ELSAN est un groupe de santé privé qui regroupe 137 établissements de santé en France métropolitaine. L’enjeu était de mettre sous surveillance les 137 SI différents.
Vous préférez écouter le retour d’expérience de Grégoire Saugy ? Rendez-vous sur le replay du webinar « Données de santé : le jour où mon coeur s’est arrêté de battre »
Comment gérez-vous vos risques et menaces ?
La fonction sécurité est centralisée au sein du groupe. Nous regroupons un certain nombre d’activités (opérationnelles ou de gouvernance) pour le compte de nos établissements. Une des activités qui nous occupent particulièrement est la fonction de SOC, opérée avec nos équipes internes. Cet ensemble de service de sécurité intègre Serenety, notre offre en Cyber Threat Intelligence.
Comment coordonnez-vous la gestion de la remédiation ?
L’équipe sécurité à plusieurs rôles sur les plans d’action.
- Un rôle opérationnel avec des actions de blocage sur des campagnes de Phishing.
- Un rôle de pilotage des remédiations ou des actions de prévention avec la réalisation des patchs de sécurité.
Pourquoi avoir choisi de vous intéresser à qui et à quoi vous êtes exposés ?
La mise en place de Serenety a été une des premières actions réalisées dans la construction de notre démarche de sécurité au sein du groupe.
L’objectif était de connaitre notre surface d’exposition, car nous savions bien que les attaques pouvaient arriver de partout. Aujourd’hui, le constat est simple, la menace est la plus forte sur tout ce qui est exposé sur internet, car c’est par nature accessible par n’importe qui, dans le monde.
Il y a un temps de latence entre la connaissance des failles et leur correction. En effet, le patch management n’est pas immédiat (délais de prise en charge, défauts de configuration par ex). Par conséquent, un grand nombre de menaces pèsent sur notre exposition et il est souhaitable de rapidement savoir où nous sommes exposés et à quoi.
Vous voulez comprendre les avantages à mettre en place une stratégie de Cyber Threat Intelligence ? Nous vous invitons à consulter notre livre blanc « Cyber Threat Intelligence : comment vous aide-t-elle à bien allouer votre budget cybersécurité ? »
Pouvez-vous partager des cas d’usage ?
Nous avons commencé par un test de la solution. Celui-ci nous a permis de faire un inventaire de toute notre exposition sur internet.
Une des premières alertes qui nous a été remontée concernait une erreur de configuration sur un serveur web. On avait une configuration toute bête : le directory listing était activé et permettait de récupérer des fichiers qui étaient stockés sur un dossier du serveur web.
Nous avions dans ce dossier, des fichiers temporaires qui étaient assez sensibles et donc accessibles de n’importe qui sur internet, si on savait où chercher. C’était la première alerte rouge qui a ancré dans les esprits et validé l’utilité de Serenety.
Autre cas concret, qui a fait le tour des médias l’année dernière. Une liste de comptes VPN était en vente sur le darkweb, parmi lesquels se sont retrouvés certains comptes VPN d’utilisateurs de nos établissements. L’alerte nous a été donnée dès la mise en vente de ces comptes et nous a permis de prévenir l’exploitation de ces VPN à des fins malveillantes. Par rebond, cela nous a également permis d’identifier la source de la fuite qui était liée à une faille non corrigée.
Vous voulez vos propres cas d’usage ? Demander une démonstration et testez le service Serenety gratuitement !
En tant que RSSI, vous êtes noyés d’alertes, notamment à travers les SOC. Pourriez-vous nous dire si vous recevez beaucoup de faux-positifs ou si vous avez du mal à exploiter les alertes ?
Lorsque nous avons mis en place le service, nous avons reçu beaucoup d’alertes, il ne s’agissait pas de faux-positifs, mais plutôt d’alertes avérées. Nous ne recevons que des éléments qui sont vérifiés par des chefs de projets sécurité chez XMCO. Cela nous permet d’être plus efficaces dans nos modes de traitement.
Aujourd’hui, dans ce que nous recevons, nous nous positionnons soit en pilotage et en suivi des actions préconisées au sein des alertes remontées, soit en remédiation lorsqu’on a la possibilité de le faire.
Nous sommes beaucoup plus efficaces et opérationnels sur le traitement de ces alertes parce qu’il n’y a pas de faux-positifs.
Pouvez-vous citer quelques avantages de la solution Serenety ?
Ce qui nous rassure, c’est que chaque fois qu’il y avait des publications de failles sensibles, on ne recevait pas d’alertes de la part de Serenety, c’est une forme de tranquillité d’esprit. Sur la partie internet qui nous semble la plus sensible, on n’est pas exposés. Après il nous reste à faire tout le travail en interne.
- Réactivité : nous avons une assez bonne réactivité de la part des équipes Serenety qui réalise les tests assez rapidement sur les principales des failles qui sont ou qui vont être exploitées.
- Disponibilité : nous avons un chef de projet qui est dédié au compte, qui connait bien l’équipe et avec qui nous avons un lien privilégié. Nous pouvons échanger facilement sur des éléments qui ne sont pas forcément couverts par l’offre Serenety. Cela nous donne des pistes et des orientations sur la manière de gérer les failles par exemple.
- Gain de temps : Serenety nous apporte un réel gain de temps, car il n’y a ni faux positifs ni perte de temps sur la qualification des remontées. Cela nous permet de nous concentrer sur d’autres actions. Par exemple, nous faisons une sorte de contre audit sur ce qui est remonté. Notre chef de projet vérifie que les failles remontées, après remédiation, sont bien patchées. Certaines remédiations nécessitent un enchainement d’actions… si elles ne sont pas faites dans le bon ordre la faille est toujours exploitable. Le contre audit nous permet de nous assurer que la faille n’est plus présente.
- Suivi régulier : le suivi régulier trimestriel permet d’avoir une mise à jour de notre situation. C’est le moment de prendre un peu de hauteur. C’est appréciable d’avoir ce suivi, notamment parce qu’on peut partager ce que l’on souhaiterait voir apparaître dans le service, et nous avons plusieurs fois été entendus.
- Personnalisation : nous avons la possibilité de personnaliser l’offre à nos besoins et à notre fonctionnement. Par exemple, nous avons pu, pour nos 137 établissements, mettre en place un trigramme permettant de savoir directement à quel établissement une alerte est liée.
Ce retour d’expérience vous a plu ? Découvrez celui de Rémi Tilly, RSSI, Sesan.
>> Découvrir son retour d’expérience
Pour en savoir plus sur Serenety, rendez-vous ici.
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour d’expérience Serenety – Vincent Templier RSSI, CHU de Montpellier et RSSI / DPO du GHT Est-Hérault et Sud-Aveyron
Lire l'article -
Cyber Threat IntelligenceExpérience client Serenety – Eric de Bernouis, Groupe Rocher
Lire l'article
