Contexte et objectifs

La session des actifs Qradar SaaS à la société Palo Alto Networks a été un déclencheur qui a amené le Club Med à reconsidérer le marché actuel des solutions SIEM/SOAR/MDR pour identifier la solution qui répondrait au mieux au délicat équilibre entre :

• Réponses à ses besoins spécifiques
• Enveloppe budgétaire acceptable
• Gestion du facteur « Temps » pour éviter, si possible, un double run.

Ce changement technologique induisait plusieurs enjeux essentiels pour le Club Med :

• La nécessité d’élargir le périmètre de supervision pour avoir une approche globale : infrastructures on premise, postes de travail, services cloud, gestion fine des évènements autour de l’IAM.
• L’amélioration de l’enrichissement et de l’analyse des alertes via des sources externes permettant d’affiner les analyses de réputation comme de mieux intégrer les outils de threat intelligence.
• Une intégration simple avec les outils existants au sein de Club Med pour une gestion quotidienne plus fluide.
• Une prise en main intuitive pour embarquer au mieux les utilisateurs internes de la solution.

Calendrier de sélection et migration

Face à un calendrier contraint par l’annonce surprise d’IBM et Palo Alto Network et les dates de fin de contrats (7 mois pour agir), le Club Med a mis en œuvre une démarche projet accélérée :

• Consultation des acteurs majeurs du marché ou en adéquation avec l’écosystème du Club Med.
• Première évaluation technique sur document.
• Réalisation d’un SWOT couvrant autant les problématiques techniques que fonctionnelles (continuation des partenariats en place, montée en compétence, technicité de la solution, impact sur les infrastructures, difficulté d’intégration, logique avec l’écosystème actuellement en place, …)
• Évaluation budgétaire
• Réalisation d’un POC technique sur trois mois avec le candidat retenu, en conditions réelles, pour être en capacité d’envisager une bascule complète en fin d’année.

Le calendrier mis en place et respecté a été le suivant :

• Première liste de solutions établie fin mai
• Le choix final du candidat à tester effectué fin juin
• Montée en compétence des équipes durant la période estivale
• Démarrage du POC en septembre
• Prise de décision début décembre

La phase de test devait couvrir les éléments techniques suivants :

• Validation de la prise en charge des sources essentielles pour le Club Med
• Évaluation des jeux de règles nativement présents dans la solution
• Portage des règles spécifiques au Club Med
• Portage des playbooks existants
• La capacité à générer des rapports et dashboards
• Confirmation des hypothèses de volume de logs dans la plateforme et de l’adéquation des projections financières

Cédric : « Le calendrier serré et l’importance de bien comprendre les risques associés à chaque solution étaient cruciaux pour nous. Nous avons dû évaluer chaque option avec rigueur. L’accompagnement de Becycure et l’implication de nombreuses équipes du Club Med durant la phase de POC ont été des atouts essentiels dans la réussite du projet. »

BECYCURE : « L’un des points essentiels était de garantir une visibilité complète sur l’ensemble des sources de données et d’intégrer une solution qui s’aligne avec l’écosystème existant. »

Durant cette phase, l’ensemble cohérent de solutions proposées par Rapid 7 est non seulement apparu comme une alternative pertinente à la solution existante, mais également comme apporteur de valeur pour accompagner le Club Med dans la montée en puissance de la fonction SOC. 

Quelques éléments pratiques ayant participé à la prise de décision : 

• Nombreux connecteurs nativement disponibles pour couvrir les solutions techniques du marché ou les services cloud de référence
• Un agent multi fonction (remontée des logs, cartographie des vulnérabilités, capacité d’investigation) 
• Une capacité de détection efficace
• Une bonne capacité d’automatisation
• Une bonne intégration des différentes solutions Rapid 7
• Un interfaçage simple avec les outils d’ITSM

Fonctionnement de la solution

Architecture cible

Le cœur de la solution Rapid7 repose sur deux trois éléments principaux :

• InsightIDR (SIEM - Cloud) : centralise la collecte et l’analyse des logs pour la détection des menaces.
• InsightConnect (SOAR – Cloud et on premise) : automatise les workflows de réponse aux incidents, réduisant ainsi les délais de remédiation.
• Les agents locaux et les collecteurs de logs

Déploiement et intégration

Cédric : « Nous avions besoin d’une plateforme qui puisse non seulement centraliser et automatiser la supervision de notre sécurité, mais aussi avoir des composants on premise pour la collecte des logs qui s’intègrent facilement dans nos environnements et processus de déploiement. »

Le processus de migration s’est déroulé en plusieurs étapes :

• Septembre : Installation et configuration des collecteurs Rapid7 et déploiements des agents.
• Octobre : Connexion des différentes sources de logs externes (firewalls, proxy, filtrage mails, etc.).
• Octobre/Novembre :
  • Mise en place des règles de détection et des alertes adaptées aux besoins de Club Med.
  • Analyse des alertes remontées et traitements des faux positifs
• Novembre/Décembre : Intégration et test des playbooks d’automatisation pour une réponse rapide aux incidents.
• Décembre : Évaluation finale et validation de la solution.

