Lorsque des cyberattaques parviennent à ouvrir une brèche même dans les systèmes de sécurité informatique les plus robustes, il est crucial de la détecter rapidement afin de gérer cette intrusion et de s'en remettre. Mohawk s'est associé à GlassHouse Systems, partenaire commercial IBM, pour mettre en œuvre la solution IBM Security® QRadar® Security Information and Event Management (SIEM) afin de détecter rapidement les violations et de définir ses priorités en matière de réponse aux incidents.
Mohawk College souhaitait implémenter une solution SIEM de pointe pour gérer sa protection contre les menaces grandissantes susceptibles de pénétrer le système de défense déjà robuste autour de son environnement informatique complexe.
L'établissement a collaboré avec GlassHouse pour mettre en œuvre la plateforme QRadar SIEM afin de bénéficier d'une meilleure visibilité sur son environnement et de détecter des violations de cybersécurité, les analyser et y répondre.
Les établissements d'enseignement supérieur représentent certaines des cibles les plus intéressantes pour les cybercriminels. Ils détiennent des richesses sous forme de propriété intellectuelle, de recherches et d'informations personnelles des étudiants et du personnel enseignant. En outre, des acteurs malveillants s'emparent généralement des données les plus accessibles en toute facilité car les mesures et technologies de cybersécurité sont souvent mises en œuvre petit à petit, sans se soucier de bénéficier d'une prévention et d'une réponse systématiques au sein des différents départements d'une université ou d'un établissement d'enseignement supérieur.
« On compte tellement de départements différents avec des activités différentes qu'il en devient compliqué de protéger cet environnement, explique Andrew Frank, responsable des services de sécurité informatique du Mohawk College situé à Hamilton (Ontario, Canada).En général, si vous ne disposez pas d'un programme de sécurité bien pensé, les techniciens s'occuperont de tout ce qui relève de la protection de votre environnement. Ils s'empresseront d'acheter un logiciel antivirus ou d'installer des pare-feu nouvelle génération. Bien que ces actions soient très importantes, elles ne suffisent pas à elles seules à lutter contre les cyberattaques qui ciblent un établissement comme Mohawk. »
Il n'y a rien de surprenant à ce que le Mohawk College adopte une approche globale de la cybersécurité. L'établissement se spécialise dans la recherche appliquée dans différents domaines d'étude, ce qui permet aux étudiants d'acquérir une expérience concrète auprès des entreprises d'Hamilton et de la région du Grand Toronto. Il est réputé pour l'innovation dont il fait preuve au sein de ses propres opérations, dont des bâtiments écologiques et des systèmes de chauffage et de refroidissement certifiés LEED.
Le Mohawk College enseigne également la cybersécurité et dispose d'un service informatique central qui supervise la cybersécurité de l'établissement. Il y a de ça quelques années, l'établissement a réalisé qu'il lui fallait des outils de cybersécurité de pointe pour se protéger contre les pirates informatiques.
A. Frank se souvient de la manière dont l'environnement de cybersécurité de l'établissement a évolué : « Notre direction commençait à se poser des questions à ce sujet et à réfléchir à comment nous pourrions concevoir un programme de protection de nos ressources les plus importantes. Le service informatique central s'est d'abord intéressé aux frameworks de sécurité dans différents secteurs, dont les normes ISO 27001 et ISO 27002 pour gérer la sécurité des informations. Il a ensuite utilisé le framework de cybersécurité du NIST (National Institute of Standards and Technology) pour mener une analyse de ses propres lacunes autour de cinq piliers : identification, protection, détection, réponse et récupération.
