Business Connect. Le SOC au cœur de la démarche de cyberdéfense. SOC at the heart of our cyber defense policy

Transcription

1 Business Connect Le magazine d information de Telindus n 24 Novembre 2014 The Telindus news magazine No. 24 November 2014 Le SOC au cœur de la démarche de cyberdéfense SOC at the heart of our cyber defense policy Gérer les applications grand public dans l entreprise Managing consumer applications within the company Tout savoir sur une cyberattaque Everything you need to know about a cyber attack Cloud computing, un choix stratégique Cloud computing, a strategic choice

2 2 >> ÉDITO - SOMMAIRE Business Connect n 24 Novembre 2014 Telindus France Édito Là où les attaques intelligentes des cybercriminels font partie du quotidien des entreprises, stratégie et méthodologie sont les maîtres mots d une politique de sécurité efficace. Notre expérience des réseaux montre que désormais la sécurité est devenue un processus permanent, lié au Système d Information. Les nouvelles tendances du cloud, du BYOD et de la mobilité se révèlent être des opportunités notables pour les entreprises, mais elles les confrontent aussi aux risques de fuite des données sensibles. C est la réalité de la sécurité de l informatique. Le pourcentage d entreprises mondiales ayant subi au moins un incident de fuite de données est estimé à 88 %. En 2012, le coût total moyen d un détournement de données dans une société française s élevait à 2,86 millions d euros. * Alors, êtes-vous prêts pour la bataille? Face aux dangers, nous pensons que les Directions Informatiques doivent garder une vision précise et optimisée des processus d exploitation et de communication du Système d Information, ainsi que des enjeux qui y sont liés. Notre Centre Opérationnel de Sécurité, le SOC, est au cœur d une démarche de cyberdéfense conduite par une stratégie de sécurité et une méthodologie adaptées aux risques qui pèsent sur votre activité. Cette démarche conjugue la surveillance, la détection et la réaction aux menaces, au renforcement des technologies de sécurité pour maîtriser les nouveaux risques. Elle met en œuvre conjointement des moyens techniques et organisationnels afin de piloter cette sécurité au quotidien. Le dossier de ce nouveau numéro de Business Connect vous présente comment, à travers le SOC, nos équipes d experts protègent la valeur métier de votre entreprise. Bonne lecture à tous. henri juin directeur général * Source : Etudes Check Point et Ponemon Institute 2013 Cost of Data Breach. Where intelligent cyber criminal attacks are part of everyday business life, strategy and methodology are the hallmarks of an effective security policy. Our experience in networks indicates that security is now a permanent process linked to Information Systems. New trends in cloud, BYOD, and mobility are proving to be major opportunities for businesses but they also confront them to the risk of leakage of sensitive data. This is the reality of information security. It is estimated that 88% of companies worldwide have experienced at least one incident of data leakage. In 2012, the average total cost of misuse of data in French companies amounted to 2.86 million Euros.* So, are you ready for the battle? Faced with the dangers, we believe that IT departments must keep a clear and optimized vision of Information System business and communication processes and the stakes associated with them. Our Security Operations Center (SOC) is at the heart of a cyber defense policy led by a security strategy and methodology adapted to the risks hanging over your business. This policy combines monitoring, detection, and response to threats with strengthened security technologies to control new risks. It implements technical and organisational means together to manage everyday safety. The feature of this issue of Business Connect tells you how our teams of experts protect your company s business value through our SOC. I hope you enjoy this issue. HENRI JUIN CEO * Source: Studies by Check Point and Ponemon Institute 2013: Cost of Data Breach. ACTUALITÉS NEWS Telindus accompagne ses clients en développant encore plus ses certifications Data Center avec Cisco, NetApp et VCE, et rédige un livret blanc sur la sécurité informatique. New Cisco certification and awards for Telindus, and a program of Web conferences on its technological expertise on the Telindus e-novation tour. Page 3 FOCUS EXPERT EXPERT FOCUS Comment gérer les applications grand public dans l entreprise? How should consumer applications be managed within the company? Pages 4 et 5 Une cyberattaque dévoilée. A cyber attack revealed. Pages 6 et 7 TENDANCES TRENDS Stratégie et pilotage du cloud computing. Cloud computing strategy and management. Pages 8 et 9 Les serveurs Cisco UCS dans votre Data Center. Cisco UCS servers in your Data Center. Page 10 DOSSIER Pages 11 à 18 Le SOC au cœur de la démarche de cyberdéfense SOC at the heart of our cyber Pages defense 9 à 18 policy PARTENAIRES PARTNERS Tufin donne aux DSI la possibilité d automatiser les opérations de modifications sur les réseaux. Tufin gives ISDs the possibility of automating change operations on network. Page 19 Extreme Networks propose des solutions qui couvrent l ensemble des besoins des entreprises. Extreme Networks provides solutions covering all business needs. Page 20 Check Point vous informe des risques sur les réseaux SCADA. Check Point warns about the risks on SCADA networks. Page 21 RÉALISATION CLIENT CUSTOMER ACHIEVEMENT La mairie de Lille a fait appel à Telindus pour concevoir son Data Center. The city of Lille worked with Telindus to design its Data Center. Pages 22 et 23 Business Connect - n 24 - Novembre 2014 Édité par Telindus 12 avenue de l Océanie Z.A. Courtaboeuf Les Ulis - France - Tél. : Directeur de la publication : Guillaume Duny. Comité de rédaction : Franz Caille, Noël Chazotte, Clément Favier, Frédéric Hélias, Julia Kusowska, Pascal Law Lee, Danièle Lepeltier-Parrot, Christophe Leroy, Nicolas Leseur, Valentin Mallet, Btissem Moumen, Florence Nollet-Le Noan, Julie Osselin, Sébastien Penel Gestion éditoriale et conception graphique : 1000ans Communication, 8 avenue du Parc Courbevoie Impression : Prisme Graphique, 176 av. Charles-de-Gaulle Neuilly-sur-Seine. Le contenu d un article n engage que son auteur - Telindus est une marque déposée. Photographies : Augustin Détienne p.2 Fotolia : everythingpossible p.1 Andrea Danti p.6 emieldelange p. 7 vege p.17

3 Telindus France Novembre 2014 Business Connect n 24 ACTUALITÉS << 3 Missions sécurité et convergence des infrastructures pour Telindus LA CONVERGENCE DES INFRASTRUCTURES IT 3 étapes clés pour accompagner ses clients Telindus annonce l obtention de 3 certifications qui font son unicité sur le marché français du Data Center : avec Cisco : unique intégrateur français autorisé à faire la maintenance en propre (niveaux 2 et 3) sur les serveurs UCS ; avec NetApp : parmi les quelques acteurs français réalisant le support en propre (niveaux 2 et 3) sur la gamme NetApp (certification SSC) ; avec VCE : obtention du plus haut niveau de partenariat disponible en France (Partenariat Silver). Ces certifications complétées par son partenariat avec VMware, Cisco, NetApp, EMC et VCE font de Telindus un acteur unique pouvant adresser l intégration et le support des solutions convergées (FlexPod, VSPEX et vblock). Le premier défi pour Telindus a été d anticiper l émergence de l hyperconvergence en introduisant Nutanix parmi les alternatives possibles. Son second défi a été de permettre que la conception et le maintien en conditions opérationnelles des infrastructures Data Center deviennent accessibles. Les clients de Telindus bénéficient de fait d un accompagnement sur-mesure couplant une méthodologie opérationnelle simple, un point d entrée unique et un support haut de gamme. «Notre valeur ajoutée se définit par notre capacité à permettre à nos clients de se concentrer sur leur cœur de métier en leur apportant de l expérience, de la qualité d exécution, de la Sécurité et en étoffant continuellement nos services pour simplifier les tâches d exploitation et de maintenance de nos clients», précise Julien Mirenayat, Directeur Marketing Sécurité, Virtualisation et Stockage chez Telindus. CYBERDÉFENSE Sommes-nous prêts pour la bataille? Telindus présente un livret blanc sur la sécurité informatique et témoigne d un retour d expérience acquise sur une multitude de projets de sécurité. Emmanuel Kapferer, Directeur BU Sécurité, Virtualisation et Stockage rappelle : «Les attaques et violations de données réussissent et font d ailleurs régulièrement la une des médias. Voilà qui doit inciter les DSI et les Directions Générales à comprendre que leur entreprise est une cible potentielle, et que d ailleurs, l ennemi est peut-être déjà dans la place. C est cet état d esprit que ce livre blanc veut mettre en exergue, car c est cette prise de conscience qui permettra de déployer une cyberdéfense formée et informée face aux dangers.» USD 500 milliards le montant estimé des dépenses des entreprises mondiales liées au malware : 127 milliards pour gérer les problèmes de sécurité et 364 milliards pour gérer les violations de données. Étude Microsoft / IDC % la part des entreprises dans le monde ayant détecté au moins un bot en Rapport de sécurité 2014 de Check Point Software 88 % la part des entreprises mondiales ayant subi au moins un incident de fuite de données. Rapport de sécurité 2014 Check Point 122 le nombre d'attaques réussies subies par les entreprises dans le monde en 2013, + 18% par rapport à Ponemon Institute 2013 Cost of Cybercrime Security 7 millions de victimes de la cybercriminalité en un an en France pour un coût évalué à 735 millions d euros. usine-digitale.fr /3 la part des entreprises hexagonales déclarant avoir déjà subi un acte frauduleux de plus de dollars, contre près d'une entreprise sur deux au niveau mondial. Étude PwC ,86 millions d le coût total moyen d'un détournement de données pour une société française en Ponemon Institute 2013 Cost of Data Breach LES PLUS DES ÉQUIPES TELINDUS Proactivité, réactivité, disponibilité 24/ tickets gérés par le centre de support TSC de Telindus. 15 % des incidents escaladés chez l éditeur après intervention de niveau 3 des experts Telindus. 55% des entreprises françaises ont déclaré au moins un cas de cyberattaque en 2013, contre 29% en Étude PwC la cybercriminalité est dorénavant le deuxième type de fraude le plus signalé en France derrière le vol d'actifs. Étude PwC 2013 Infrastructure security and convergence missions for Telindus IT infrastructure convergence 3 key steps to support customers Telindus has announced the award of three certifications making it a unique player on the French Data Center market: with Cisco: only French integrator authorized to perform maintenance (level 2 and 3) on UCS servers itself with NetApp: among the few French players personally providing support (level 2 and 3) on the NetApp line (certification SSC) with VCE: obtained the highest level of partnership available in France (Silver Partnership). These certifications, supplemented by its partnership with VMware, Cisco, NetApp, EMC, and VCE, make Telindus the only company able to handle both the integration and support of converged solutions (FlexPod, VSPEX, and Vblock). Telindus s first challenge was to anticipate the emergence of hyperconvergence by introducing Nutanix among the possible alternatives. Its second challenge was to allow Data Center infrastructure design and operational maintenance to become accessible. Telindus s customers therefore benefit from a tailor-made solution combining simple operational methodology, a single input, and superior support. «Our added value is defined by our ability to allow our customers to focus on their core business by providing experience, quality of performance, Security, and continually developing our services to simplify our customers operations and maintenance», said Julien Mirenayat, Marketing Director of Security, Virtualization and Storage at Telindus. Cyber defense Are we ready for battle? Telindus has presented a white paper on information security based on experience acquired over a number of security projects. Emmanuel Kapferer, Director of the Security, Virtualization, and Storage BU recalled, Attacks and data breaches are successful and are also regularly in the headlines. This should encourage ISDs and Senior Managements to understand that their business is a potential target and that the enemy could already be at work. It is this spirit that this paper wants to highlight because a trained and informed cyber defense can only be deployed in the face of danger through awareness.» TELINDUS TEAM PLUS POINTS Proactive, reactive, available 24/7. 10,000 tickets managed by Telindus s TSC support center. 15% of incidents forwarded on to the publisher following level 3 intervention by Telindus experts.

