La détection automatique des anomalies

Lorsque son entreprise utilise Google Workspace ou Microsoft 365, le RSSI peut accéder à des outils de supervision fournis par ces deux grands éditeurs. Ces outils donnent accès à des systèmes d’alerte plus ou moins paramétrables qui permettent d’avoir des informations concernant la sécurité informatique des comptes.

Bon, voilà pour la théorie.

En pratique, quand vous devez superviser 30 000 comptes, si vous ne voulez pas être submergé d’informations, il faut “faire confiance” à des règles pré-paramétrées et à des filtres qui vous alertent quand ils repèrent un problème. Il est de plus très difficile d’être expert de chaque outil de supervision et de chacune des briques de sécurité fournies, car les règles d’alerte et les filtres changent très souvent, et sont adaptés par les équipes Google et Microsoft, sans prévenir les équipes de sécurité de leurs clients.

Si en plus vous êtes comme moi en charge de la coordination de la sécurité informatique d’une grande école de l’enseignement supérieure, alors les mois de juin et de décembre sont un peu particuliers… En effet, beaucoup d’utilisateurs se déplacent d’un coup dans le monde entier, ce qui affole les outils de détection. C’est le charme du travail avec une grande population d’étudiants.

Mais si en plus, l’école accueille un très grand nombre d’étudiants étrangers, en provenance d’un grand nombre de pays, alors là c’est le pompon : les outils détectent des connexions en provenance de PAYS A RISQUE : Syrie, Russie, Iran, Irak, Libye, Chine, Tchétchénie, Yémen…

Alors, comme toute l’année, le RSSI prend son bâton de pèlerin, et vérifie que oui, ce compte est bien attribué à une personne qui vit dans ce pays, et que oui, il est probable qu’à ce moment de l’année, cette personne soit rentrée chez elle, même dans ce pays identifié comme PAYS A RISQUE par les outils de détection américain. C’est un travail long et fastidieux, mais qui a le mérite de me faire voyager par procuration.

Et de temps en temps, je tombe sur un compte réellement compromis, en général par un pirate ayant récupéré les identifiant/mot de passe de l’étudiant quand celui-ci les utilise sur d’autres comptes, ailleurs sur la planète, et que ceux-ci se sont faits piratés…

A ce moment-là démarre une autre traque, plus délicate : la recherche des données ayant été compromises, exfiltrées par le pirate. Il faut ensuite prévenir les personnes concernées, faire les déclarations auprès des organismes appropriés (CNIL, dépôt de plainte…).

Mais ça, c’est une autre histoire. Pour l’instant, je rêve de SOC et d’armés d’experts qui pourraient m’aider dans ces tâches parfois un peu absurdes et rébarbatives : tiens, untel est-il vraiment parti en vacances/travail/famille à tel endroit ?

2 réflexions sur « La détection automatique des anomalies »

  1. Hmmm. Ça soulève une question intéressante : cette démarche à base d’outils de supervision qui indirectement vous donnent à connaître une donnée confidentielle, à savoir la position géographique (très grosse maille) de vos élèves / utilisateurs est-elle conforme au RGPD ? Est-ce que ça peut être considéré comme un “usage légitime” ?
    Il me semble que oui, mais je ne connais pas très bien ces questions là.
    En tout cas, ça montre que l’on peut se faire pister même sans volonter d’autrui de pister…

    • Oui, cela rentre dans le cas d’un usage légitime, puisqu’il s’agit de maintenir en condition de sécurité (MCS) le système d’information. N’oubliez pas que les administrateurs systèmes accèdent à énormément d’informations et que toutes les actions des utilisateurs sont tracés dans des fichiers de logs avec des durées de conservation variables, le tout ingéré par des SIEM gloutons.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.