops Technology : Gérer la complexité des menaces

L’augmentation et la diversité des attaques devient une problématique pour les RSSI

Identifier les attaques Consolider les données de sécurité

Mieux appréhender les risques métiers Gérer la conformité

Détecter les fraudes internes

« La problématique n’est pas de savoir si nous allons être attaqués, mais quand nous allons être attaqués »

Cheops Technology : Etre proactif sur les menaces

Réglementations & exigences inhérentes à Cheops Technology

Juin 2013: Charte de sécurité. Audit de configuration.

Octobre 2012: HDS, Agrément d’Hébergeur de Données de Santé. Besoin de traçabilité des accès sur le SI des clients Santé

Mars 2012: PSSI, Politique de Sécurité des Systèmes d’Information. Besoin en reporting.

2014: Certification ISO27001. Gestion et analyse des incidents de sécurité.

Cheops Technology : Gérer notre cadre réglementaire

3 Demande des instances réglementaires: ASIP, CNIL, ISO27001

2 Demande de la Direction: Besoin d’auditer l’activité et d’avoir une analyse global des incidents de sécurité

1 Demande de la Production: Besoin d’une vue transverse du SI afin de gagner en proactivité car les architectures sont plus complexes

4 Demande des Clients: Appel d’offre, audit, COPIL, ….

5 Complexité des attaques: Un SIEM n’est pas la solution ultime mais il permet de gagner du temps sur la détection par la corrélation des évènements.

Cheops Technology : Pourquoi une solution SIEM

Définition du périmètre

Choix des Solutions

Mesures techniques

Aval de la Direction

Résultats Conclusion

Analyse financière

Cheops Technology : Du Proof of Concept jusqu’à la prise de décision

Eléments à prendre en compte

La volumétrie Le temps d’analyse L’expertise Méthodologie

Réponses à nos besoins Détection des menaces

Avoir des informations les plus complètes de votre SI. Comprendre ce qui se passe sur le réseau

Consolider les silos de données

Collecter, mettre en corrélation créer des rapports sur les données dans une solution intégrée et en adéquation avec le besoin des équipes

Détection des anomalies

Supervision de l’activité des utilisateurs

Mieux prédire les risques

Cycle de vie complet de la conformité et la gestion des risques pour les infrastructures de réseau et de sécurité

Gérer les besoins de réglementation

Collecte automatique des données

Audits de configuration

La solution retenue

AUTOMATISATION

INTEGRATION

IBM QRadar

Security Intelligence

Platform

Corrélation, analyse et réduction des données

Pilotage simplifiée de la sécurité

Une architecture unifiée et une seule console

INTELLIGENCE

Intelligence : détections des signaux faibles

Précision inégalée : ratio de réduction moyen de 120000 alertes en 1 incidents

Intégration : Une architecture unifiée au travers d’une seule console

Log Management

NextGen SIEM

Activity Monitoring

Risk Management

Vulnerability Management

Network Forensics

Automatisation : Simplicité de pilotage de la sécurité

Découverte automatique des actifs du réseau

Analyse proactive des vulnérabilités, contrôle des

configurations et des politiques de sécurité

Déploiement simplifié

Configuration automatique des sources de données journaux et flux ainsi que

des actifs réseau

Mise à jour automatique

Etre informé des dernières vulnérabilités

et menaces

Règles et rapports inclus

Réduire les efforts d’investigation ainsi

que de mise en conformité

Botnet ou IP frauduleuse détectée ?

IRC sur le port 80 ?

Communication botnet irréfutable. La couche 7 contient les détails qui sont nécessaires à l’établissement du dossier d’incident. L’analyse de la couche applicative du flux permet de détecter des menaces que d’autres solutions ne voient pas.

Identifier les attaques

Consolider les données de sécurité

Analyse simultanée des événements et des flux. QRadar permet cette finesse.

Réduction du volume d’information d’un SI a un niveau acceptable

Corrélation avancée entre les différentes provenances

Sources de données hétérogènes

Corrélation intelligente

Précision inégalée : ratio de réduction moyen de 120000 alertes en 1 incident

Gérer la conformité

Trafic non chiffré détecté par le SIEM. Détection d’un texte en claire, ce qui est hors de la recommandation du chapitre 4 de la norme PCI. Privilégier un SIEM permettant l’analyse simplifier des conformités et supportant nativement des principales normes, dans les tableaux de bords, dans les recherches ainsi que dans les rapports

Risque sur la conformité PCI ?

Détection en temps réel d’une possible

violation

Détecter les fraudes internes

Qui?

Utilisateur interne

Perte de données potentielle

Qui? Quoi? Ou?

Quoi?

Données Oracles

Ou?

Gmail

Détection des menaces y compris dans un périmètre post-attaque avec une détection de l’anomalie utilisateur et du comportement applicatif

Mieux appréhender les risques métiers

Qu’est ce qui est affecté?

Comment les prioriser ?

Quel détail?

Détails des vulnérabilités classifiées par score

Remédiation à appliquer

Prédiction des risques en adéquation avec le métier. Détection des risques potentiels ou des écarts de conformité

Constitution d’une base d’actifs basée sur les vulnérabilités observées

Log Ignorance Pas de traitement

Log Collection Collection et stockage

uniquement

Log Investigation Collection et traitement en

cas d’incident

Log Reporting Collection et analyse sur

rapport mensuel

Log Analyse Collection et analyse

journaliére

Log Surveillance Informations de sécurité surveillées en temps réel

Ocealis Sécurité: Pour vous aider à démarrer

Ocealis Sécurité: Pour vous aider à avancer

24

Security-as-a-Service (SaaS)

Sécurité Intelligente ● Individus ● Données ● Applications ● Infrastructure

Gestion hors/sur site des journaux de

sécurité

Prise en charge du cycle de vie des jetons pour des services d’authentification forte

Prise en charge des vulnérabilités des composants des

applications web

Prise en charge de la flotte des terminaux mobiles de

l’entreprise

Prise en charge des vulnérabilités des composants

de l’infrastructure

Gestion hors/sur site des événements de sécurité

Gestion des

journaux de

sécurité

Gestion des

environnements

terminaux mobiles

Scan de

Vulnérabilité

Applicatif

Gestion des

événements

de sécurité

Gestion de jeton

d’authentification

Scan de

Vulnérabilité

Infrastructure

Ocealis Sécurité: Pour vous aider à sécuriser