L'établissement n'était pas surpris de voir qu'il savait identifier correctement les ressources à protéger et assurer leur protection en général. En revanche, il ne s'est pas montré aussi performant en matière de détection. Ainsi, dans l'éventualité où les contrôles échoueraient, il ne serait pas capable d'identifier rapidement les brèches, d'y répondre et de récupérer de ces attaques. « Vous pouvez investir autant que vous le voulez dans vos mécanismes de protection, mais il n'existe pas de remède miracle, affirme A. Frank.Au final, le danger reste élevé et l'environnement complexe. »
Le Mohawk College a décidé de se concentrer sur la détection et d'y investir. « Nous voulions nous assurer que si un individu parvenait à déjouer notre sécurité, nous saurions rapidement le détecter sur notre réseau et le mettre hors d'état de nuire », précise A. Frank. Dans l'enseignement supérieur, plusieurs mois peuvent s'écouler avant qu'on ne remarque que des pirates informatiques se sont infiltrés dans le système.« Nous ne voulions pas que cela nous arrive en cas de violation de nos systèmes », ajoute-t-il.
« Nous accordions une grande importance à la détection rapide, mais également à ce qui vient après, explique A. Frank.Vous voulez pouvoir revoir le déroulement des événements pour savoir avec exactitude ce qui s'est passé et quels systèmes ont été touchés, pour les reconstruire par la suite et sécuriser à nouveau votre réseau. »
Le Mohawk College s'est lancé dans la recherche d'une plateforme de détection de pointe. A l'époque, il travaillait déjà avec IBM pour créer son programme d'études en cybersécurité pour y inclure des outils SIEM comme la solution QRadar. C'est dans cet état d'esprit que A. Frank et ses collègues ont commencé à étudier des solutions SIEM pour l'établissement.
A. Frank décrit ses critères de recherche : « Nous voulions un outil facile à utiliser et qui ne nécessiterait pas des heures de formation pour apprendre à naviguer et parcourir des données afin de pouvoir consulter des événements de journal ou effectuer des analyses de trafic réseau. »L'établissement avait besoin d'un outil qui ne se contenterait pas de conserver les informations à des fins de recherche, mais saurait aussi identifier les incidents et les classer par ordre de priorité, en plus d'offrir la possibilité d'exploiter l'IA pour enquêter plus rapidement sur des violations.
QRadar s'est vite hissé à la première place des solutions étudiées par le Mohawk College. L'outil se distinguait du reste des solutions car Gartner l'avait nommé meilleur SIEM dans son rapport Magic Quadrant SIEM. Il avait également bonne réputation auprès des fournisseurs de cloud public et faisait l'objet de recommandations solides de la part d'autres établissements d'enseignement supérieur.
Le Mohawk College a décidé d'implémenter la plateforme QRadar SIEM pour détecter et prioriser plus rapidement les menaces sur son réseau informatique diversifié et étendu. « QRadar remplissait vraiment tous les critères que nous recherchions, indique A. Frank. Il ne nous restait plus qu'à trouver quelqu'un qui pourrait nous vendre la plateforme, mais également nous fournir des services professionnels en matière d'installation. »
Le Mohawk College a donc choisi GlassHouse, un partenaire commercial IBM local, pour mettre en œuvre la solution QRadar et lui fournir une assistance continue et personnalisée.
« Dès le début, nous avons remarqué que toute l'équipe de GlassHouse était extrêmement professionnelle, raconte A. Frank. Elle ne cherchait pas simplement à nous vendre quelque chose pour ensuite nous laisser nous débrouiller.Elle a pris soin d'établir une vraie relation avec nous. »
GlassHouse a mis en oeuvre la solution QRadar, en développant l'infrastructure sur les trois campus et son centre de données principal pour aider l'université à ingérer et analyser les données provenant de plusieurs systèmes et départements. Le partenaire commercial IBM a également formé l'équipe du Mohawk College et lui a fourni toute la documentation et les schémas dont elle avait besoin.
La plateforme QRadar fournit un tableau de bord consolidé à l'établissement, qui permet à son équipe de sécurité informatique de visualiser la sécurité du réseau. Lorsqu'une violation ou une infraction survient, les analystes de sécurité peuvent utiliser le tableau de bord dédié pour savoir comment, quand et où elle a eu lieu. La solution QRadar priorise les infractions en fonction de leur pertinence, crédibilité et gravité, de sorte que l'établissement puisse se concentrer sur la réponse à apporter aux plus urgentes.
