Des normes de sécurité laxistes vous rendent vulnérable. Mais des processus trop sensibles génèrent de fausses alertes qui peuvent poser problème pour distinguer un allié d’un ennemi. Et malheureusement, ce phénomène peut s’étendre facilement.
« Notre campus est étendu », indique John McGuthry, vice-président et responsable des technologies de l’information (DSI) à l’Université d’État polytechnique de Californie, Pomona (Cal Poly Pomona). « Non seulement de par le nombre d’étudiants qu’il compte, mais également de par sa surface. Le campus s’étend sur près de 600 hectares et compte plus de 100 bâtiments. Nous avons des écuries. Nous avons des fermes. L’étendue de notre infrastructure réseau et de l’espace sans fil que nous gérons est énorme. »
Et la gestion d’un tel environnement de campus commençait à s’avérer difficile pour les ressources de sécurité informatique de l’établissement. « Nous étions tellement submergés d’alertes sur les appareils que cela en devenait presque ingérable », se souvient John McGuthry. « La quantité d’informations que nous devions examiner ne cessait d’augmenter. Nous devions adopter une meilleure approche. »
Mais au-delà de la taille de son environnement, Cal Poly Pomona rencontrait également des défis liés aux différentes normes de sécurité des données à respecter. Comme l’explique John McGuthry : « La police est présente sur le campus, il y a donc des normes de conformité à respecter pour les données des forces de l’ordre. Nous avons un centre de santé, donc la loi HIPAA entre aussi en jeu. Il y a un hôtel, des restaurants, des commerces, qui dépendent des exigences PCI. En prime, nous détenons des informations sur les étudiants dont nous devons assurer la protection. »
Pour relever ces défis, John McGuthry a voulu mettre en place une plateforme centralisée de gestion des informations et des événements de sécurité (SIEM) capable de fournir des fonctionnalités de journalisation complexes. Après plusieurs conversations en interne, il a souhaité explorer les capacités offertes par IBM® Security QRadar SIEM et a rapidement pris rendez-vous pour une première discussion avec une équipe IBM Security.
« Suite à une évaluation complète de QRadar et après avoir discuté avec IBM, j’ai appelé notre RSSI pour lui dire : « C’est parti ! », se rappelle John McGuthry. « Il me paraissait que c’était la meilleure solution pour Cal Poly Pomona. »
Dans le cadre du déploiement initial de QRadar SIEM, l’équipe IBM Security et le personnel de Cal Poly Pomona ont réalisé un inventaire complet de toute l’architecture, créant un enregistrement détaillé de la topologie réseau tout en identifiant tous les rôles utilisateur avec accès aux données. Actuellement, près de 27 000 étudiants actifs et 3 000 professeurs et employés utilisent régulièrement le système.
« Il existe également un large groupe d’utilisateurs transitoires formé de candidats qui postulent chaque semestre », explique Carol Gonzales, vice-présidente associée chargée de la sécurité et de la conformité informatiques et responsable de la sécurité des systèmes d’information à l’université. « Cela porte notre base d’utilisateurs à environ 100 000 au total, chiffre qui redescend tout aussi rapidement. Nous organisons également de nombreux événements pour la communauté. Et chaque année a lieu une cérémonie de remise des diplômes qui accueille les amis et la famille des étudiants sur le campus. C’est exigent en termes d’accès sans fil. »
Maintenant que l’inventaire a été effectué et les rôles utilisateurs identifiés, QRadar SIEM permet à Cal Poly Pomona de centraliser, normaliser et analyser les données entrantes à partir de plus de 84 000 appareils pour identifier les menaces potentielles via le machine learning et l’analyse comportementale. En moyenne, ce processus génère environ 44 Go de journaux et de rapports chaque jour, ce qui, en termes d’analyses légales, permet de simplifier le respect des exigences en matière de conformité et d’audit.
Pour être plus précis, les fonctions d’alertes exploitables de la solution IBM peuvent identifier rapidement et efficacement les points d’intrusion, et les signaler à des fins d’enquête. En outre, QRadar SIEM propose des fonctionnalités d’analyse du comportement des utilisateurs qui permettent au personnel de sécurité d’identifier des anomalies auparavant indétectables pouvant indiquer des attaques ciblées, des menaces internes ou d’autres activités malveillantes.
Au-delà de la simple sécurité, QRadar SIEM contribue également aux efforts éducatifs de l’université. En l’occurrence, au Mitchell Hill Data Center de l’établissement, les étudiants du College of Business Administration utilisent la technologie IBM pour acquérir une expérience concrète en cybersécurité.