4 4 >> FOCUS EXPERT Business Connect n 24 Novembre 2014 Telindus France Comment gérer l explosion d applicatio L essor des solutions de Collaboration grand public, couplé à un taux d adoption bien plus rapide que par le passé, creuse un peu plus le fossé entre l expérience utilisateur apportée par ces solutions et celle fournie par les applications proposées au sein de l entreprise. Se pose alors la question de leur gestion. Désormais, il n est pas rare pour un collaborateur d utiliser des applications grand public dans sa sphère professionnelle, d autant plus si le service IT ne lui propose pas de solution équivalente en interne. Positionnement ambigu des éditeurs constructeurs Le rachat de Skype par Microsoft, l utilisation de Google comme messagerie d entreprise, l utilisation du smartphone comme téléphone principal alimentent ce doute dans l esprit des collaborateurs. Toutes ces évolutions ne simplifient pas la tâche des équipes IT qui s efforcent de contrôler les applications utilisées pour des raisons évidentes de sécurité et d intégrité des données. Communiquer, un besoin essentiel pour les collaborateurs Les différentes études du marché révèlent que 69 % des Français utilisent dans le cadre professionnel des applications grand public. Parmi eux, 81 % les utilisent à une fréquence équivalente à 15 % de leur temps professionnel. Si historiquement, ces applications étaient principalement associées à une utilisation personnelle, de nombreuses entités métier utilisent désormais ces outils à des fins professionnelles : recrutement pour les équipes RH ; 90 % Consumer or individual services used for work 49 % 41 % 79 % File-sharing and collaboration tools 49 % 30 % 57 % Enterprisefocused social networking tools 34 % 23 % Source : 2014 Consumerization of IT in the Enterprise, IDG Enterprise relation avec les fournisseurs pour les services achats ; relation clients pour les centres de contacts échanges avec les partenaires ; Cette démarche traduit un fort besoin de communiquer. L étude 2014 d InformationWeek montre que les communications internes et externes arrivent en tête des attentes justifiant la mise en place d une solution de Collaboration d entreprise. Bien que les entreprises soient conscientes de la nécessité de disposer d une solution de Collaboration performante, les contraintes budgétaires et les cycles de décision relativement longs sont des freins au déploiement d une solution de Collaboration d entreprise. 53 % CRM and customer service 41 % 12 % 42 % Talent and human capital management 27 % 15 % With IT Approval 40 % Financial management 26 % 14 % Without IT Approval 17 % Other cloud services 13 % 4 % Les outils grand public devenus indispensables en entreprise L étude 2014 d IDG démontre que les collaborateurs utilisent des applications grand public sans l accord des équipes IT. (voir infographie ci-dessus). Dès lors, trois alternatives sont possibles : les applications grand public sont purement et simplement interdites et bloquées par l IT ; l IT décide d autoriser les applications en étant conscient des risques induits ; une réflexion globale est lancée pour fournir une solution en interne qui se substituera aux applications grand public. Néanmoins, même lorsque l entreprise dispose d une solution en interne, l adoption par les collaborateurs n est pas toujours au rendez-vous. Comment réagir à cette prolifération d applications grand public? Il est primordial d impliquer les collaborateurs dans le choix d une solution de Collaboration afin de s assurer que cette dernière répondra How should the explosion of consumer application use in companies be managed? The boom in consumer Collaboration solutions, coupled with a much faster adoption rate than before, has increased the divide between the user experience provided by these solutions and that provided by proposed applications within companies. This raises the question of their management. These days, it is not uncommon for an employee to use consumer applications in their professional lives, especially if the IT department does not offer them an equivalent solution internally. Ambiguous publisher-manufacturer positioning Microsoft s acquisition of Skype, use of Google as a corporate , and the use of smartphones as the main phone breeds doubt in the minds of employees. All these developments do not simplify the task of IT teams which are trying to control the applications used for obvious reasons of security and data integrity. Communication, an essential need for employees The various market studies show that 69% of French people use consumer applications in a professional context; 81% of which use them at a frequency equivalent to 15% of their professional time. Although these applications were historically primarily associated with personal use, many business entities now use these tools for business purposes: recruitment for HR teams supplier relationships for purchasing departments customer relationships for contact centers interactions with partners This initiative reflects a strong need to communicate. InformationWeek s 2014 study showed that internal and external communications top expectations justifying the implementation of a corporate Collaboration solution. Although companies are aware of the need for a effective collaboration solution, budgetary constraints and relatively long decision cycles are obstacles to the deployment of corporate Collaboration solutions. Consumer tools have become essential in companies IDG s 2014 study showed that employees use consumer applications without the approval of IT teams. (see graphics above). Three alternatives are now possible: The IT Department simply bans and blocks consumer applications The IT Department decides to authorize applications despite the risk this entails General reflection is initiated to provide the company with a solution that replaces consumer applications. However, even when the company has implemented a business solution, it is not always certain that it will be adopted by employees.

5 Telindus France Novembre 2014 Business Connect n 24 FOCUS EXPERT << 5 ns grand public dans l entreprise? à leurs attentes et sera ainsi une réelle alternative aux solutions grand public. Plusieurs grandes tendances se dessinent pour les années à venir, il est donc essentiel pour les équipes IT d anticiper ces évolutions en définissant une stratégie UC globale des Communications Unifiées qui permet de : démontrer que les besoins des collaborateurs sont bien pris en compte ; donner de la visibilité sur la disposition de nouveaux outils de communication ; identifier des nouveaux modes de communication avec ses clients pour développer de nouvelles offres ; faire les bons choix technologiques ; susciter l envie chez les collaborateurs ; reprendre le contrôle sur l utilisation des applications de Collaboration (WebEx). Clients de collaboration d'entreprise user@alpha.com Serveur de collaboration d'entreprise Assurer l interopérabilité entre les applications d entreprise et les solutions grand public Le développement de la relation B2C est en plein essor grâce aux nouveaux médias disponibles. Ainsi il n est pas rare qu une discussion entre un collaborateur et un client final soit initiée par : le biais d un échange «Instant Messaging» ; une demande de rappel depuis un navigateur web ; un appel vidéo initié grâce à une solution grand public. Afin de permettre ce type d échanges, il est donc nécessaire de déployer une solution de Collaboration qui pourra communiquer avec les applications grand public et ainsi favoriser ce type d échanges : Cisco Jabber ; Microsoft Lync ; Passerelle Federation Public Network Service de présence et de conversations instantanées Cisco Cisco Webex Jabber Google AOL IBM Microsoft user@gamma.com Approche globale Web-RTC avec des partenaires tels qu Oracle. Ce type d interconnexion permet de répondre aux demandes des collaborateurs tout en apportant une solution gérée par l équipe IT. n sébastien penel, marketing collaboration - bu collaboration et réseau L APPROCHE ITAAS, ALLIÉE DES ÉQUIPES IT Dès lors que l utilisation d applications grand public est légitime, le challenge pour l équipe IT sera de fournir une solution d entreprise dans le délai le plus court possible. En effet, comme présentés précédemment, les nouveaux médias de communication sont rapidement adoptés, mais ont également une durée de vie limitée. L approche UCaaS permet aux équipes IT de mettre à disposition des applications de Collaboration dans un délai très court en proposant un haut niveau de flexibilité. Le besoin de flexibilité reste d ailleurs la première raison du passage au Cloud (63 %), devant la volonté de réduire les coûts (56 %) et le développement de produits, solutions ou démarches innovantes (41 %) (Source : PAC CloudIndex juin 2014). La consommation d applications de Collaboration en mode As a Service permet également de : gérer la montée en charge de l utilisation du service ; contrôler la consommation du service pour limiter les coûts ; réduire les investissements. How should this proliferation of consumer applications be dealt with? It is essential to involve employees in the choice of a Collaboration solution to ensure that it meets their expectations and making it a real alternative to consumer solutions. Several major trends are emerging for the years to come; it is therefore essential for IT teams to anticipate these changes by defining a global Unified Communications strategy to: show that employee needs have been taken into consideration give visibility to the provision of new communication tools identify new ways of communicating with customers to develop new products make the right technology choices appeal to employees regain control over the use of Collaboration applications (WebEx). Ensure interoperability between business applications and consumer solutions The development of B2C relationships is booming thanks to the new media available. It is therefore fairly common for a discussion between an employee and an end-customer to be initiated: through Instant Messaging by a callback request from a web browser, by a video call initiated using a consumer solution To allow this type of exchange, a Collaboration solution that can communicate with consumer applications thereby promoting such exchanges needs to be deployed: Cisco Jabber Microsoft Lync Comprehensive Web-RTC approach with partners such as Oracle. Such interconnectivity can meet the demands of employees while providing a solution managed by the IT team. THE ITAAS APPROACH, AN IT TEAM ALLY Once the use of consumer applications is legitimized, the challenge for IT teams will be to provide a business solution as quickly as possible. Indeed, as mentioned earlier, new communication media are quickly adopted but also have a limited shelf life. The UCaaS approach allows IT teams to provide Collaboration applications in a very short time-frame by offering a high level of flexibility. The need for flexibility also remains the primary reason for the shift to Cloud (63%), followed by the desire to reduce costs (56%) and the development of products, solutions, and innovative approaches (41%) (Source: PAC CloudIndex June 2014). Use of Collaboration application in As a service mode also helps: manage the increase in the use of the service control consumption of the service to limit costs reduce investments. sébastien penel, marketing collaboration - collaboration and network bu

6 6 >> FOCUS EXPERT Business Connect n 24 Novembre 2014 Telindus France Plongée au cœur d une cyberattaque Le contexte des menaces informatiques a beaucoup évolué ces dernières années et les attaques de masse ont laissé place à des attaques ciblées, dont le mode opératoire est beaucoup plus complexe. Retour sur l anatomie d une attaque. Nous vous proposons, dans cet article, d aborder sous la forme d un exemple, l anatomie d une attaque utilisant la méthode de «spear phishing» pour pénétrer le Système d Information d une entreprise. Même si ce cas est de pure fiction, beaucoup d attaques sont ou ont été très similaires dans le mode opératoire, et la stratégie des cyberattaquants est souvent payante. La cible Créons, pour notre scénario, une société commerciale, World Company, leader sur son marché, qui vend des solutions à d autres entreprises dans un secteur très spécifique et sur un marché international très concurrentiel. La valeur de cette entreprise est son savoirfaire, mais surtout sa base clients. C est ce que les cyberattaquants vont chercher à atteindre, mandatés par une société concurrente d un pays émergent. Le mode opératoire de l attaque et les codes malicieux pour pénétrer le Système d Information vont donc être développés spécifiquement pour cette cible. Développer des codes malicieux spécifiques pour une cible déterminée Le premier travail des cyberattaquants va être d étudier la cible Première phase : connaître la cible pour mieux l atteindre Le premier travail des cyberattaquants va être d étudier la cible : l activité de l entreprise, ses positions géographiques, son organisation et finalement ses employés afin de sélectionner les «candidats» propices, c est-à-dire ceux pouvant accéder aux données convoitées. Les techniques de «social engineering» permettent d obtenir un grand nombre d informations sur les employés ciblés : rôle dans l entreprise, relations professionnelles, centres d intérêt, carrière C est ainsi que John Doe est sélectionné pour être le point d entrée des premières phases de l attaque. Ingénieur commercial, il a donc accès à la base clients ainsi qu aux données regroupant tout ce qui a été vendu aux clients de son entreprise avec les tarifs, les marges, les taux de remise John Doe fait régulièrement du golf avec d anciens collègues. Il est dans la société depuis quelques années et aimerait la quitter en espérant donner un coup de pouce à sa carrière. Les cyberattaquants vont alors envoyer un mail à Doe en usurpant l identité d un de ses partenaires de golf. Cet propose à Doe de se connecter sur le site d un cabinet de recrutement pour réaliser un test d aptitude. Plunge into the heart of a cyber attack The context of IT threats have evolved significantly in recent years and mass attacks have given way to targeted attacks with a much more complex mode of operation. Review of the anatomy of an attack. In this article, we propose to address, by way of example, the anatomy of an attack using the «spear phishing» method to hack into a company s Information System. Although this case is purely fictitious, many attacks use or used a very similar method and the strategy of cyber attackers often pays. Target Let us create, for the purposes of our scenario, a commercial company called World Company which is the market leader in the sale of solutions to other companies in a very specific sector and on a highly competitive international market. This company s value lies in its expertise and especially its customer base. This is what the cyber attackers have been mandated to look for by a rival company from an emerging country. The attack s method and malicious codes used to hack into the Information System will be developed specifically for this target. Phase 1: better understand the target to better reach it Cyber attackers will begin by studying the target: the company s activity, its geographical position, its organization... and finally its employees to select potential «candidates», i.e. employees who can access the desired data. Social engineering techniques obtain a lot of information on targeted employees: role in the business, professional relations, interests, career,etc. This is how John Doe is selected to be the point of entry for the initial stages of the attack. As a sales engineer he has access to the customer base and other data listing everything sold to his company s customers with prices, margins, discount rates, etc. John Doe regularly plays golf with former colleagues. He has been working for the company for several years and would like to leave in the hope of boosting his career. The cyber attackers will therefore send him an impersonating one of his golfing partners. This will suggest that Doe goes on a recruitment agency s website and do its aptitude test. John is not suspicious as he knows the sender and so clicks on the link. The website, which has been built for the purposes of the attack, asks him to download a small application to be able to take the test. Our engineer runs the file which produces an error message indicating that it cannot run on his workstation. For him, the story ends there. He does not see what is really going on on his workstation and does not realize that he has just inadvertently opened a breach in his company s Information System security. Doe will not call IT support to report the failure of an application that he should not have been trying to use at work in the first place! Phase 2: taking control and infiltration You guessed it. The application that has been downloaded and run is a malware that will silently act on the workstation: this

