Nous suivre Industrie Techno

NotPetya : Saint-Gobain tire la leçon et s'arme d'intelligence artificielle

NotPetya : Saint-Gobain tire la leçon et s'arme d'intelligence artificielle

Paul Le Mesle, responsable du SOC Saint-Gobain : « Notre CyberSOC doit aller vers le Big Data, aller vers de l’intelligence artificielle et de l’orchestration pour libérer du temps à nos analystes pour réaliser de la détection métier. »

© Alain Clapaud

A contre-courant des règles qui veulent qu’une entreprise piratée se taise, Saint-Gobain a décidé de partager sa douloureuse expérience de l’attaque NotPetya lors des Assises de la Sécurité qui se déroulent à Monaco du 10 au 13 octobre. Une initiative courageuse saluée par l’ensemble de la communauté cyber française.

Il est d’usage que les entreprises, notamment françaises, cachent le fait qu’elles ont été l’objet d’attaques informatiques. Ces « affaires » sont traitées dans l’ombre afin de ne pas entacher l’image de l’entreprise et accessoirement la confiance des actionnaires. Néanmoins quelques noms ont filtré à la suite des attaques WannaCry et NotPetya de mai puis juin 2017. A savoir, pour des raisons diverses ceux d’Auchan, Renault et de Saint-Gobain. Contrairement aux nombreuses entreprises et institutions qui ont été attaquées, la plus vieille entreprise du monde avançait même le montant de ses pertes : 220 millions d’euros de chiffre d’affaires et 80 millions d’euros de résultat.

Le DSI de Saint-Gobain partage son expérience devant ses pairs

Cette volonté de transparence s’est retrouvée lors des Assises de la Sécurité puisque Frédéric Vergé, Directeur des systèmes d'information (DSI) du groupe est venu témoigner devant les responsables de la sécurité des systèmes d'information (RSSI) lors des journées "Before", réservées aux professionnels. Cette initiative de partage d’expérience a été saluée par Guillaume Poupard, directeur de l’ANSSI : « La leçon de Saint-Gobain, c’est que la foudre ne tombe pas toujours chez le voisin. Saint-Gobain n’avait pas cette culture de l’exercice de crise. Or, une crise se prépare, notamment sur le plan de la communication. Une communication de crise mal assurée et c’est le sur-accident garanti. »


Ces attaques de 2017 ont joué le rôle d’électrochoc non pas auprès des DSI et RSSI qui étaient déjà pleinement conscients des risques, mais auprès des comités de direction : « L’époque où il fallait expliquer le B.A.- BA des attaques aux ComEx est maintenant révolue. Sur ce plan, les attaquants en ont fait au moins autant que nous pour convaincre les décideurs d’agir ! Ce que fait Saint Gobain est remarquable dans ce rôle de témoin et de porte-parole. Le PDG de Saint Gobain lui-même va convaincre ses pairs, et c’est très efficace. »

Un plan de cyberdéfense lancé dans l’urgence

Nicolas Fernandez, directeur de cybersécurité de Saint-Gobain était aussi à Monaco pour non pas revenir sur la douloureuse expérience qu’a traversée son équipe, mais bien pour évoquer ce que Saint-Gobain met en place pour contrer ce type d’attaques. « Nous avons été touchés, nous avons chuté et nous nous sommes relevés » a-t-il résumé. « Il y a eu une prise de conscience du Board et des moyens ont été débloqués. Cela nous a permis d’avancer. Toutefois, avoir des moyens n‘est pas tout : nous avons élaboré un programme, un plan cyberdéfense articulé sur 3 points. Son premier volet porte sur une remédiation très rapide en cas de crise, puis vient la reconstruction et la protection. Nous avons notamment investi sur la détection/réaction car il nous paraît important d’avoir une visibilité. On sait en effet que la protection ne suffit pas, et qu’il faut détecter les incidents de sécurité pour réagir. » Nicolas Fernandez a notamment souligné que pour s’équiper en solution de sécurité, il ne pouvait rentrer dans le processus traditionnel de choix d’outil, lancer un RFP, faire une présélection et lancer des preuves de concept (POC). « Nous avions identifié une solution Vectra Cognito, et nous étions sur le point de lancer un POC quand est survenue l’attaque NotPetya. De ce fait, le POC a été mis en oeuvre très rapidement et la solution a été déployée immédiatement à son issue. »