Cédric : « L’intégration simple des agents dans nos environnements a été essentielle pour avoir une visibilité rapide sur notre parc et une première compréhension du socle de règles nativement fourni. »

BECYCURE : « L’automatisation offerte par Rapid7 permet une réduction significative du temps de réponse face aux incidents de cybersécurité. »

Résultats et analyses

Performances et efficacité

Les premiers résultats ont démontré plusieurs points positifs :

• Un parsing natif efficace des logs, simplifiant l’exploitation des données.
• Un portfolio de règles de détection bien fourni, régulièrement mis à jour pour répondre aux nouvelles menaces.
• Une visibilité accrue sur l’ensemble des sources de données, facilitant les investigations de sécurité.

Cédric : « Nous avons observé une nette amélioration dans la pertinence des alertes, ce qui nous a permis de réagir plus rapidement face aux incidents. »

« L’un des points forts d’InsightIDR, c’est sa capacité à fournir rapidement une visibilité étendue sans nécessiter une configuration complexe. Cela nous a permis de gagner un temps précieux. Attention, cela ne signifie pas qu’un travail fin pour adapter le système à un environnement n’est pas requis. »

BECYCURE : « La solution Rapid7 s’est révélée performante, avec un parsing natif et une bibliothèque de règles régulièrement mise à jour pour une détection optimisée. »

Points à améliorer

Malgré leurs avantages, certaines limitations de l’offre Rapid 7 ont été relevées lors du déploiement :

• Assez logiquement pour une offre cloud, le data usage est soumis à licence. Cet aspect demande une analyse sérieuse des besoins pour éviter de générer des couts de stockage importants et mal utilisés. Lorsque l’on vient du monde « On premise », cette limitation est significative et nécessite de bien affiner sa réflexion sur le sujet avant les prises de décision.
• L’absence de gestion fine sur la durée de conservation par typologie de log source est regrettable, car il s’agit d’une fonction qui pourrait permettre d’optimiser le stockage. A-t-on réellement besoin de conserver des logs firewalls pendant 13 mois ?
• Les fonctionnalités d’IPAM présentes chez notre éditeur précédent étaient précieuses pour apporter des éléments de positionnement à nos analystes SOC. C’est une fonction rarement présente sur ce type de produit, cela n’a donc pas été différentiant. 
• Les fonctions « Wiki » présentes sur notre SOAR précédent n’ont pas pu être reprises. 

Cédric : « La solution parfaite existe-t-elle ? Malheureusement non. Cependant, certaines limitations rencontrées ont permis de développer des projets internes profitant à plusieurs équipes ou encore de capitaliser sur les éléments mis en œuvre par nos DevOps. A l’arrivée, ce sont finalement des irritants qui ont permis de reconsidérer une situation et d’améliorer nos processus. Ce n’était pas prévu, mais le bilan est positif. »

Conclusion et recommandations

Ce projet de transition vers Rapid7 a permis au Club Med d’adopter une solution moderne et performante, alignée sur ses exigences de supervision et d’automatisation. Malgré quelques limitations identifiées, la plateforme s’est révélée efficace dans l’optimisation de la détection des menaces et la gestion des incidents de cybersécurité.

Cédric : 

« La réalisation d’un pentest visant à simuler un ransomware, une fois la mise en production terminée, nous a permis de valider l’efficacité des remontées d’alertes de notre nouvelle plateforme en condition semi réelle. Tout n’est pas encore parfait mais nous avons gagné en efficacité et sommes sur le bon chemin. 

Cela nous démontre malgré tout que le vrai travail ne fait que commencer. Nous continuons au quotidien à affiner, enrichir et adapter les règles de détection à nos environnements comme à ajouter de nouveaux scénarios de détection. Cependant, nous utilisons désormais une solution moderne, qui répond à nos besoins et nous permet de gagner en efficacité. »