7 Telindus France Novembre 2014 Business Connect n 24 FOCUS EXPERT << 7 Obtenir des informations confidentielles sans éveiller de soupçons John connaît l expéditeur du mail et donc ne se méfie pas, et clique alors sur le lien. Le site, construit pour les besoins de l attaque, lui propose de télécharger une petite application pour réaliser ce test. Notre ingénieur exécute le fichier qui lui retourne un message d erreur indiquant qu il ne peut pas fonctionner sur son poste de travail. Pour lui, cela ne va pas plus loin. Il ne voit malheureusement pas ce qu il se passe sur son poste de travail, et ne se rend pas compte qu il vient d ouvrir malgré lui une brèche dans le Système d Information de son entreprise. Doe ne va pas non plus faire appel au support informatique de sa société pour signaler qu une application qu il n aurait pas dû utiliser au travail n a pas fonctionné! Deuxième phase : prise de contrôle et infiltration Vous l aurez deviné, l application téléchargée et exécutée est un «malware» qui va agir silencieusement sur le poste de travail ; on parle alors d attaques furtives. Ce code forgé spécifiquement pour l attaque est unique, il ne sera donc pas détecté par les outils de sécurité dont la reconnaissance est basée sur des signatures (antivirus par exemple). Ce «malware» va dans un premier temps ouvrir un canal de communication chiffré pour joindre le serveur C&C (command and control) des attaquants. Cela va leur permettre de prendre la main sur le poste de travail et de télécharger d autres codes utilisant des vulnérabilités 0-day, pour usurper ou utiliser les droits de Doe et pour se propager dans le Système d Information à la recherche des données convoitées. Le ou les «malwares» pourront éventuellement se répandre sur d autres postes de travail pour faciliter la recherche et scanner les différents lecteurs réseaux qui hébergent les données de l entreprise. Cette phase peut prendre plusieurs mois, le temps d atteindre le but recherché, de manière silencieuse en restant sous les radars des systèmes de sécurité traditionnels (low and slow). Dernière phase : exfiltration Une fois le ou les fichiers identifiés, ils vont alors être «uploadés» vers les serveurs des cybercriminels. Étant donné que nous parlons de fichiers de quelques mégaoctets, ce flux chiffré va encore une fois passer inaperçu. L histoire se termine dans la majorité des cas par l effacement de toutes les traces et l autodestruction des codes malveillants utilisés. L entreprise victime ne se rendra sûrement pas compte qu elle a subi un vol de données. Film catastrophe Face à un tel scénario, finalement très simple dans le mode opératoire (mais pas dans les techniques employées), on pourrait croire qu il n y a pas vraiment de solutions pour éviter une attaque de ce type. En réalité, le risque zéro LE RISQUE ZÉRO N EXISTE PAS et il est possible de se préparer pour faire face à ce type de menaces. n existe pas, il est possible de se préparer pour faire face à ce type de menaces. Étant donné que les cyberattaquants vont cibler les données ou biens essentiels à l activité de l entreprise, la stratégie de sécurité doit se focaliser sur ces éléments. Les solutions autour de la sécurité des données peuvent aider les entreprises à prendre des mesures préventives pour protéger ce qui doit l être. La sensibilisation des utilisateurs va aussi pouvoir permettre de contrer les premières phases d une attaque comme celle que nous avons décrite. Doe n aurait peut-être pas cliqué sur le lien dans le mail qu il a reçu s il avait regardé un peu plus en détail. Il se serait alors rendu compte que le nom de son interlocuteur ne correspondait pas à son adresse habituelle. Il aurait alors pu alerter son RSSI. De plus, il est fortement déconseillé de lancer un fichier exécutable sur son poste de travail si l on n en connaît pas la nature exacte. Les éditeurs de sécurité sont au fait de ce type de menaces. Il existe donc de nouvelles solutions permettant, via une analyse en environnement sécurisé et maîtrisé, de tester l impact d un code supposé malicieux. Il est alors possible d investiguer pour rechercher les traces de ces «malwares» sur le Système d Information et de les bloquer. n nicolas leseur, marketing et innovation - bu sécurité, virtualisation, stockage is called a stealth attack. This code, which has been specifically developed for the attack, is unique and will therefore not be detected by security tools which use signature-based recognition (e.g. antivirus). This malware will initially open an encrypted communication channel to reach the attackers C&C (command and control) server. This will enable them to take control of the workstation and download additional codes using 0-day vulnerabilities to steal or use Doe s rights and propagate through the information system looking for the coveted data. The malware could spread to other workstations to make searching and scanning the various network drives that host the company s data easier. It can take several months to reach the target, silently keeping below the radar of conventional security systems (low and slow). Final phase: exfiltration Once the file(s) are identified, they will be uploaded to the cyber criminals servers. As we are talking about a few megabytes of files, this encrypted stream will again go unnoticed. The story generally ends with the erasing of all traces and the selfdestruction of the malicious codes used. The company will not even notice that it has been robbed. Disaster movie! Faced with this type of scenario, which actually has a very simple methodology (but not the techniques used), it seems like there really is no solution to prevent this type of attack. In reality, even if the zero risk does not exist, it is possible to prepare your company to deal with such threats. As cyber attackers target critical data or assets, the company s security policy should focus on these. Solutions for data security can help companies to take preventive measures to protect what needs to be protected. User awareness also helps counter the early stages of an attack like the one we described. Doe might have not clicked on the link in the he received if he had looked at it a bit more closely. He would have then noticed that the address was not his friend s usual . He could have alerted the CISO. In addition, it is not advisable to run an executable file on your workstation if you do not know its exact nature. Security software developers are aware of this type of threat. So there are new solutions, via an analysis in a secure and controlled environment, to test the impact of an alleged malicious code. It is then possible to investigate and search for traces of the malware on the Information System and block it. nicolas leseur, marketing and innovation - security, virtualization, storage bu Develop specific malicious codes for an identified target. Cyber attackers will begin by studying the target. Obtain confidential information without awakening suspicions. Zero risk does not exist and it is possible to prepare yourself to deal with this type of threat.

8 8 >> TENDANCES Business Connect n 24 Novembre 2014 Telindus France Le cloud computing en France, d un choix Selon le cabinet Markess International, le marché français du cloud computing, tous segments confondus, devrait bondir de 2,2 milliards d euros en 2012 à 4,1 milliards d euros en 2014, dont 1,8 milliard d euros pour le logiciel à la demande SaaS (Software as a Service). Les entreprises doivent dorénavant se structurer pour élaborer leur stratégie d externalisation et pour piloter ces nouveaux services. Le fait de consommer une ressource IT sous la forme d un service (cloud computing) est maintenant une alternative envisagée par une majorité d entreprises en France. Les offres de cloud computing disponibles sur le marché se diversifient : du Software as a Service, (par exemple les Communications Unifiées), en passant par de l Infrastructure as a Service (ressources de computing), pour atteindre des couches plus basses telles que le Storage as a Service, et même le Network as a Service (comme les services de WiFi). Cloud computing : opportunisme ou stratégie? Si le choix d un nouveau mode de consommation n est pas sans impact sur les structures budgétaires ou encore organisationnelles de la DSI, l étude menée par PAC cloudindex en décembre 2013 indique que seulement 13 % des entreprises françaises définissent une stratégie autour du cloud répondant aux points suivants : quels sont les services IT à basculer en cloud? Selon quelle priorité? Dans quel délai? Quels sont les critères de choix des prestataires? Malgré les évolutions rapides du secteur, la progression de ce marché provient donc en majorité de choix opportunistes de la part des entreprises. Qui sont les sponsors de la stratégie cloud? Le graphique suivant montre que, au-delà de la DSI, l ensemble des instances dirigeantes, et Comex 3 % BU/Métiers 3 % Source : PAC cloudindex, décembre 2013 DAF 3 % PDG 30 % Autres 7 % DSI 54 % particulièrement la Direction Générale, sont impliquées dès lors qu une démarche structurée est engagée. En complément, dès lors que la stratégie est définie, sa mise en œuvre est confiée dans 86 % des cas à la Direction des Systèmes d Information. Cloud computing : opportunités et freins Quelles sont les motivations des entreprises françaises à la consommation du cloud? Parce que les DSI sont de plus en plus parties prenantes de l activité commerciale ou sociale des sociétés, le cloud leur permet d accéder à une flexibilité de consommation permettant de s adapter aux mouvements et changements d activité. Ainsi, les promesses de facturation à la demande payer uniquement ce qui est consommé (Pay as You Use), répondent particulièrement à ces besoins. Au-delà de la consommation au quotidien, ce qui est recherché dans le «as a Service» est aussi la réduction du Time To Market (TTM), par exemple pour le lancement de nouvelles applications métiers. Ainsi le cloud fournit immédiatement du computing pour les environnements de tests ou de développements, ou encore de la ressource de débordement pour accompagner la montée en charge d une nouvelle application. Il fournit par ailleurs un catalogue de services pré-définis permettant aussi aux Directions Informatiques de gagner énormément de temps dans la définition et la structuration des services. Quels sont les points de vigilance des entreprises françaises vis-à-vis du cloud? S il convient de distinguer les différentes approches du cloud (privé, public et combinaisons), la problématique de la sécurité est clairement un sujet à adresser dans le nuage. Ainsi, les questions de politiques de sécurité d accès aux Data Centers, d audits des installations, de processus de réversibilité doivent être exprimées par le prestataire fournisseur de service, sans équivoque. La localisation des données ainsi que le siège social du fournisseur sont deux critères prépondérants dans le choix du prestataire. Il n est pas forcément évident d obtenir explicitement ces informations dans Cloud computing in France; a strategic choice in overall management According to Markess International, the French cloud computing market, across all segments, is expected to jump from 2.2 billion Euros in 2012 to 4.1 billion Euros in 2014, of which 1.8 billion Euros will be for SaaS (Software as a Service). Companies now need to be structured to develop their outsourcing strategy and manage these new services. Consuming an IT resource as a service (cloud computing) is now being considered as an alternative by a majority of French companies. Cloud computing offerings available on the market are diversifying: Software as a Service (e.g. Unified Communications), including Infrastructure as a Service (computing resources) down to lower levels such as Storage as a Service and even Network as a Service (such as Wifi services). Cloud computing: opportunism or strategy? While the choice of a new mode of consumption is not without impact on ISD budgets or organizational structures, the study by PAC cloudindex in December 2013 showed that only 13% of French companies define a cloud strategy that meets the following: what are the IT services to switch to cloud? According to what priority? In what time-frame? What are the criteria for selecting service providers? Despite rapid changes in the industry, the growth of this market is mainly derived from opportunistic choices by companies. Who are cloud strategy sponsors? The following graph shows that, beyond the ISD, all governing bodies and especially the senior management are involved when a structured approach is taken. In addition, once the strategy is defined, its implementation is entrusted to the Information System Department in 86% of cases. Cloud computing: Opportunities and obstacles What are the motivations of French companies in using the cloud? Because ISDs are increasingly involved in the sales and HR activities of their company, the cloud provides them with consumption flexibility to adapt to movement and changes in activity. The promise of on-demand billing (Pay as You Use) specifically meets some of these needs. Beyond daily consumption, reducing the Time To Market (TTM), such as the launch of new business applications, is sought in the «as a Service». The cloud immediately provides computing for testing or development environments and can be an overflow resource to support the ramp-up of a new application. It also provides a range of pre-defined services allowing IT departments to save a significant amount of time in defining and structuring services. What points should French companies watch out for regarding the cloud? While the different approaches to the cloud (private cloud, public cloud, and combinations) should be distinguished, security is clearly an issue to be addressed in the cloud. Therefore, issues regarding Data Center access security policies,

