Blue dévoile son offre Cyber composée de 3 lignes de défense lors de son Blue Live réunissant plus de 700 participants !
Le jeudi 6 octobre dernier a eu lieu l’événement Blue Live au MeM à Rennes. En tout, ce sont plus de 700 participants, 600 clients et 100 partenaires et start-ups qui se sont réunis pour ce rendez-vous unique autour de la cybersécurité. Deux actes, trois scénarii et une table ronde ont rythmé cet après-midi pour savoir comment réagir à une cyberattaque, apprendre à repartir au plus vite et maîtriser sa communication. Ces trois scénarii ont été l’occasion pour Blue de présenter son offre de sécurité informatique résumée par l’image du château fort.
La première ligne de défense : la sécurité de l’environnement
Face à une cyberattaque, plusieurs questions se posent comme « Comment sont sécurisés mes points d’accès ? », « Comment limiter le périmètre d’attaque ? », « Comment me donner les moyens de repartir au plus vite ? » ou encore « Comment gérer la crise avec les assurances Cyber ? ». Toutes ces questions ont trouvé leurs réponses dans les trois scénarii présentés lors du Blue Live.
La première ligne de défense est celle de la sécurité. Ainsi, que l’on parle de détournement de comptes ou de webshells, voire de compromission de services d’accès distant, deux interrogations apparaissent : celle de l’authentification à facteurs multiples, mais aussi celle de la sécurité réseau avec la détection d’intrusion. Il est également question de la segmentation et de la mise en œuvre de bastions afin de limiter la capacité des attaquants à se mouvoir dans le système informatique et à acquérir les droits nécessaires à d’importants dégâts.
Blue répond à ces enjeux en proposant un accès sécurisé MFA (authentification multifacteur) et un bastion permettant de sécuriser les points d’entrée dans le château fort (protection des comptes à « privilèges »). Les premières murailles sont ensuite posées grâce aux protections Firewalls (tel que IPS, IDS et WAF) et la micro-segmentation apportée par la couche NSX de VMware pour la protection interne de son environnement hébergé.
Le SIEM, le SOAR l’EDR et l’XDR comme seconde ligne de défense de l’entreprise
Aucune mesure de prévention n’est parfaite. Il est donc essentiel d’anticiper le succès de l’intrusion afin d’être en capacité de la détecter et d’y réagir au plus vite. Le déploiement et le déclenchement du ransomware, avec le chiffrement des hôtes compromis, n’est que la dernière étape de l’attaque. À chacune des étapes, l’attaquant peut être plus ou moins discret. Mais chacune de ses actions constitue une opportunité de détection, à condition d’y être préparé. Cela veut dire disposer de capacités de détection, mais également des processus nécessaires à la génération, la qualification et le traitement des alertes.
C’est le SOC (tour de contrôle), équipe composée d’une trentaine de personnes qui opère chez Blue, qui détecte les attaques et œuvre à leur remédiation. Les analystes SOC utilisent le SIEM d’IBM, QRadar, outil leader du marché qui permet de centraliser et corréler les logs afin de générer les incidents de sécurité en temps réel et des rapports mettant en lumière le niveau de sécurité d’une entreprise. Cette détection fine est ensuite envoyée au SOAR qui est une solution d’orchestration de la sécurité, d’automatisation et de remédiation.
L’EDR (Endpoint Detection Response) protège quant à lui les terminaux. Il analyse les usages des terminaux en surveillant l’exploitation de failles de sécurité et les comportements anormaux. La détection de ces menaces est permise grâce à l’analyse comportementale qui étudie les événements systèmes du terminal afin de détecter des comportements déviants. Enfin, l’XDR (Extended Detection and Response) détecte les menaces plus complexes. Les outils XDR offrent une plateforme de sécurité unifiée pour détecter les vulnérabilités sur les terminaux, mails et applications cloud, grâce à l’intégration d’outils de réponse aux incidents, le réseau. Par exemple, il peut isoler une machine corrompue.
De l’importance de bien concevoir son infrastructure de sauvegarde comme troisième et ultime ligne de défense
Afin d’anticiper les conséquences d’une cyberattaque, il est essentiel de bien concevoir et mettre en œuvre son infrastructure de sauvegarde afin de pouvoir relancer son système d’information au plus vite en cas de compromission et de chiffrement étendus. C’est la troisième ligne de défense de son château fort.
Blue répond à cet enjeu grâce au backup de données et au snapshot de baies. Le backup de données propose des services de protection de données et d’externalisation de ses sauvegardes dans un environnement sûr, grâce à une solution de backup externalisé. Blue s’appuie sur VEEAM Backup et VEEAM Cloud Connect qui permettent de backuper ses machines virtuelles (VM) en continu dans leurs Data Centers en France. Cette sauvegarde externalisée garantit la pérennité de ses données avec une solution économique et très simple à mettre en place mais aussi à administrer.
Si l’on dispose d’un backup de ses données en sauvegarde classique il est possible d’y ajouter un service de snapshot de stockage en complément qui permettra de restaurer plus rapidement ses données en cas d’attaque ou d’erreur humaine, et ce jusqu’à J+5. Le RPO (Recovery Point Objective) en sera considérablement réduit.