« Il s’agit d’une architecture isolée et cloisonnée qui imite notre environnement de production », clarifie le Dr Ronald E. Pike, professeur associé qui enseigne sur les systèmes d’information informatiques à l’université. « Les étudiants de Cal Poly Pomona l’utilisent pour gérer leur propre centre d’opérations de sécurité [SOC], où ils peuvent se servir de QRadar pour observer le trafic entrant et sortant dans l’environnement. De plus, ils peuvent générer artificiellement une activité utilisateur supplémentaire qui fournit une référence cohérente des problèmes de sécurité à résoudre tout au long du semestre. »
En outre, la technologie IBM permet de dispenser des cours spécialisés axés sur l’audit informatique ainsi que sur la gestion holistique de la sécurité, en particulier sur la façon dont les différents domaines de la cybersécurité interagissent les uns avec les autres.
« Un certain nombre de compétitions sont également organisées dans le centre de données des étudiants », ajoute M. Pike. « Et QRadar joue un rôle critique dans la surveillance de ces activités, en fournissant des données d’évaluation claires sur les performances des concurrents. »
QRadar SIEM offre une visibilité complète sur l’ensemble du réseau du campus. En prime, la technologie IBM facilite la détection des attaques ciblant des vulnérabilités auparavant non identifiées, ainsi que celle des menaces avancées et persistantes. C’est tout cela qui permet à Cal Poly Pomona d’identifier les failles de sécurité et les intrusions beaucoup plus rapidement. En outre, la solution réduit désormais les alertes potentielles quotidiennes à 20 ou 40 éléments exploitables à examiner.
« Nous ne pouvons pas tout vérifier, donc QRadar agrège et remonte les détails qui demandent réellement un examen approfondi », explique Carol Gonzales. « Par exemple, il y a quelques mois, un incident s’est produit : nous avons détecté des modifications non autorisées sur plusieurs ordinateurs de bureau du même service. Avec QRadar, nous avons pu rapidement identifier et reconfigurer ces systèmes dans la même semaine. Nous avons également, assez facilement, ajouté un widget à notre tableau de bord. Il nous permet de garder un œil sur ce service au cas où le problème se reproduirait.
Et au-delà de la valeur ajoutée de cette technologie, Carol Gonzales a également été satisfaite du soutien offert par l’équipe IBM Security. Comme elle le fait remarquer : « Nous apprécions vraiment les évaluations de valeur que nous faisons ensemble, quand IBM nous fait découvrir comment travailler plus intelligemment. Ces évaluations nous permettent de savoir quelles infractions traiter en priorité. Elles nous apprennent à laisser QRadar faire le travail pour nous au lieu d’essayer de gérer l’outil. »
John McGuthry continue : « Au-delà des performances d’un produit, le service est vraiment important. Et les experts qu’IBM a mis à notre disposition ont été d’une aide inestimable pour notre université. »
Fondée en 1938, Cal Poly Pomona (lien externe à ibm.com) est une université polytechnique de premier plan axée sur l’apprentissage par l’expérience et la découverte pratique. L’institution est située à Pomona, en Californie, et compte neuf collèges universitaires distincts qui proposent collectivement des licences dans 94 majeures et 39 programmes de master.
Mentions légales
© Copyright IBM Corporation 2023. IBM Corporation, New Orchard Road, Armonk, NY 10504
Produit aux États-Unis d’Amérique, novembre 2023.
IBM, le logo IBM, ibm.com, IBM Security et QRadar sont des marques commerciales ou des marques déposées d’International Business Machines Corporation, aux États-Unis et/ou dans d’autres pays. Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés. La liste actualisée de toutes les marques d’IBM est disponible sur ibm.com/legal/copyright-trademark.
Les informations contenues dans le présent document étaient à jour à la date de sa publication initiale. Elles peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Toutes les références clients mentionnées ou décrites illustrent la façon dont certains clients ont utilisé les produits IBM et précisent les résultats qu'ils ont pu obtenir. Les chiffres réels en termes de coûts environnementaux et de performances peuvent varier d'un client à l'autre en fonction de la configuration et des conditions de fonctionnement. En général, les résultats attendus ne peuvent pas être garantis, car les résultats de chaque client dépendent entièrement des systèmes du client et des services commandés. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L'ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET AUCUNE GARANTIE OU CONDITION D'ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Déclaration sur les bonnes pratiques de sécurité : aucun système ou produit informatique ne doit être considéré comme complètement sécurisé, et aucun produit, service ou mesure de sécurité ne peut être totalement efficace pour empêcher une utilisation ou un accès non autorisé. IBM ne garantit pas qu’un système, produit ou service, quel qu’il soit, est à l’abri, ou mettra votre entreprise à l’abri, de la conduite malveillante ou illégale de quelque partie que ce soit.
Il incombe au client de respecter l'ensemble des lois et réglementations applicables. IBM ne fournit pas de conseils juridiques et ne déclare ni ne garantit que ses services ou ses produits mettront le client en conformité avec la législation ou la réglementation en vigueur.