9 Telindus France Novembre 2014 Business Connect n 24 TENDANCES << 9 stratégique au pilotage global les offres de types cloud public mutualisées. Les autres principaux points de vigilance dénotent des premiers retours d expérience des entreprises dans l implémentation du «as a Service», à savoir la capacité d adaptation des solutions proposées aux métiers propres de chaque entreprise, ainsi que la gestion de la phase de transition. On note une tendance à une demande de «sur-mesure» autour du cloud, particulièrement pour le segment des Grands Comptes. Cette «customisation» est attendue dans la définition du catalogue (intégrant un service en partie personnalisé), dans la phase de contractualisation (avec une attente sur des SLA personnalisés), et enfin dans l intégration aux applications en place sur le Système d Information de l entreprise. La capacité à répondre à ces points sera aussi un facteur important dans le choix du fournisseur du service. Cloud «hybride» et orchestration La phase de transition d un service IT d un modèle «on-premise», hébergé sur le SI client et exploité en interne, vers un modèle cloud est un point majeur dès lors que le modèle cible est entériné par l entreprise. Cette phase peut s avérer assez courte ou au contraire très longue. Elle dépend notamment : du périmètre de service/utilisateurs migré vers le cloud ; SEULEMENT 13 % des entreprises françaises définissent une stratégie autour du cloud Office Headquarter des amortissements des infrastructures actuelles ; du planning de migration ; de la maturité des offres disponibles ; de la capacité de fournisseur de service à interconnecter sa solution à l infrastructure existante. Une entreprise désirant migrer un service vers le cloud devra donc gérer une situation de cohabitation temporaire ou pérenne de ces environnements. On peut parler alors de cloud «hybride». Le schéma suivant illustre typiquement un service de Communications Unifiées délivré par des modèles et prestataires différents selon le site, les fonctionnalités, les populations d utilisateurs. L élément prépondérant à prendre en compte par les Directions Informatiques, responsables du service global après des entités métiers, devient donc le pilotage global et cohérent de l ensemble. Public Cloud UCaaS Provider Legacy architecture HomeworkerH Android Mobile Worker S il convient de bien évaluer, lors du choix, l outil qui sera mis à disposition pour piloter une solution cloud, généralement un portail pour les gestionnaires du service, on note une évolution des solutions disponibles pour permettre d «orchestrer» de manière homogène un service consommé pour partie sur le SI interne et sur une infrastructure cloud. Les développements les plus avancés se situent notamment sur les offres de type IaaS. Ils permettront à terme de pouvoir définir et piloter un ensemble de ressources informatiques, partagées entre les Data Centers privés des entreprises et les ressources cloud public, utilisables de manière transparente par les entités métiers pour le développement de nouvelles applications. n valentin mallet, directeur marketing collaboration et réseau 1 infrastructure audits, and reversibility processes should be unequivocally addressed by the service provider. The location of data and the supplier s registered offices are two paramount considerations in the choice of provider but it is not always easy to obtain this information in shared public cloud offers. Other major points to watch out for relate to initial feedback by companies on the implementation of the «as a Service», namely the adaptability of the proposed solutions for each company s business and the management of the transition phase. There is a tendency for «customization» around the cloud, especially in the Key Account segment. This «customization» is expected when defining the catalogue (including a partially customized service) in the contracting phase (with an expectation on customized SLAs) and in the integration with existing applications on the company s Information System. The ability to respond to these points will also weigh heavily in the choice of service provider. Hybrid cloud and orchestration The transition phase of an IT department with an «on-premise» model, hosted on the customer s IS and operated in-house, to a cloud model is a major issue when the target model is endorsed by the company. This phase can be either fairly short or rather long. In particular, it depends on: the scope of the services / users migrated to the cloud the amortization costs of the existing infrastructure the migration schedule the maturity of available offers the service provider s ability to interconnect its solution to the existing infrastructure A company wishing to migrate a service to the cloud will therefore have to manage a situation of temporary or permanent cohabitation of these environments. This is what is called the hybrid cloud. The following diagram illustrates a typical Unified Communications service provided by different models and providers depending on the site, functionality, and user population. The main element that needs to be considered by IT departments in charge of the overall provision of services to business entities is therefore the global and coherent management of the entire system. Although the tool which will be implemented to managed a cloud solution needs to be properly assessed when chosen (usually a portal for department managers), solutions to homogeneously «orchestrate» services consumed partly on an internal IS and partly on a cloud infrastructure are developing. IaaS offerings have developed the most and they will eventually be able to define and manage a set of computing resources shared between private corporate Data Centers and public cloud resources used transparently by business entities to develop new applications. Valentin Mallet, Collaboration and Network Marking Director Only 13% of French companies define a cloud strategy

10 10 >> TENDANCES Business Connect n 24 Novembre 2014 Telindus France Telindus met les serveurs Cisco UCS au cœur de votre Data Center L approche Data Center de Telindus permet aux entreprises de bénéficier d un centre de données performant, sécurisé et optimisé grâce à un catalogue de services innovants. Acteur majeur dans les technologies de l information et des communications, Telindus concentre son expertise technologique dans les domaines du Data Center, du réseau, de la sécurité et de la collaboration pour répondre au mieux aux besoins métiers de ses clients. Une stratégie pour vous permettre de tirer profit des innovations technologiques L approche globale des Data Centers comprend la capacité à concevoir l architecture, à intégrer les technologies et à les maintenir en condition opérationnelle. De plus, afin de répondre aux demandes des métiers en matière d outils de production, Telindus permet aux utilisateurs d orchestrer la mise à disposition des applications et la sécurité de l ensemble. Grâce à cette stratégie, Telindus ouvre la voie vers le cloud privé et hybride. Cette transition est facilitée pour les utilisateurs et la DSI par la mise en place d un portail d accès aux usages ainsi que d une large gamme de services. Les serveurs Cisco UCS, révélateurs d un choix technologique gagnant Telindus a saisi l opportunité offerte par UNE LARGE GAMME DE SERVICES POUR VOUS ACCOMPAGNER Pour vous accompagner dans l évolution de votre Data Center, une large gamme de services est offerte par Telindus, avec par exemple : audit de parc + plan schéma directeur pour accompagner la migration ; accompagnement pour la définition des architectures, ingénierie et règles de sécurité ; intégration dans l environnement serveurs, l offre Cisco UCS dès son lancement pour les bénéfices qu elle peut apporter à ses utilisateurs. Son écoute du marché et son expérience ont permis d apporter à ses clients «au plus tôt» performances et innovations. En effet, comme le montrent les études Gartner, Cisco est aujourd hui l un des leaders du marché mondial des serveurs (n 2 sur le marché des blades) et des systèmes intégrés. Une position clé avec Cisco dans le Data Center et les serveurs UCS Telindus est aujourd hui : le numéro 1 français du Data Center (réseaux + serveurs) et sécurité Cisco ; le numéro 2 français sur les serveurs Cisco UCS ; le 1 er et unique acteur français à réaliser un support sur les serveurs Cisco UCS ; le numéro 1 français de la sécurité avec Cisco ; le seul acteur du marché français à avoir le niveau de certification Silver VCE (plateformes convergées), le plus haut niveau en France. réseau, stockage, virtualisation et sécurité ; transfert de compétences ; gestion de stocks pour accélérer les délais d approvisionnement ; guichet unique pour le support du parc client. Support pratiqué en propre pour les partenaires clés de notre portfolio ; mise en œuvre de nos solutions sous forme d unités d œuvre. Telindus possède : une accréditation pour concevoir, déployer et maintenir des VSPEX et FlexPod (architectures convergées sur base Cisco UCS avec EMC² et NetApp). btissem moumen, marketing et innovation - sécurité, virtualisation, stockage ABILITY TO EXECUTE MAGIC QUADRANT FOR INTEGRATED SYSTEMS Huawei CHALLENGERS Teradata Unisys Vblock de VCE FlexPod avec Cisco et NetApp Fujitsu Hitachi Data Systems Cisco NetApp Dell LEADERS HP Nutanix SimpliVity VCE Oracle IBM NICHE-PLAYERS VISIONARIES COMPLETENESS OF VISION As of June 2014 Source : Gartner (Juin 2014) Telindus puts Cisco UCS servers at the heart of your Data Center Telindus s approach to Data Centers allows companies to benefit from an efficient, secure, and optimized data center thanks to a range of innovative services. As a major player in information technology and communications, Telindus focuses its technological expertise on Data Centers, networks, security, and Collaboration to best meet its customers business requirements. A strategy allowing you to benefit from technological innovations A comprehensive approach to Data Centers includes the ability to design their architecture, integrate technologies, and maintain them in operational condition. In addition, to meet business production tool requirements, Telindus allows users to orchestrate the availability of applications and overall security. Telindus opens the door to the private and hybrid cloud with this strategy. This transition is made easier for users and the ISD by establishing an access portal for usages and a wide range of services. Cisco UCS services representative of a winning technological choice Telindus seized the opportunity offered by Cisco UCS s offer as soon as it was launched for the benefits it can bring to users. Its attention to the market and experience helped provide its customers the best of innovations as early as possible. Indeed, as shown by Gartner studies, Cisco is now one of the leaders on the server (no. 2 worldwide on the blades market) and integrated systems market. A key position with Cisco in Data Center and UCS servers Telindus is currently: French Data Center (networks + servers) and Cisco security market leader Number 2 French market leader on Cisco UCS servers Market leader and only French player to provide Cisco UCS server support French security market leader with Cisco The only French market player to have Silver VCE certification (converged platforms), which is the highest level awarded in France; Telindus holds: Certifications to design, deploy, and maintain VSPEX and FlexPod (converged architectures based on Cisco UCS with EMC² and NetApp). btissem moumen, marketing and innovation - security, virtualization, storage A WIDE RANGE OF SERVICES TO SUPPORT YOU To support you in developing your Data Center, Telindus provides a wide range of services such as: IT infrastructure audit + Master Plan to support data migration Support to define architectures, engineering, and safety rules Integration into the server, network, storage, virtualization, and security environment Transfer of skills Management of stock to accelerate lead times Single point of contact providing support for the customer s IT infrastructure. Support provided personally for key partners in our portfolio Implementation of our solutions in the form of work units.