L’IA épaule désormais les analystes cybersécurité de Saint-Gobain

Le déploiement rapide de la solution Vectra Cognito, solution d’IPDS (Intrusion Detection and Prevention System) s’appuyant sur l’intelligence artificielle devait accroître la visibilité de Saint-Gobain sur le trafic sur son réseau. L’informatique de l’industriel compte 140 000 postes répartis dans 60 pays et environ 10 000 serveurs localisés dans 3 grands datacenters et 10 datacenters régionaux. Le système de gestion des informations et des évènements de sécurité (SIEM) en place disposait des logs d’une partie de ces serveurs, mais n’avait pas de visibilité sur les échanges réseaux. « Nous avons voulu enrichir cette donnée avec celles issues du trafic, ce qui pose la problématique de la localisation des sondes » explique Nicolas Fernandez. « Le deuxième objectif de ce projet était d’augmenter la facilité d’analyse, donner aux équipes d’analystes des outils qui vont au-delà du simple lancement d'une alerte. C’est tout l’apport de l’intelligence artificielle, avec du Machine Learning qui permet de faire des corrélations et effectuer une première qualification des incidents. Le troisième point, c’est la rapidité d’adoption de l’outil lorsque l'on doit aller très vite. Le délai nécessaire à l’équipe pour prendre en main l’outillage peut alors devenir problématique. Le POC a validé la simplicité de l’outil dans son utilisation. » Ce point était important car une particularité de Saint-Gobain, c’est que son SOC (Security Operations Center) est situé en Inde. En dépit de son éloignement, l’équipe SOC devait donc rapidement acquérir les compétences nécessaires pour détecter les attaques.
« Suite à l’attaque, le CyberSOC a pris une nouvelle dimension au sein de Saint-Gobain. L'équipe a fait l'objet de très fortes attentes concernant ses capacités de détection et de réponse à incident » a reconnu Paul Le Mesle, responsable du SOC Saint-Gobain embauché en début d’année. "On nous demande d’être capables de stopper tout incident qui surviendrait sur notre réseau, ce qui impliquait de renforcer nos moyens en détection mais aussi de réaliser un gros travail sur les volets automatisation et orchestration. Un outil tel que Vectra offre un avantage considérable par rapport à un SIEM. D’un point de vue stratégique, notre CyberSOC doit intégrer les outils du Big Data, de l’intelligence artificielle et de l’orchestration, pour libérer du temps à nos analystes. » L’intelligence artificielle (IA) pourrait en effet profondément remettre en cause la façon de travailler des analystes de sécurité, en "prémâchant" le travail d’analyse actuellement réalisé par les analystes dits "de niveaux 1 et 2" et en poussant les analystes à mener des investigations de plus haut niveau. Or les analystes dits "de niveau 3" sont les ressources les plus rares à trouver.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Cybersécurité : le talon d'Achille des objets intelligents

Analyse

Cybersécurité : le talon d'Achille des objets intelligents

L’utilisation de la puissance de calcul disponible dans le cloud par l’intelligence artificielle pose des problèmes de[…]

Triton disséqué, drones herculéens, vignoble connecté… les meilleures innovations de la semaine

Triton disséqué, drones herculéens, vignoble connecté… les meilleures innovations de la semaine

Météodrone, robot-insecte, techno et vin … les innovations qui (re)donnent le sourire

Météodrone, robot-insecte, techno et vin … les innovations qui (re)donnent le sourire

Route du Rhum, hydrolienne Sabella, gant haptique … les meilleures innovations de la semaine

Route du Rhum, hydrolienne Sabella, gant haptique … les meilleures innovations de la semaine

Plus d'articles