La solution offre une personnalisation approfondie en fonction des besoins des utilisateurs. Par exemple, l'établissement est sujet à un grand nombre d'attaques par hameçonnage dirigées contre le personnel enseignant, le personnel administratif et les étudiants. « Nous avons pu créer nous-mêmes un tableau de bord, dit A. Frank. Lorsqu'une attaque par hameçonnage passe notre barrière de protection, nous pouvons rapidement parcourir les données, qu'il s'agisse de la ligne d'objet, des expéditeurs, des destinataires ou du contenu du message, et repérer ces attaques pour savoir jusqu'où elles ont pénétré notre organisation, à quelle échelle et chez quels utilisateurs. »
L'équipe de sécurité peut alors contacter les utilisateurs pour les avertir qu'ils ont reçu un message d'hameçonnage et leur demander de prévenir l'équipe s'ils ont interagi avec ce message. L'équipe du Mohawk College peut également supprimer les messages du serveur de messagerie avant que d'autres utilisateurs ne se fassent avoir.
L'établissement se tournait également vers l'avenir en choisissant la solution QRadar. Bien qu'il n'exécute pas QRadar dans le cloud, il peut profiter de l'application QRadar Cloud Visibility.« Nous voulions nous assurer de choisir une solution évolutive qui soit capable d'intégrer des informations issues des clouds publics, si cela devient nécessaire, explique A. Frank. Si nous décidons de placer notre instance dans le cloud plutôt que sur site, QRadar est là pour répondre à nos besoins et c'est en quoi elle a réussi à nous convaincre. »
En outre, le Mohawk College peut établir un lac de données de sécurité dans QRadar pour la gestion des journaux et les cas d'utilisation SIEM avec QRadar Data Store. Cette solution lui permet de collecter, d'analyser et de stocker de larges volumes de données de sécurité et d'opérations informatiques de manière économique. Avec toutes les données de sécurité rassemblées en un seul et même endroit, le Mohawk College peut plus facilement produire des rapports de conformité, obtenir des résultats plus utiles et fournir à ses équipes un ensemble de données plus robuste à étudier. Elle simplifie la mise en œuvre en plus de réduire les coûts pour l'établissement, ce qui a fait encore davantage pencher la balance en faveur de la solution QRadar.
GlassHouse a travaillé avec l'équipe de sécurité pour ajuster le système de sorte qu'il élimine les alertes qui ne nécessitent pas une résolution immédiate. Jeff Wilson, directeur des ventes de services cloud et gérés chez GlassHouse, raconte : « Nous voulons atteindre les données exploitables, les 10 % sur lesquels vous voulez vous concentrer, pour lesquels vous voulez connaître la cause première et qu'il faut résoudre rapidement. »
Andrew Frank est satisfait de l'assistance pratique fournie par GlassHouse. « Nous avions besoin de services professionnels pour en arriver là, déclare-t-il.Nous avons réellement collaboré avec GlassHouse pour nous assurer que la solution soit correctement adaptée à notre environnement. Nous savons donc désormais que si un danger vient à se présenter, nous n'aurons pas à trier autant de données et nous bénéficierons d'une interface relativement simple. »
Même les meilleurs systèmes de cybersécurité ne parviennent pas à repousser toutes les menaces. En plus, si l'équipe de sécurité ne voit pas la menace, elle n'a aucune chance de pouvoir y répondre. Aujourd'hui, grâce à l'implémentation de QRadar, le Mohawk College peut repérer les violations de cybersécurité et y répondre.