11 Telindus France Novembre 2014 Business Connect n 24 DOSSIER << 11 Le SOC au cœur de la démarche de cyberdéfense Parmi les principales raisons de mise en place de solutions de sécurité sur le Système d Information, on peut citer la nécessité de faire face aux nouvelles menaces, la protection des données de l entreprise, le respect des bonnes pratiques de sécurité ou encore le souci d être à jour sur son environnement de sécurité. Il s agit dès lors de se doter non seulement de moyens techniques performants capables de détecter le moindre incident mais surtout d intégrer ces moyens dans un processus permanent qui garantit de façon globale la sécurité du Système d Information. C est la fonction assurée par le SOC de Telindus, centre stratégique dédié aux opérations de sécurité du SI qui prévient les attaques, protège les données et anticipe les risques futurs. Dans ce dossier, Telindus présente comment, grâce au SOC, ses équipes d experts protègent la valeur métier de l entreprise. Face aux réflexes classiques, voire historiques sur la sécurité en entreprise, les responsables de sécurité désirent désormais en savoir plus sur l organisation, son efficacité et l amélioration continue de leur infrastructure de sécurité : comment est-elle utilisée? Est-ce que les efforts de sécurité concernent aussi les endroits stratégiques? Est-ce que les données les plus sensibles de l entreprise sont les mieux protégées? Les processus d exploitation et de communication sont-ils adaptés aux enjeux métiers? Autant de questions qui ramènent à une problématique commune : avoir une meilleure visibilité de l activité sur le Système d Information pour adapter l organisation de la sécurité et en optimiser son utilisation avant d aller plus loin. Cette problématique pointe des besoins techniques être capable de collecter les informations issues du Système d Information, détecter les événements qui méritent de l être, puis alerter, voire réagir, sur un incident avéré ainsi que des besoins humains notamment en termes d organisation et d expertise afin de savoir qui doit sur veiller, interpréter, détecter pour alerter et remédier. C est dans ce contexte que le centre opérationnel de sécurité de Telindus (Security Operational Center ou SOC) va apporter des réponses. Elles seront nécessairement propres à chaque organisation. En effet, le SOC, au cœur d une démarche de cyberdéfense devra suivre la stratégie sécurité de l entreprise et exploiter la bonne méthodologie. l l l

12 12 >> DOSSIER Business Connect n 24 Novembre 2014 Telindus France La démarche Cyberdéfense de Telindus Afin de construire une stratégie de défense optimisée, Telindus préconise une démarche en 3 étapes. La première étape consiste à maîtriser son SI. Cela implique de bien connaître les enjeux métiers et les vulnérabilités afin de réduire les risques qui pèsent sur l activité de l entreprise si une cyberattaque survenait. Il conviendra donc d analyser ces aspects afin de formaliser une stratégie de cyberdéfense. La deuxième étape consiste à construire une cybersécurité. Cela consiste à organiser les outils de sécurité de telle sorte qu ils permettent de disposer de plusieurs barrières successives (principe de défense en profondeur) avant d atteindre les biens les plus critiques, mais aussi de pouvoir remonter des informations les plus pertinentes possibles (principe de Surveillance/Détection/Réaction ou SDR). La troisième étape consiste à structurer le maintien en condition de sécurité. C est-à-dire intégrer les deux précédentes étapes dans un processus de gestion des incidents, de crise et de continuité d activité. Dans le cadre de cette démarche et au cœur du maintien opérationnel de la sécurité, le Security Operational Center (SOC) et le Responsable Opérationnel de la Sécurité (ROS) représentent les fonctions clés de l amélioration continue. L engagement du SOC de Telindus est de construire avec ses clients une stratégie de défense pour surveiller les infrastructures critiques, détecter les attaques potentielles et réagir de façon organisée sur les menaces avérées. Le SOC se compose d experts qui s appuient sur des procédures et des outils adaptés pour Surveiller/Détecter/Réagir aux cyberattaques. Le ROS assure la prise en compte, le suivi et l application des exigences de sécurité applicables au maintien en condition de sécurité. Il est le lien entre la stratégie sécurité et la mise en œuvre opérationnelle. Protéger la valeur métier des clients Le SOC de Telindus est le centre de services dédié aux opérations de Incident Cisco Maintenir en condition de sécuité Investigation Enjeux Risques Cisco Maîtriser son SI Cartographie Crise SDR Modéliser Cisco Constuire sa cyberdéfense Défense en profondeur sécurité du Système d Information. Il a pour mission de répondre aux attaques et d anticiper les risques futurs pour protéger au mieux les données sensibles des entreprises : surveiller les infrastructures, en les maintenant en condition opérationnelle ; détecter des attaques simples et complexes en maintenant une surveillance continue du SI de l organisation (tentative d exfiltration de données, communication avec un serveur distant malveillant...) ; détecter les comportements anormaux des serveurs, des applicatifs, du réseau et des utilisateurs grâce aux rapports des équipements de sécurité ; répondre aux incidents et permettre des analyses de type Forensics (investigation numérique) exploitant au maximum les traces récoltées ; améliorer son système d archivage (configuration de la durée de rétention par équipement, garantie de l intégrité des logs ) ; élaborer des tableaux de bord de sécurité opérationnelle à destination des responsables techniques, mais aussi de la direction. SOC at the heart of our cyber defense policy Among the main reasons for implementing security solutions on Information Systems are the need to deal with new threats, protect corporate data, comply with best security practices, and the desire to have an up to date security environment. It is therefore necessary to develop not only effective technical means capable of detecting the slightest incident but also to include these resources in an ongoing process that globally ensures Information System security. This is the purpose of Telindus s SOC, which is a strategic center dedicated IS security operations to prevent attacks, protect data, and anticipate future risks. In this feature, Telindus talks about how its expert teams protect company business value through the SOC. Faced with classical or even historical reflexes on corporate security, security managers now want to know more about the organization, efficiency, and continuous improvement of their security infrastructure. How is it used? Do security efforts also cover strategic locations? Is the most sensitive company data protected the best? Are operational and communication processes tailored to business priorities? All these questions boil down to a common problem: obtain better visibility of the Information System s activity to adapt the organization of security and optimize its use before going further. This problem concerns technical needs, ability to collect information from the Information System, detect events that need to be detected, then alert or respond to a confirmed incident, as well as human needs, especially in terms organization and expertise, to see who should be monitoring, interpreting, and detecting for alerts and remediation. It is in this context that Telindus s Operational Security Center (SOC) can provide solutions which must necessarily be specific to each organization. The SOC, which is at the heart of our cyber security policy, will follow the business s strategy and use the right methodology. Telindus s Cyber defense polity Telindus recommends a three-step process to build an optimized defense strategy. The first step is to control the IS. This implies knowing business priorities and vulnerabilities to reduce the risks to the company s business if a cyber attack occurs. These aspects should therefore be analyzed to develop a cyber defense strategy. The second step is to build cyber security. This involves organizing security tools so that they create several successive barriers (principle of defense-in-depth) before reaching the most critical assets and report the most relevant information possible (principle of Monitoring / Detection / Response or SDR). The third step is to structure maintenance in security conditions, i.e. integrate the two previous steps in an incident and crisis management and business continuity process. As part of this process and at the heart of operational maintenance of security, the Security Operational Center (SOC) and the Operational Security Manager (OSM) are key functions in continuous improvement.

13 Telindus France Novembre 2014 Business Connect n 24 DOSSIER << 13 Solution SIEM, le choix d une sécurité efficace Le SOC de Telindus s appuie sur une plateforme de sécurité composée d une solution SIEM (Security Information and Event Management) combinant l expertise de McAfee et l innovation d Intel Security (Lire p. 14). Le SIEM est l une des briques fonctionnelles de cette organisation de défense. Au cours des dernières années, Telindus a préconisé, intégré, exploité différentes solutions de SIEM pour ses clients tout en développant un outil interne et un processus de valorisation qui lui est propre et qui permet d optimiser le temps de traitement des alertes. Les différentes expériences des équipes Telindus ont montré qu un outil de SIEM est complexe et que pour être efficace il doit : être pérenne et connu de ses administrateurs dans ses moindres recoins ; être proposé sur des modèles de services flexibles (intégré, managé, hybride, SaaS...) ; être enrichi, complété de processus de traitement et d amélioration continue directement en lien avec la politique de sécurité du client. Afin de poursuivre une démarche de 1st class infrastructure, Telindus a mené une étude approfondie de plus de 18 mois afin de remplacer son outil interne de SIEM par une solution éditeur pérenne. Cette étude intégrant plusieurs critères souligne : les attentes des clients ; les fonctions techniques du SIEM ; la compatibilité avec une approche de valorisation des alertes ; la simplicité d exploitation ; la souplesse des business models. Le choix de Telindus s est porté sur la solution d Intel Security qui a obtenu la meilleure note à l ensemble des critères mais qui a aussi su l accompagner tant sur l expertise que sur la définition des processus et des modèles d application. La plateforme SIEM Telindus Elle se compose des éléments suivants : collecteurs (ERC) : ces modules sont chargés de collecter les événements et flux émanant des différentes sources de logs du périmètre défini avec le client. Ils offrent les fonctionnalités suivantes : - le filtrage des logs et événements à l entrée du collecteur ; - la normalisation des logs, des événements et flux. Ils permettent l envoi : - de logs bruts vers le module de stockage pour conservation ; - de logs normalisés vers la console d administration pour traitement. Module de stockage (ELM) : ce module permet de stocker et d archiver les logs bruts, garantissant ainsi la conservation d informations à valeurs probantes. Un cloisonnement des données issues des différents périmètres supervisés garantit ainsi la confidentialité des données des clients. En cas d analyse post mortem, une extraction des logs originaux est ainsi possible, afin de «rejouer» les événements de sécurité, sur une période donnée. Corrélateur (ACE) : connecté au module d administration, ce dernier corrèle les événements normalisés situés au sein de la console d administration. Il permet donc d identifier des événements critiques de sécurité et d affecter un premier niveau de sévérité suite à la corrélation. Cette corrélation peut être effectuée soit en temps réel, soit en mode historique, permettant une analyse post mortem. Console d administration (ESM) : ce module d administration est le cœur de plateforme SIEM. Il permet de piloter l ensemble des composants de la plateforme, mais également d avoir une visibilité avancée sur l ensemble des données normalisées reçues par le collecteur, mais également sur les résultats de corrélation. Ceci est rendu possible grâce à l édition manuelle ou automatique de tableaux de bords, de rapports. Dans le cadre de la politique de sécurité de Telindus et du respect des normes issues d ISO 27001, l architecture de la solution SIEM est cloisonnée dans l architecture globale de sécurité du SOC. En cas d événement de sécurité détecté par la plateforme SIEM suite à l opération de corrélation, une alarme est envoyée à la solution d hypervision de Telindus, permettant une prise en charge rapide par un ingénieur de sécurité de l équipe SOC. l l l The SOC consists of experts who rely on procedures and the appropriate tools to Monitor / Detect / Respond to cyber attacks. The OSM considers, monitors, and implements security requirements to maintain security conditions. They are the link between the security strategy and operational implementation. Protect the business value of customers Telindus s SOC is a service center dedicated to Information System security operations. Its mission is to respond to attacks and anticipate future risks to best protect sensitive company data. Monitor infrastructures by maintaining them in operational conditions. Detect simple and complex attacks through continuous monitoring of the organization s IS (data ex-filtration attempts, communication with a malicious remote server...) Detect abnormal server, application, network, and user behavior through security equipment reports. Respond to incidents and allow Forensics analyses fully utilizing the traces collected. Improve archiving system (configuration of retention time per device, ensuring the integrity of the logs...). Draft operational security reports for Technical Managers and the Senior Management. Telindus SOC s commitment is to build a defense strategy to monitor critical infrastructure, detect potential attacks, and respond to confirmed threats in an organized manner with its customers. SIEM solution, choice of effective security Telindus s SOC operates on a security platform composed of a SIEM solution (Security Information and Event Management) combining McAfee expertise and Intel Security innovation (Read p. 14). SIEM is one of the functional blocks of this defense organization. Over the past few years, Telindus has recommended, integrated, and operated various SIEM solutions for its customers while developing an internal tool and a recovery process of its own to optimize alert processing time. The different experiences of Telindus teams have shown that SIEM tools are complex and that, to be effective, they must: be sustainable and its administrators must know them inside and out be proposed for flexible services models (integrated, managed, hybrid, Saas...) be enriched and supplemented by processing and continuous improvement processes that are directly related to the customer s security policy. To develop its first class infrastructure process, Telindus conducted a detailed study lasting more than 18 months to replace its internal SIEM tool by a sustainable editor solution. This study, which included several criteria, highlighted: customer expectations SIEM s technical features compatibility with an alert investigation process ease of use flexibility of business models Telindus chose the Intel Security solution which achieved the best score for all criteria and was also able to accompany it in assessing and defining processes and implementation models. l l l

