A l’occasion de son dernier événement Blue Live au MeM à Rennes en octobre, le fournisseur de service cloud Blue (ex-Bretagne Télécom) a présenté son offre de sécurité informatique. Une image, celle du château fort et 3 lignes de défense.
Pour la sécurité de l’environnement, Blue a mis en avant son accès sécurisé MFA (authentification multifacteur) et son bastion permettant de sécuriser les points d’entrée dans le château fort (protection des comptes à « privilèges »). Les premières murailles sont ensuite posées grâce aux protections firewalls (tel que IPS, IDS et WAF) et la micro-segmentation apportée par la couche NSX de VMware pour la protection interne de son environnement hébergé.
Le SIEM, le SOAR, l’EDR et l’XDR comme seconde ligne de défense de l’entreprise
C’est le SOC, équipe composée d’une trentaine de personnes, qui détecte les attaques et œuvre à leur remédiation. Les analystes SOC utilisent le SIEM d’IBM, QRadar, qui permet de centraliser et corréler les logs afin de générer les incidents de sécurité en temps réel et des rapports mettant en lumière le niveau de sécurité d’une entreprise. Cette détection fine est ensuite envoyée au SOAR qui est une solution d’orchestration de la sécurité, d’automatisation et de remédiation.
L’EDR (Endpoint Detection Response) protège quant à lui les terminaux. Il analyse les usages des terminaux en surveillant l’exploitation de failles de sécurité et les comportements anormaux. La détection de ces menaces est permise grâce à l’analyse comportementale qui étudie les événements systèmes du terminal afin de détecter des comportements déviants. Enfin, l’XDR (Extended Detection and Response) détecte les menaces plus complexes. Les outils XDR offrent une plateforme de sécurité unifiée pour détecter les vulnérabilités sur les terminaux, mails et applications cloud, grâce à l’intégration d’outils de réponse aux incidents, le réseau. Par exemple, il peut isoler une machine corrompue.
L’infrastructure de sauvegarde comme troisième et ultime ligne de défense
Troisième ligne de défense : la bonne conception et mise en œuvre de son infrastructure de sauvegarde afin de pouvoir relancer son système d’information au plus vite en cas de compromission et de chiffrement étendus. Blue répond à cet enjeu grâce aux backups de données et au snapshot de baies. Le backup de données propose des services de protection et d’externalisation de ses sauvegardes dans un environnement sûr. Blue s’appuie sur VEEAM Backup et VEEAM Cloud Connect qui permettent de backuper ses machines virtuelles (VM) en continu dans leurs datacenters en France.
Si l’on dispose d’un backup de ses données en sauvegarde classique, il est possible d’y ajouter un service de snapshot de stockage en complément qui permettra de restaurer plus rapidement ses données en cas d’attaque ou d’erreur humaine. Les snapshots en complément des sauvegardes permettent de créer une ou plusieurs copies d’un volume avec une granularité horaire pouvant aller jusqu’à 5 jours. Le RPO (Recovery Point Objective) en sera considérablement réduit.