« Tout est une question de visibilité, répète A. Frank. C'est le fait de pouvoir voir ce qui se passe sur le réseau, quelles machines se connectent et communiquent entre elles. C'est le fait de pouvoir créer des alertes afin de voir s'il existe une menace potentielle sur le réseau qui demande une enquête. Grâce à QRadar, nous bénéficions d'une couche de visibilité dont nous manquions auparavant. »
A. Frank compare la complexité que représentait la supervision du système de sécurité de Mohawk par le passé à la simplicité avec laquelle il peut aujourd'hui le visualiser dans le tableau de bord QRadar. « Dans une grande organisation, comme vous pouvez l'imaginer, il peut y avoir une multitude d'outils et d'appareils différents, dit-il. Il peut s'agir d'antivirus sur les terminaux, de centres de données ou de pare-feux, externes ou internes à l'organisation sur différents sites, ou de capteurs de prévention contre les intrusions par exemple. »Par le passé, ces éléments disposaient tous de leurs propres interfaces auxquelles l'équipe de sécurité devait se connecter individuellement pour visualiser les menaces potentielles. Chaque élément était présent en grand nombre, réparti à l'échelle de l'organisation au sein de différents départements, campus et sites.
« Maintenant, QRadar intègre toutes ces données au sein d'une seule et même vue, explique A. Frank. De plus, l'ensemble des alertes, avertissements et menaces potentielles qui viennent de ces solutions sont triés par ordre de priorité selon une approche axée sur le risque pour que nous les examinions. Elle nous aide vraiment à trier toutes les informations. La tâche est maintenant plus rapide et nous sommes certains de nous concentrer sur les menaces les plus importantes. »
Le Mohawk College utilise également QRadar Data Store pour gérer de façon centralisée ses journaux, renforçant ainsi la conformité de l'établissement à la norme Payment Card Industry Data Security Standard (PCI DSS). La connexion centralisée profite aussi à l'équipe chargée des opérations, selon Andrew Frank :« Lorsque qu'il s'agit de résoudre des problèmes dans le centre de données qui ne sont pas liés à la sécurité, l'équipe chargée des opérations peut désormais y accéder pour obtenir plus de détails. Elle peut effectuer des recherches afin de trouver rapidement les informations dont elle a besoin sans avoir à inspecter manuellement chaque machine et chaque journal. Je pense que ça facilite un certain nombre de défis auxquels l'équipe d'infrastructure type devra faire face. »
A. Frank est heureux que l'établissement ait choisi de collaborer avec un partenaire commercial IBM comme GlassHouse et ne tarit pas d'éloges pour son équipe : « Son personnel technique de qualité possède non seulement de solides connaissances sur QRadar, mais aussi sur la cybersécurité en général. Nous étions réellement impressionnés. »
Jeff Wilson, de GlassHouse, nous raconte à son tour pourquoi la relation étroite entretenue avec le Mohawk College a mené à la réussite : « Nous n'avons rencontré aucun problème à intégrer l'ensemble des éléments qui composent l'environnement de Mohawk à QRadar. Dans le domaine de la sécurité, entretenir une relation étroite et efficace avec un client, c'est-à-dire comprendre ses processus, son infrastructure et son environnement logiciel, ainsi que savoir où se trouvent ses données critiques, est plus qu'important pour en assurer la sécurité et trouver des moyens de combler les lacunes existantes. Je pense d'ailleurs qu'une entreprise de taille moyenne comme GlassHouse et un client de taille moyenne comme le Mohawk College fonctionnent parfaitement ensemble pour donner vie à cet engagement fructueux. »
Si la relation a porté ses fruits, c'est aussi grâce au soutien apporté par le conseil du Mohwak College et à l'adhésion des autres départements, comme les équipes chargées des opérations et de l'infrastructure, qui ont déjà pu constater les avantages de la solution QRadar. « Elles comprennent ce qu'est l'outil, son fonctionnement et en quoi, au sein de leurs départements respectifs, elles peuvent elles aussi en profiter, explique A. Frank. C'est un facteur clé de succès, en plus de rassembler l'ensemble du personnel autour de ce projet pour trouver la bonne solution en interne. »
L'établissement crée une synergie entre son service de sécurité en coulisses et ses programmes d'études en proposant des cours sur le thème de la cybersécurité qui abordent le SIEM. En définitive, l'utilisation de la plateforme QRadar pourrait devenir un outil de recrutement, puisque les étudiants qui souhaitent acquérir des compétences dans un secteur à forte demande comme la cybersécurité verront que l'établissement applique ce qu'il enseigne en implémentant une solution SIEM de pointe.