14 14 >> DOSSIER Business Connect n 24 Novembre 2014 Telindus France Telindus a adopté la solution SIEM de McAfee dans son ROC (Remote Operation Center) pour gérer la sécurité de ses clients. AVIS D EXPERT «Notre solution se différencie de celle de nos concurrents notamment par la vitesse de traitement des informations. Là où il faut des heures pour effectuer cette tâche, quelques minutes suffisent à notre solution SIEM, du fait de l extrême optimisation de notre code et de notre base de données installés sur des matériels très performants. Un autre atout réside dans la console unique, l ESM ou Entreprise Security Management, alors qu il en faut souvent une par type d équipement dans d autres solutions. Grâce à l ESM, l utilisateur dispose d une vision globale de la sécurité». DAVID GROUT, DIRECTEUR AVANT-VENTE MCAFEE EUROPE DU SUD SOLUTION MCAFEE, UNE VISION GLOBALE DE LA SÉCURITÉ Des événements réseau, a priori anodins, peuvent révéler des anomalies lorsqu ils sont corrélés. La solution SIEM de McAfee surveille le trafic réseau à la loupe et permet de bénéficier d un traitement de l information optimisé. Fondée sur l analyse des logs (journal des événements sur un réseau), SIEM va corréler les informations qui y sont stockées et ainsi révéler d éventuelles anomalies. Ces corrélations sont effectuées par le moteur ACE (Advanced Correlation Engine), qui reçoit les événements via les Event Receivers. Les logs bruts sont stockés dans une base de données au format propriétaire par le biais du contrôleur ELM (Enterprise Log Manager). Cette base garantit leur intégrité et leur non répudiation. L ACE va y piocher, si besoin est, pour effectuer des rapprochements avec des événements passés. La solution compte également une base de données de réputation d adresses IP qui s enrichit au fil du temps. Certaines d entre elles sont connues pour correspondre à des sites malveillants et s y connecter fait courir un risque pour la sécurité de l entreprise. Les processus majeurs du Pour gérer les événements de sécurité, le SOC s appuie sur une méthodologie et des outils lui permettant de diagnostiquer, de qualifier et d anticiper les attaques potentielles. La gestion des traces Une trace est une information qu un dispositif numérique enregistre sur l activité et l identité de ses utilisateurs. La conservation de ces traces répond à deux enjeux : la conformité réglementaire ; la recherche et l investigation temps réel et/ou post mortem sur des événements identifiés. La collecte de ces traces est ainsi réalisée soit en temps réel, soit à une fréquence prédéfinie. Les traces sont ensuite stockées sous deux formes : le format originel, dit «brut», permettant de répondre à de fortes obligations légales (comme la non altération de la preuve) ; le format spécifique à l outil SIEM permettant selon le standard de l outil de catégoriser l ensemble des données contenues au sein d une trace afin de transformer cette trace en événement. La gestion des événements Chaque trace convertie en événement possède une sévérité contextualisée, définie par plusieurs paramètres et prérequis : la nature et la typologie de l événement (accès administrateur, suppression d un paquet ) ; la réputation des informations associées à l événement : celle des fichiers, des URL, des adresses IP... ; l analyse préalable du périmètre technique : la sévérité de l événement varie selon la position au sein de l architecture de la source de l événement (un IPS ou un firewall, placé en frontal d une DMZ ou au plus près des serveurs de production du client) ; l analyse des enjeux de sécurité des métiers du client : cette criticité sera ajustée en fonction de l activité du client. Ainsi, les enjeux de sécurité d une banque ou d un webmarchand différeront, tout comme le type d attaque redouté. Telindus s SIEM platform It is composed of the following components: collectors (ERC): These modules are responsible for collecting events and flows from the various log sources of the scope defined with the customer. They provide the following features: - filtering of logs and events input into the collector - log, event, and flow standardization They allow the following to be sent: - raw data logs to the storage module for storage - standardized logs to the Administration Console for processing. Storage Module (ELM): This module allows you to store and archive raw logs, ensuring the preservation of information of probative value. Partitioning data from the various supervised perimeters guarantees the confidentiality of customer data. For post mortem analyses, the original logs can be extracted to «replay» security events over a given period. correlator (ACE): connected to the administration module, it correlates standardized events located within the administrative console. It helps identify critical security events and assign an initial severity level following correlation. This correlation can be performed either in real time or in historical mode, allowing post mortem analysis. administration console (ESM): this administration module is the core of the SIEM platform. It manages all the platform s components and provides advanced visibility of all standardized data received by the collector as well as correlation results. This is made possible through the manual and automatic editing of dashboards and reports. As part of Telindus s security policy and compliance with ISO standards, the architecture of the SIEM solution is partitioned in the SOC s overall security architecture. If a security event is detected by the SIEM platform following correlation operations, an alarm is sent to Telindus s hypervisor solution enabling rapid management by one of the SOC team s security engineers. Telindus adopted the McAfee SIEM solution for its ROC (Remote Operation Center) to manage customer security. EXPERT OPINION «Our solution differs from that of our competitors, in particular, by the speed of information processing. Where it would normally take hours to perform this task, only a few minutes is needed with our SIEM solution through the extreme optimization of our code and our database installed on highperformance hardware. Another advantage is the single console, ESM or Enterprise Security Management, when usually one is required for each equipment type in other solutions. ESM allows the user to have a global vision of security.» David Grout, Senior Pre-Sales Manager Southern Europe THE MCAFEE SOLUTION, A GLOBAL VISION OF SECURITY Network events that, a priori, seem trivial can reveal anomalies when correlated. McAfee s SIEM solution closely monitors network traffic and provides optimized information processing. Based on log analysis (event log on a network), SIEM will correlate information stored in them and reveal any abnormalities. These correlations are performed by an ACE (Advanced Correlation Engine) which receives events via Event Receivers. Raw logs are stored in a database in proprietary format by the ELM (Enterprise Log Manager) controller. This database

15 Telindus France Novembre 2014 Business Connect n 24 DOSSIER << 15 Service SOC de Telindus Infrastructures, applications et comportements Surveiller SOC 24/7 l ingénieur dissèque le ou les événement (s) ciblé (s) afin de recueillir toute information pertinente et de permettre de lutter contre l activité malveillante. En effet, il s agit de : localiser précisément l origine de l incident ; commencer à prévoir une éventuelle gestion de la preuve ; évaluer la capacité à maîtriser l incident, pour faire intervenir les ressources nécessaires (ingénieurs de niveau 1, 2 ou 3, déclenchement de la cellule de crise). L intervention de ces ressources peut alors être établie. Réagir Piloter les opérations Détecter L importance d une qualification préalable La mise en place d un service de gestion des événements de sécurité au sein du SOC de Telindus requiert une méthodologie préparatoire d étude, indispensable à son bon fonctionnement et à son efficacité, grâce à des indicateurs viables et performants. Afin de pouvoir proposer un service de gestion des événements de sécurité, une plateforme SIEM et des processus adaptés aux enjeux de sécurité du client, Telindus préconise une qualification préparatoire à la mise en place d un SOC. La prise en compte de ces éléments est concrétisée à travers la mise en place de plusieurs mécanismes au sein du SIEM : filtrage, agrégation (signatures identiques d événements de sécurité) et corrélation. La corrélation permet ainsi d identifier des menaces de sécurité potentiellement avérées, qui amènent le SIEM à générer une alerte envoyée à l équipe SOC. L alerte est ensuite enrichie et qualifiée à travers une investigation sur l architecture ciblée et divers échanges avec le client, permettant à l instance décisionnelle de valider l existence ou non d un incident de sécurité, notamment à travers l élimination des faux positifs. La gestion des incidents de sécurité Dans le cas d un incident de sécurité, une phase complémentaire de diagnostic et d évaluation est nécessaire. Après réception d une alerte, Cette qualification se décompose en plusieurs actions majeures : la réalisation d un inventaire des assets composant le périmètre à surveiller par le SIEM de Telindus, et d apporter d éventuelles préconisations d ajout d éléments de sécurité à ce périmètre existant. Un tel inventaire permet d estimer la volumétrie des données et événements qui seront pris en charge par la plateforme SIEM de Telindus, et de dimensionner le lien d interconnexion entre la plateforme et les sources de données du client ; la vérification de la conformité des configurations et paramètres des équipements recensés par rapport aux exigences de la plateforme SIEM de Telindus afin de garantir une remontée des logs sur la plateforme SIEM Telindus ; la définition des règles de corrélation à appliquer à la plateforme SIEM afin de cibler de possibles scénarios impactant la sécurité du périmètre du client. l l l ensures their integrity and nonrepudiation. The ACE will draw on it, if necessary, to make comparisons with past events. The solution also includes an IP address reputation database which is enriched over time. Some of them are known to correspond to malicious websites and connecting to them represents a security risk for the company. The major processes of Telindus s SOC Service To manage security events, the SOC uses a methodology and tools enabling it to diagnose, characterize, and anticipate potential attacks. Log management A trace is data that a digital device records about the activity and identity of its users. Conserving these traces meets two issues: regulatory compliance real-time and / or post mortem research and investigation of identified events. Collection of these traces is therefore performed either in real-time or at a predefined frequency. The tracks are then stored in two forms: The original «raw» format ensuring compliance with strict legal obligations (such as the nonalteration of evidence) the specific SIEM tool format which can be used to categorize all the data contained within a trace to transform this trace into an event depending on the standard of the tool. Event management Each trace converted into an event has a contextualized severity, defined by several parameters and prerequisites: the nature and type of event (administrator access, removal of a packet, etc.) the reputation of the data related to the event: files, URLs, IP addresses... preliminary analysis of the technical scope: the severity of the event varies depending on the position of the source of the event (an IPS or firewall, placed in front of a DMZ or very close to the customer s production servers) within the architecture analysis of security issues of the customer s business: criticality will be adjusted according to the customer s business. Therefore, the security issues of a bank or e-merchant will differ, as will the type of attack feared. Consideration of these elements is materialized through the establishment of several mechanisms within the SIEM: filtering, aggregation (identical security event signatures), and correlation. Correlation therefore helps identify potential security threats which cause the SIEM to send an alert to the SOC team. The alert is then enriched and qualified through an investigation of the targeted architecture and various discussions with the customers allowing the decisionmaker to validate whether or not a security incident exists, including through the elimination of false positives. Security incident management In the case of a security incident, an additional diagnostic and evaluation phase is required. After receiving an alert, the engineer dissects the targeted event to collect all relevant information that could help to counter malicious activity. This involves: pinpointing the source of the incident beginning to plan any evidence management assessing the ability to control the incident to involve the necessary resources (level 1, 2, or 3 engineers, initiation of the crisis unit). Use of these resources can then be established. Importance of pre-qualification The implementation of a security event management service within Telindus s l l l

