Security
Gouvernements

Exploitation d'Elastic pour la recherche des menaces numériques

Comment un service de police européen recherche les menaces numériques avec Elastic

Il y a plusieurs années, ce service de police nationale européen, qui compte 22 000 agents et 1 000 informaticiens, a entamé un parcours de transformation qui comprenait la consolidation des formalités administratives, la modernisation de ses équipements de police et la transformation numérique de son infrastructure informatique.

Un élément clé de ce projet de transformation numérique était la sécurisation de la nouvelle infrastructure modernisée, qui comprend environ 35 000 ordinateurs connectés et 250 systèmes informatiques. Parmi les autres éléments du projet de modernisation figurent un nouveau magasin d'applications pour les smartphones des agents, de nouveaux drones équipés de caméras, un centre de commande modernisé et des télécommunications spécialisées pour joindre les ambassades.

"Tout cela doit être sécurisé et doit fonctionner tous les jours, toutes les nuits, toute l'année", explique le responsable du centre des opérations de sécurité du service de police.

Le paysage des menaces internes et externes

Le paysage des menaces pour un service de police est similaire à celui auquel sont confrontées la plupart des entreprises. Ce service de police européen affirme utiliser Elastic pour se défendre contre :

  • les cyberattaques ciblées d'acteurs extérieurs qui veulent voler des données ;
  • les acteurs extérieurs qui veulent détruire des données et empêcher le fonctionnement de l'infrastructure policière ;
  • les initiés malveillants qui veulent voler des informations, saboter des données ou empêcher le fonctionnement de l'infrastructure policière.

En réponse, le service de police a adopté une stratégie de sécurité qui s'appuie sur Elastic Security pour prévenir, détecter et répondre à ces menaces.

"Nous n'atteindrons pas le niveau de sécurité, le niveau de sécurité requis, à moins que ces trois composants ne fonctionnent ensemble", explique le spécialiste principal de la cybersécurité du service de police.

Amélioration de la recherche des menaces grâce au Machine Learning

Afin d'accroître la visibilité, de réduire le délai entre la détection et la réponse et d'améliorer la capacité de recherche des menaces, le service de police a créé un cluster Elasticsearch avec des couches d'équilibrage des charges et de mise en file d'attente des messages. Ils sont désormais en mesure de rechercher et de visualiser des données de journaux bruts dans le cadre de la recherche des menaces, d'élaborer des règles de détection avancées et d'appliquer le Machine Learning pour améliorer et accélérer la détection des anomalies. Dans l'ensemble, le service de police a décuplé sa capacité de réception d'événements par seconde (EPS) à partir de flux de données de sécurité pertinents.

Le parcours du service avec Elastic a débuté en 2019, lors du test de la version open source d'Elastic pour logger les données des points de terminaison. Un an plus tard, l'infrastructure est passée à un abonnement Entreprise payant et a commencé à migrer ses sources de données vers le SIEM d'Elastic dans le but d'abandonner l'ancien SIEM du service.

"En fait, nous sommes capables de traiter 10 fois plus de données que dans le SIEM précédent. Nous avons une visibilité totalement différente et bien meilleure au niveau du système d'exploitation. Nous collectons les enregistrements de logs de nos 35 000 points de terminaison et capteurs réseau, explique le spécialiste principal de la cybersécurité du service de police. Nous parlons de plusieurs milliards d'enregistrements de logs. Toutes les données dont nous avons besoin pour détecter des anomalies, nous les avons désormais à portée de main."