Fondé en 1966, le Mohawk College (lien externe à ibm.com), situé à Hamilton dans l'Ontario, au Canada, se positionne comme un établissement d'enseignement supérieur réputé pour sa culture de l'innovation. Il s'est donné pour mission d'instruire et de former des étudiants hautement qualifiés pour assurer leur réussite et leur contribution à la société. Le Mohawk College compte une équipe d'environ 1 000 professeurs qui enseigne à plus de 32 500 étudiants à temps plein, à temps partiel, en apprentissage et en provenance du monde entier. L'établissement se divise en trois campus principaux : Fennell, Stoney Creek et le Mohawk-McMaster Institute for Applied Health Sciences de l'université McMaster.
Fondée en 1993 à Toronto, au Canada, GlassHouse (lien externe à ibm.com), partenaire commercial IBM, aide ses clients des secteurs privé et public à réduire la complexité et les coûts opérationnels de leurs environnements informatiques. L'entreprise fournit des solutions pour le cloud, les services gérés, la sécurité d'entreprise, l'infrastructure et ses autres domaines d'expertise. Elle opère depuis son siège principal au Canada, situé à Toronto, et son siège aux Etats-Unis situé à Lisle, dans l'Illinois, et emploie près de 80 personnes.
Aspects juridiques
© Copyright IBM Corporation 2021. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Produit aux États-Unis d'Amérique, avril 2021.
IBM, le logo IBM, ibm.com, IBM Security et Trusteer sont des marques commerciales d'International Business Machines Corp., déposées dans de nombreux pays. Les autres noms de produits et de services peuvent être des marques d'IBM ou d'autres sociétés. La liste actualisée des marques d'IBM est disponible sur la page Web « Copyright and trademark information » à l'adresse www.ibm.com/fr-fr/legal/copytrade.shtml.
Les informations contenues dans le présent document étaient à jour à la date de sa publication initiale. Elles peuvent être modifiées sans préavis par IBM. Les partenaires commerciaux IBM fixent leurs propres prix, lesquels sont susceptibles de varier. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Les données de performance et les exemples de clients cités sont présentés à titre informatif uniquement. Les résultats des performances peuvent varier en fonction des configurations et des conditions de fonctionnement. Il incombe à l'utilisateur d'évaluer et de vérifier le fonctionnement de tout autre produit ou programme avec les produits et programmes IBM. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L’ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER ET AUCUNE GARANTIE OU CONDITION D’ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Il incombe au client de respecter les lois et réglementations qui lui sont applicables. IBM ne fournit pas de conseils juridiques et ne déclare ni ne garantit que ses services ou produits garantiront que le client est en conformité avec la législation ou la réglementation en vigueur.
Déclaration de bonnes pratiques de sécurité : la sécurité des systèmes informatiques consiste à protéger les systèmes et les informations par la prévention, la détection et la réponse aux accès inappropriés depuis et en dehors de votre entreprise. Tout accès non autorisé peut conduire à la modification, à la destruction, au détournement ou à l'utilisation abusive d'informations, ainsi qu'à l'endommagement ou à l'utilisation abusive de vos systèmes, notamment pour les utiliser dans des attaques contre d'autres personnes. Aucun système ou produit informatique ne devrait être considéré comme entièrement sécurisé et aucun produit, service ou mesure de sécurité ne peut être totalement efficace pour empêcher l'utilisation ou l'accès abusif. Les systèmes, produits et services d'IBM sont conçus pour fonctionner dans le cadre d'une stratégie de sécurité globale et conforme à la loi qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent nécessiter des performances maximales des autres systèmes, produits et services. IBM NE GARANTIT PAS QUE LES SYSTÈMES, PRODUITS OU SERVICES SONT PROTÉGÉS CONTRE LES AGISSEMENTS MALVEILLANTS OU ILLÉGAUX D'UN TIERS OU QU'ILS PROTÉGERONT VOTRE ENTREPRISE CONTRE DE TELS AGISSEMENTS.