16 16 >> DOSSIER Business Connect n 24 Novembre 2014 Telindus France Le pilotage des opérations de sécurité par le SOC Répondre aux exigences de la sécurité et s assurer que les bonnes pratiques sont mises en place dans le cadre des processus de sécurité à l œuvre chez un client est la mission du ROS. Le Responsable Opérationnel de la Sécurité (ROS) assure une prestation d accompagnement à la gouvernance sécurité auprès des équipes du client et de Telindus permettant de garantir que les personnes, les processus et les outils mis en place pour la prestation d infogérance répondent aux exigences de sécurité requises dans le cadre du contrat et/ou des référentiels de sécurité interne du client. Les différentes fonctions et actions du ROS sont ou peuvent être : SDM Experts garantir et suivre un plan de contrôle sécurité ; sécurité contrôler les niveaux de sécurité fonctionnelle et Exploitants organisationnelle ; Qualité organiser et manager les comités de sécurité ; Juridique suivre les évolutions concernant la sécurité du SI ; EXPLOITATION maintenir à jour les documents référentiels tels que le Plan d Assurance Sécurité (PAS), les chartes, les référentiels de sécurité ; garantir le respect des règles de sécurité dans les procédures, les processus et le suivi régulier de la prestation ; s assurer que les personnels sont bien formés et sensibilisés à la sécurité d un SI (infogéré) ; participer et apporter ses connaissances et son expérience dans le comité de la gestion de crise ; accompagner l ISC pour les présentations techniques sécurité dans les différents comités ; AVIS D EXPERT «La sécurité est un processus permanent intégré à toutes les étapes de la vie des Systèmes d Information, tant sur le plan des infrastructures que des services et applications proposés aux utilisateurs.» CHRISTOPHE LEROY, DIRECTEUR SRC (SECURITY RESEARCH CENTER) Contrôle/ audit/garant de l application des référentiels de sécurité Revues périodiques indicateurs Responsable opérationnel de la sécurité EXPLOITATION Échange d information avec RSSI Plan de contrôle Comités Sécurité CLIENT RSSI DSI Architectes Sécurité analyser et apporter sa vision sur l amélioration du suivi des incidents de sécurité remontés ; apporter des solutions pour réduire les incidents de sécurité, réaliser des audits ponctuels de sécurité sur des processus ou des audits globaux intégrant des analyses de risques ; apporter son expérience sécuritaire et pragmatique en regard des projets «build» en s appuyant sur les évolutions technologiques et son retour d expérience ; proposer des plans d évolution et d amélioration continue. En synthèse, le ROS a pour objectif de comprendre les enjeux clients et de les traduire en objectifs opérationnels à intégrer dans la prestation d infogérance. Le service rendu dans le cadre du contrat devra donc respecter les règles de sécurité identifiées et même contribuer autant que possible au maintien en condition de sécurité du Système d Information du client. SOC requires a preparatory study methodology, essential for its proper functioning and effectiveness, through viable and effective indicators. In order to provide a security event management service, a SIEM platform and processes tailored to the customer s security issues, Telindus recommends a qualification preparing for the implementation of a SOC. This qualification is broken down into major actions: An inventory of the assets within the perimeter requiring monitoring by Telindus s SIEM and recommendations to add security features to the existing perimeter. This inventory estimates the volume of data and events to be managed by Telindus s SIEM platform and helps scale the interconnection between the platform and the customer s data sources verification of compliance of equipment configurations and parameters identified with regards to the requirements of Telindus s SIEM platform to ensure that the SIEM platform can recover logs definition of correlation rules to apply to the SIEM platform to target possible scenarios impacting the customer s perimeter security. SOC management of security operations The SOM is responsible for meeting security requirements and ensuring that best practices are implemented as part of the security process implemented on the customer s premises. The Security Operations Manager (SOM) provides support for security governance to both the customer s and Telindus s teams to ensure that the people, processes, and tools implemented for outsourced management meet security requirements under the contract and / or the customer s internal security standards. The different functions and actions of the SOM are or may be to: ensure and monitor a security management plan control functional and organizational security levels organize and manage security committee meetings monitor developments in IS security maintain reference documents such as the Security Assurance Plan (SAP), charters, security standards ensure compliance with security rules in procedures and processes as well as regularly monitor service provision ensure that staff is correctly trained and educated on IS security (outsourced management) attend and share knowledge and experience during crisis management committee meetings support the ASE in technical security presentations before the various committees analyze and share views on improvements of the monitoring of reported security incidents provide solutions to reduce security incidents conduct spot audits on process security or comprehensive audits including risk analysis share practical experience in security with regards to «build» projects based on developments in technology and feedback propose development and continuous improvement plans In summary, the SOM aims to understand customer needs and translate them into operational objectives which should be included in the outsourced management service. The service provided under the contract must therefore comply with identified security rules and even contribute, as much as possible, to maintaining the customer s Information System in a secure condition.

17 Telindus France Novembre 2014 Business Connect n 24 DOSSIER << 17 La sécurité doit être pensée comme un procédé inhérent à la vie de l entreprise. AVIS D EXPERT «La sécurité s envisage : en amont, dans la définition des besoins afin d y intégrer es enjeux de sécurité (analyses de risques, politique de sécurité, sensibilisation, retour d expérience ) ; dans l ensemble des phases pour garantir le niveau de sécurité avant mise en production (tests d intrusion, audits de configuration, audits organisationnels ) et connaître les risques résiduels ; en production, pour maintenir et renforcer de façon continue la sécurité opérationnelle (audits de vulnérabilités récurrents, tests d intrusions, veille ) ; en cas de détection d une tentative d intrusion (levée de doute, intervention sur incident, analyse Forensics) afin de réagir, sécuriser, comprendre les mécanismes de l attaque et en tirer des axes d amélioration.» CHRISTOPHE LEROY, DIRECTEUR SRC (SECURITY RESEARCH CENTER) La gestion des incidents chez Telindus Pour protéger ses Systèmes d Information, Telindus a mis en place des moyens organisationnels et techniques de gestion des incidents de sécurité. Florence Le Noan, RSSI de Telindus en parle. > Comment s organise la détection des incidents chez Telindus? Tout incident se produisant sur les Systèmes d Information de Telindus doit faire l objet d une analyse pour déterminer s il s agit d un incident de production ou d un incident de sécurité. Le processus de gestion des incidents inclut leur détection, les analyses et diagnostics, le traitement et le rétablissement du service affecté, la capitalisation et la clôture. La recherche et la préservation des preuves, ainsi que le dépôt de plainte si nécessaire, font aussi partie de la gestion des incidents de sécurité. > Avez-vous une stratégie de traitement des incidents? La gestion d incident ne se limite pas au traitement curatif des incidents de sécurité avérés. Une grande partie des incidents peut être évitée s ils sont traités de manière préventive. Telindus intègre dans le périmètre de gestion des incidents de sécurité les incidents de sécurité potentiels identifiés par différents outils mis en place sur chacun des périmètres. > Doit-on parler de détection des incidents potentiels ou avérés? Telindus s est doté de moyens organisationnels et techniques de détection des incidents de sécurité sur l ensemble de ses Systèmes d Information. Tout incident de sécurité avéré ou potentiel doit être déclaré au RSSI dans l heure qui suit la détection. Voici des exemples de moyens de détection d incidents de sécurité : les moyens classiques tels que les anti-virus ; la supervision réseaux et systèmes ; les systèmes de détection de menaces ; la surveillance et analyse des journaux ; les contrôles récurrents des mesures SSI ; les alertes de veille sécurité ; les tests d intrusion annuels et ponctuels. l l l EXPERT OPINION «Security is an ongoing process that is integrated into all stages of Information System life, both in terms of infrastructure and services and applications available to users.» Christophe LEroy, Director of SRC Security should be thought of as a process that is inherent to business life. EXPERT OPINION «Security is considered: upstream, when defining requirements to include security issues (risk analysis, security policy, awareness, feedback...) in all phases to ensure the level of security before production (intrusion tests, configuration audits, organizational audits...) and know the residual risks during production, to constantly maintain and strengthen operational security (recurring vulnerabilities audits, intrusion testing, monitoring...) in case of detection of an intrusion attempt (removal of doubt, incident response, forensics analysis) to respond, secure, and understand the mechanisms of the attack and identify areas for improvement. «Christophe LEroy, Director of SRC Incident management by Telindus To protect its Information Systems, Telindus has implemented organizational means and security incident management techniques. Florence Le Noan, CISO of Telindus, talks about this. > How is incident detection organised in Telindus? Any incident occurring on Telindus s Information Systems must be analyzed to determine whether it is a production or security incident. The incident management process includes their detection, analysis and diagnostics, resolution and recovery of the affected service, capitalization, and closing. Research and preservation of evidence and filing complaints, if necessary, are also part of security incident management. > Do you have an incident resolution strategy? Incident Management is not limited to the curative resolution of security incidents. Most incidents can be avoided if treated in a preventive manner. Telindus has integrated potential security incidents identified by the various tools installed on each perimeter into the security incident management perimeter. > Should we talk about the detection of potential or actual incidents? Telindus has developed organizational and technical means of detection of security incidents on all of its Information Systems. Any actual or potential security incident must be reported to the CISO within an hour following detection. Here are a few examples of our means for detecting security incidents: conventional means such as anti-viruses network and system monitoring threat detection systems log monitoring and analysis recurring controls of ISS measures security alerts yearly and spot intrusion tests How do you qualify security incidents? For any actual or potential security incident, an initial assessment of the type and severity is performed by the IS teams affected: determine the type of incident identify the triggering event, define the perimeter concerned measure the impact (initial estimation). l l l

18 18 >> DOSSIER Business Connect n 24 Novembre 2014 Telindus France Exploitation du réseau Affiner la politique Eradiquer Mitiger GESTION DES INCIDENTS Contenir Identifier Opérations de sécurité Analyser Rassembler les preuves > Comment qualifiez-vous les incidents de sécurité? Pour tout incident de sécurité constaté ou potentiel, une première estimation de la typologie et de la gravité est effectuée par les équipes du SI impacté : déterminer la nature de l incident ; identifier l événement déclencheur ; définir le périmètre concerné ; mesurer l impact (première estimation). En parallèle, les directions métier concernées devront analyser ces impacts et identifier les actifs à protéger en priorité. L incident est ensuite saisi dans l outil de ticketing, en utilisant la typologie existante, qui permettra de faire un suivi et un reporting des incidents de sécurité. > Quelle est votre réponse à un incident mineur maîtrisé? La réponse à un incident mineur est assez simple et fait appel à des modes opératoires existants. La personne à qui est affecté le ticket prend les mesures pour limiter les impacts et préserver les traces, applique le correctif après validation de celui-ci. Elle renseigne le ticket dans l outil de ticketing durant les différentes étapes de résolution de l incident. Le cas échéant, elle met à jour la base de connaissances après validation de sa hiérarchie. Le RSSI, de son côté, valide la clôture de l incident. > Et à un incident majeur non maîtrisé? Lorsque l incident est classé comme majeur, le responsable du Système d Information concerné active la procédure de gestion de crise. Le RSSI contacte les experts Forensics et les autorités le cas échéant ; il met en place la mesure de protection des preuves ; la cellule de crise coordonne les actions de remédiations et les communications ; le Directeur Juridique réalise le dépôt de plainte le cas échéant, portant les preuves aux autorités ; le responsable de la cellule de communication opère les communications internes et externes sur l incident, si nécessaire ; le RSSI suit la résolution et la chaîne de conservation des preuves, vérifie la mise à jour de la base de connaissance et valide la clôture de l incident. > Comment se clôt l incident de sécurité? Les incidents sont clos après la mise en place des actions correctives, le renseignement de la base de connaissances et la validation du RSSI (vérification de la classification, gestion des preuves, knowledge base). n GLOSSAIRE Incident de production «Tout événement qui ne fait pas partie du fonctionnement standard d un service et qui cause, ou peut causer, une interruption ou une diminution de la qualité de ce service.» (ITIL) Incident de sécurité Les événements sur la sécurité de l Information risquant de compromettre ou de menacer la sécurité sur le plan de la disponibilité, de l intégrité, de la confidentialité ou de la preuve, de façon accidentelle ou malveillante. (notions d incident et de problème au sens ITIL/ISO 20000). Analyse Forensics Les activités de Forensics : des investigations et recherches de preuves post mortem. Les experts de l ANSSI auront pour mission d identifier l attaque, sa portée, les systèmes et données attaqués ou volés, et d imaginer des scénarios de protection à déployer au plus vite, ou à moyen et long termes. Dossier préparé par : danièle lepeltier parrot, florence nollet - le noan, clément favier, noel chazotte, franz caille, christophe leroy, frédéric hélias, pascal law lee, julia kusowska. The concerned business departments should analyze these impacts and identify the assets to protect in priority, in parallel. This incident is then entered in the ticketing tool using the existing typology to allow security incident monitoring and reporting. > How do you respond to minor controlled incidents? The response to a minor incident is quite simple and follows existing procedures. The person who is assigned the ticket takes measures to limit impact and preserve traces and implements the patch after its validation. They complete the ticket in the ticketing tool during the various stages of incident resolution. If necessary, they update the knowledge base after validation from their manager. The CISO validates the close of the incident. > And what about major uncontrolled incidents? When an incident is classified as major, the manager of the Information System concerned activates the crisis management procedure. the CISO contacts Forensics experts and the authorities, if need be they implement evidence protection measures the crisis unit coordinates remediation and communication actions the General Counsel files a complaint as appropriate and delivers the evidence to the authorities if need be, the head of the communications unit issues internal and external communications about the incident the CISO follows resolution and the chain of evidence security, ensures that the knowledge base has been updated and validates the close of the incident. > How are security incidents closed? Incidents are closed after the implementation of corrective actions, the updating of the knowledge base, and the CISO s validation (classification audit, evidence management, knowledge base). GLOSSARY Production incident «Any event that is not part of the standard operation of a service that causes or could cause an interruption or reduction in the quality of the service.» (ITIL) Security incident Information security events that could either accidentally or maliciously impair or threaten security in terms of availability, integrity, confidentiality, or evidence (Notions of incident and problem within the meaning of ITIL / ISO 20000). Forensics analysis Forensics activities: post mortem investigations and evidence research. The mission of ANSSI experts is to identify the attack, its scope, the systems and data attacked or stolen, and devise protection scenarios to deploy immediately or for the medium or long term. Feature prepared by: danièle lepeltier parrot, florence nollet - le noan, clément favier, noel chazotte, franz caille, christophe leroy, frédéric hélias, pascal law lee, and julia kusowska.

