Depuis plus de 2 ans, environ un millier de machines exploitées pour une vingtaine de services du Réseau National de télécommunications pour la Technologie l’Enseignement et la Recherche (RENATER) sont supervisés par Keenaï, la solution de gestion des informations et des événements de sécurité (SIEM) développée par Gfi depuis 2011. Dominique Launay, Responsable Adjoint du pôle Sécurité des Systèmes d’Informations apprécie son efficacité, sa facilité d’usage et la proximité avec les équipes de Gfi.

Créé en 1993, RENATER est la clé de voûte des réseaux de l’Enseignement et de la Recherche en France. Opérées en propre, ses quelque 12 000 km de liaisons optiques (de 1 à 100 Gb) fournissent les accès Internet à très haut débit (entre 50 Mb et 10 Gb) à plus de 1 300 sites universitaires, laboratoires de recherche (CNRS, Inserm, Inra, Inria…) et académies.

Il va sans dire que la sécurité s’inscrit au cœur des enjeux de ce réseau national. Elle est opérée par le Pôle SSI dont les missions couvrent la détection des attaques pour protéger les établissements, la protection des informations du GIP RENATER (l’entreprise en charge d’opérer le réseau), et la sécurité des services logiciels du réseau. Ces derniers reposent sur une infrastructure essentiellement composée de firewall, load balancer (équilibrage de charges) et de serveurs d’authentification. Une infrastructure sensible par définition qui nécessite une analyse des risques avant la mise en place des services. « Comme ils sont ouverts vers l’extérieur, il faut gérer les problématiques de mise en sécurité des données des utilisateurs, et du RGPD », justifie Dominique Launay, RSSI adjoint au Pôle SSI de RENATER. C’est dans ce cadre et sur le périmètre de ces services que le GIP a fait le choix d’installer Keenaï, la solution SIEM de Gfi.

Plusieurs millions d’événements analysés quotidiennement

Keenaï permet à l’équipe SSI d’établir des règles de protection des services opérés pour la communauté face aux risques d’intrusion ou de campagnes de spam. « On récolte les logs en provenance des load balancer, des firewall, des proxy d’authentification, afin de détecter les événements inhabituels que l’on corrèle avec des blacklist et avec MineMeld [un agrégateur communautaire de flux d’indicateurs de menaces sous forme de listes dynamiques, NDLR]. Le firewall fournit l’information au SIEM qui alimente des connaissances pour prendre des décisions de blocage, ou pas », explique l’expert sécurité. L’offre SIEM de Gfi permet ainsi de « s’assurer que tout se passe bien ». La solution assure l’analyse de millions d’événements qui transitent quotidiennement sur les services de RENATER utilisés par une communauté de plusieurs millions d’usagers.

Keenaï a séduit les équipes du GIP en 2017 pour son efficacité. « Face à des offres plus chères que nous avons testées, Keenaï s’en sortait vraiment bien. Les autres solutions, pourtant réputées sur le marché, ne répondaient pas toujours à nos exigences », témoigne Dominique Launay. « Et il y a une véritable proximité avec les équipes de Gfi, on sentait une vraie volonté de faire en sorte que les choses marchent bien. »

Prévenir les attaques

La solution SIEM de Gfi est également saluée pour sa facilité d’utilisation. « Keenaï permet de faire des règles spécifiques. L’ingénieur qui travaille sur Keenaï pousse la solution dans ses  derniers retranchements », déclare notre interlocuteur. Ce que confirme Fabien Corrard, Directeur Keenaï de la Business Unit Cybersécurité de Gfi, « RENATER est l’un des utilisateurs qui va au-delà des usages que nous avions imaginés ».

Au-delà des règles de sécurité que Keenaï permet d’établir, la solution est aussi utilisée dans le cadre d’expériences pour prévenir les attaques en s’appuyant sur l’analyse d’événements détectés précédemment. Par exemple, identifier des campagnes de spam suite à des tentatives malheureuses de vol d’identifiants par force brute. « Grâce à Keenaï, on peut analyser le mode opératoire et remonter sur certains évènements en amont, prémices à des attaques » assure Dominique Launay, « on dispose d’indicateurs qui nous permettent de mettre des règles sur la base d’intuitions pour détecter tel ou tel événement qui correspond à ce qu’on a imaginé ».

Une architecture plus modulaire pour la nouvelle version

La mise en place de la solution a toutefois nécessité une période d’ajustement et d’écriture des règles. « Même si nous étions partis sur quelque chose de simple à notre sens, il a fallu mettre des coups de tournevis avec l’aide des équipes de Gfi pour arriver à ce que nous voulions. » Aujourd’hui, Dominique Launay se dit « content de la solution ».

Il est d’ailleurs impatient de pouvoir bénéficier de la prochaine évolution de Keenaï. Encore en phase pilote, la prochaine version profite d’un nouveau socle technique basé sur des technologies Big Data avec une architecture plus modulaire. Cette modularité « nous permettrait peut-être de rajouter plus facilement des éléments et des nœuds à l’infrastructure adaptés aux nouveaux équipements de sécurité, à traiter différemment les données, à éviter les redondances… », espère le RSSI adjoint de RENATER. Une offre plus modulaire qui devrait faciliter l’intégration des composantes du réseau issues de multiples fournisseurs.

Mots clésCybersécuritékeenaï

Partager