Apave traque les malwares et les ransomwares avec Darktrace

Apave est une société accompagnant les entreprises et les collectivités dans leur maîtrise des risques techniques et environnementaux. Elle travaille dans plusieurs domaines la formation, l’inspection, le conseil. Au total plus de 10 000 personnes sur 140 sites travaillent dans la société. Eu égard aux dossiers sensibles (nucléaire, santé, aéroport…), la sécurité informatique n’est pas un vain mot avec un parc de 8500 PC. Patrick Conreaux, RSSI d’Apave, explique que ce sujet est monté en puissance ces dernières années en accompagnement de l’évolution du SI. « Nous allons converger vers un SI unique avec une volonté d’aller vers de l’hébergement tiers sécurisé », précise le responsable.

Mais « une succession d’événements de sécurité en 2015 et 2016, dont plusieurs tentatives d’attaques par ransomwares » a montré que les solutions utilisées par Apave n’étaient pas suffisantes. « Les antivirus ne jouent plus leur rôle », précise Patrick Conreaux. La question d’une sécurité renforcée était donc posée. « Avec un parc étendu comme le nôtre, il est difficile de couvrir la sécurité au niveau du terminal, il peut y avoir des trous. L’idée était donc de renforcer la sécurité également au cœur de nos infrastructures. Une réflexion a donc été menée sur la mise en place d’un SIEM (security information management system) », poursuit le RSSI.

Un POC et les premières alertes

Puis à l’occasion d’un séminaire, le responsable a découvert une présentation de Darktrace. « Nous étions intéressés et nous avons demandé à l’équipe de Darktrace de faire un POC », se souvient Patrick Conreaux. « La solution a été placée au cœur du datacenter et en mode « écoute » sur le réseau interne de manière à avoir zéro impact sur la production. Même en phase d’apprentissage, les faux positif ont été peu nombreux », constate-t-il en avouant en avoir recensé une dizaine.

Mais même pendant cette phase, « des alertes intéressantes ont été remontées, le dump d’une base de données vers un Cloud public, du shadow IT avec des transferts de données de tests sur une plateforme externe ».  Un moyen de remettre les choses en ordres et de « détecter les comportements dangereux par exemple sur Tor à l’insu de l’utilisateur », souligne le RSSI.

Aller vers l’automatisation des tâches

Du coup, la volonté d’installer un SIEM s’éloigne, « c’est moins une priorité » avoue Patrick Conreaux. Il préfère s’en remettre pour l’instant aux remontées d’alertes de la solution Darktrace. « Les rapports hebdomadaires sont une aide précieuse, les alertes y sont pertinentes et dotées d’un indice de gravité pour mesurer le niveau des attaques potentielles. Il y a des fois des remontées bénignes, mais parfois les alertes sont plus importantes comme dans le cas d’un ransomware identifié depuis un accès VPN . »

Et le RSSI de regarder l’avenir. « Nous sommes intéressés par les évolutions fonctionnelles du produit avec notamment l’automatisation des tâches. Dans ce cadre nous sommes attentifs par la solution Antigena de Darktrace. » Cette dernière utilise le machine learning pour « immuniser » le système d’information. Cette solution va subir une batterie de tests auprès d’Apave pour valider son intégration. Un moyen de dégager du temps pour travailler sur d’autres sujets, comme le règlement général sur la protection des données qui doit rentrer en application d’ici 2018.

A lire aussi :

Darktrace : le Machine Learning au service de la sécurité

Levée de fonds pour Darktrace

Crédit Photo : Apave