19 Telindus France Novembre 2014 Business Connect n 24 PARTENAIRES << 19 Tufin Technologies orchestre les pare-feu des entreprises La société américaine Tufin propose une suite d outils informatiques qui facilitent la tâche des DSI et des responsables sécurité en automatisant les opérations de modifications sur les réseaux. s CERTAINS PARE-FEU peuvent contenir jusqu à règles de sécurité. Si cela reste néanmoins une exception, il n est pas rare par contre que dans les grandes entreprises les règles se comptent par milliers. Leur gestion manuelle tourne alors au casse-tête. Certaines règles sont en effet devenues inutiles parce que les applications qui généraient les flux à contrôler n'existent plus. Et parfois même, ces règles sont redondantes ou encore mal configurées ou trop permissives. «On estime que 20 à 30 % des règles sur les pare-feu ne sont plus utilisées ou en redondance entre elles», déclare Jean-Michel Tavernier, Regional Sales Manager - France. Pour faire face à ce problème, Tufin, entreprise américaine fondée en 2005, propose Tufin Orchestration Suite, un outil qui apporte les atouts de l automatisation informatique aux opérations de sécurité du réseau. Il devient alors possible d automatiser la création de règles et de simuler des flux pour préparer la mise en œuvre de modifications sur le réseau. Une suite de trois modules Tufin Orchestration Suite se compose de trois modules se complétant. Le premier, SecureTrack, établit une topographie du réseau et des flux, recense les règles mises en place et vérifie comment elles sont utilisées. En particulier, si elles se justifient ou si elles sont trop ouvertes. C est la fondation du produit, il fait l inventaire et permet de partir sur un socle solide. SecureTrack gère aussi toute la conformité de la société. Le deuxième module, SecureChange, est un «workflow» qui simule les flux et leurs conséquences sur le réseau avant implémentation. Il détermine, avant la modification d'une règle, les conséquences que ce changement aura sur le pare-feu. Le point fort de ce module est son ROI (Return on Investment). En effet, il réduit considérablement le temps que nécessiterait cette tâche si elle était effectuée manuellement, surtout dans le cas où le flux traverse plusieurs pare-feu. SecureChange travaille de manière proactive. Enfin, le troisième module, SecureApp, est un référentiel applicatif. Il permet de lier les applications de l entreprise aux règles des firewalls et routeurs/switch. Il suffit à l'utilisateur de cocher les cases et le module SecureChange édite aussitôt la règle à mettre en place. Tufin Orchestration Suite fonctionne sur tout boîtier x86 du marché, ainsi que sous forme de machine virtuelle compatible avec les grands hyperviseurs du marché. L'industriel a noué des partenariats avec tous les grands du monde des réseaux, tels que Check Point, Cisco, Juniper, Palo Alto, Fortinet, Stonesoft, Blue Coat, F5 n DIAGRAMME DE LA SOLUTION TUFIN ORCHESTRATION SUITE qui se compose de trois modules SecureTrack : exécute un audit du réseau SecureChange : simule les flux et leurs conséquences sur le réseau lorsque les modifications seront mises en place SecureApp : référentiel applicatif Premier partenaire de Telindus «Telindus a été l un de nos tout premiers partenaires lorsque nous nous sommes installés en France en 2009», rappelle Jean-Michel Tavernier. Aujourd hui, la société compte 200 personnes dans le monde et revendique clients Grands Comptes. La filiale française annonce une centaine de références clients dont des Grands Comptes. ONE OF TELINDUS S FIRST PARTNERS «Telindus was one of our first partners when we came to France in 2009» said Jean-Michel Tavernier. Today, the company employs 200 people all over the world and has 1,300 major clients. The French subsidiary has a list of about a hundred customer references including some major client Diagram of the Tufin Orchestration Suite solution which consists of three modules SecureTrack: conducts a network audit SecureChange: simulates flows and their consequences on the network if the changes are implemented SecureApp: application repository Tufin Technologies orchestrates business firewalls The American company Tufin is offering a suite of software tools that make life easier for ISDs and security managers by automating change operations on networks. Some firewalls can contain up to 50,000 security rules. While this is exceptional, it is not uncommon for the firewalls of large companies to contain thousands of rules. Trying to manually manage them can be a headache. Some rules are effectively useless when the applications generating the flows to control no longer exist and these rules can sometimes even be redundant, incorrectly configured, or too permissive. «It is estimated that 20-30% of the rules on firewalls are no longer used or render each other redundant», said Jean-Michel Tavernier, Regional Sales Manager, France. To address this problem, Tufin, an American company founded in 2005, offers the Tufin Orchestration Suite which is a tool that provides the benefits of computer automation to network security operations making it possible to automate the creation of rules and simulate flows to prepare for the implementation of changes to the network. A suite of three modules The Tufin Orchestration Suite is composed of three complementary modules. The first, SecureTrack, establishes a network and flow topography, identifies the rules in place, and checks how they are used. In particular, it checks whether they are justified or too open. This is the product s foundation. It provides an inventory to work on a solid base. SecureTrack also fully manages company compliance. The second module, SecureChange, is a workflow that simulates flows and their consequences on the network prior to actual implementation. It determines, before a rule is changed, the consequences of changing that rule on the firewall. The strong point of this module is its ROI (Return on Investment). It significantly reduces the time this task would require if done manually, especially if the flow passes through multiple firewalls. SecureChange works pro-actively. Finally, the third module, SecureApp, is an application repository. It is used to link business applications to firewall rules and routers / switches. The user simply needs to tick the boxes and the SecureChange module immediately publishes the rule to implement. Tufin Orchestration Suite runs on any x86 appliance on the market and also in the form of a virtual machine that is compatible with the main hypervisors on the market. The manufacturer has partnerships with all the main networks such as Check Point, Cisco, Juniper, Palo Alto, Fortinet, Stonesoft, Blue Coat, and F5.

20 20 >> PARTENAIRES Business Connect n 24 Novembre 2014 Telindus France Extreme Networks s impose comme un acteur incontournable du réseau Ouverture et respect des standards sont les deux piliers de sa stratégie. Le constructeur compte clients, répartis dans 80 pays. s DANS UN MONDE RÉSEAU EN PLEINE MUTATION, Extreme Networks possède un portefeuille de solutions qui couvre l ensemble des besoins des entreprises, des administrations, ainsi que ceux des fournisseurs de services. Qu il s agisse de SDN (Software Defined Network), de réseau dans le Data Center, de WiFi ou de sécurité, pour ne citer que quelques domaines, Extreme Networks apporte des solutions ouvertes et fondées sur les standards. De nos jours, le SDN focalise toutes les attentions. La solution SDN d Extreme Network accélère l innovation du point de vue applications et réduit les risques pour l ensemble du réseau, qu il soit sans-fil, dans le campus ou dans le Data Center. «Nous nous fondons sur un environnement de développement modulaire, ouvert et s appuyant sur les standards, déclare Frédéric Aguilar, Directeur technique chez Extreme Networks France. De plus, notre solution intègre l infrastructure déjà en place et évite une architecture verrouillée.» Par exemple, elle automatise le réseau de bout en bout, ce qui optimise les coûts de déploiement, d administration et d exploitation. La solution permet également une allocation rapide des ressources pour accueillir n importe quelle application, tout en garantissant assez de flexibilité pour que l utilisateur soit en mesure de déployer les applications et les solutions de son choix, et puisse faire appel aux fournisseurs qu il a retenus. Dans le Data Center Côté Data Center, le cas type est celui d une migration depuis une infrastructure composée de serveurs 1 G vers un environnement hautement virtualisé avec des serveurs 10 G et même 40 G, que ce soit pour du Calcul Hautes Perfor- mances (HPC), le cloud ou pour les transactions financières ultra-rapides, qui nécessitent une très faible latence. Dans ce domaine, Extreme Networks propose une combinaison optimale entre la performance, la simplicité de mise en œuvre et d exploitation et la flexibilité. La clé réside dans des outils d administration et de contrôle réseau très complets et dans un système d exploitation unique dont sont dotés les équipements de cœur comme de périphérie. Prise en compte du phénomène BYOD «Avec la multiplication des smartphones et des tablettes, ainsi que l essor du phénomène BYOD ou Bring Your Own Device, le sans-fil prend une part grandissante dans les ressources réseau», déclare Frédéric Aguilar. Extreme Networks répond à ce défi avec une architecture adaptable et à haute densité, offrant une visibilité et un contrôle permanent du trafic. De plus, avec IdentiFi, une solution WiFi spécifique, l utilisateur dispose du même confort que sur une liaison filaire. Le volet sécurité est pris en charge par la solution Mobile Identity Access Management (IAM), qui inclut le MDM (Mobile Device Management), conçue pour gérer le monde BYOD. n Un système d exploitation universel La pierre angulaire de ces solutions est constituée par le système d exploitation ExtremeXOS, dont le cœur est le processeur ASIC CoreFlow2. Celui-ci possède un jeu de fonctions très riche, capable notamment d effectuer la classification de paquets au-dessus des protocoles TCP et UDP. Telindus au premier rang Partenaire d Extreme Networks depuis plus de dix ans, Telindus devient aujourd hui le premier partenaire Diamond en France. TELINDUS AT THE FOREFRONT Telindus has been one of Extreme Networks s partners for over ten years and is currently its first Diamond partner in France. Extreme Networks has established itself as a key player on networks Openness and compliance with standards are the two pillars of its strategy. The manufacturer has 12,000 customers in 80 countries. In a changing world network, Extreme Networks has a portfolio of solutions that covers all the needs of businesses, governments, and service providers. Extreme Networks provides open, standards-based solutions such as SDN (Software Defined Network), networks in data centers, Wi-Fi, and security. Attention is currently focused on SDN. Extreme Network s SDN solution accelerates application innovation and reduces risk for the entire network, whether wireless, on campus, or in the Data Center. «We build on a modular, open development environment based on standards», said Frédéric Aguilar, Technical Director at Extreme Networks France. Our solution also integrates the existing infrastructure and avoids locked architecture.» For instance, it automates the network from end to end optimizing the cost of deployment, administration, and operations. The solution also allows resources to be rapidly allocated to host any application while maintaining enough flexibility for the user to be able to deploy the applications and solutions of their choice and use the suppliers they have retained. In the Data Center On the Data Center side, the typical case is that of migration from an infrastructure of 1G servers to a highly virtualized server environment with 10G and even 40G servers which can be for High Performance Computing (HPC), the cloud, or high-speed financial transactions which require very low latency. Extreme Networks offers an optimal combination of performance, ease of implementation, and operating flexibility in this area. The key lies in administration tools and extensive network control in a single operating system with core and peripheral equipment. Consideration of the BYOD phenomenon «With the proliferation of smartphones and tablets and the growth of the BYOD or Bring Your Own Device phenomenon, wireless is taking up a greater share of network resources,» said Frederic Aguilar. Extreme Networks is addressing this challenge with a scalable and high density architecture providing visibility and constant control of traffic. In addition, with the Wi-Fi solution IdentiFi, users have the same comfort as a wired connection. Security is ensured by the Mobile Identity Access Management (IAM) solution which includes MDM (Mobile Device Management) which is designed to manage the BYOD world. A UNIVERSAL OPERATING SYSTEM The ExtremeXOS operating system with its ASIC CoreFlow2 processor core is the cornerstone of these solutions. It has an extensive set of features, including the capacity to classify packets over TCP and UDP protocols.