Le groupe de bancassurance Crédit Mutuel Arkéa est la deuxième caisse fédérale du groupe Crédit Mutuel. Il regroupe les caisses régionales de Bretagne et du Sud-Ouest et compte également plus d'une trentaine de filiales spécialisées. Le groupe sert plus de 5 millions de clients et emploie plus de 11 000 salariés. Souhaitant alléger la charge de son équipe de réponse aux incidents, l'entreprise a déployé en 2022 la solution de prévention contre les intrusions de CrowdSec, qui contribue aujourd'hui à une amélioration globale de la sécurité.

En 2021, le CERT de Crédit Mutuel Arkéa cherchait une solution afin de bloquer automatiquement les IP associées à des comportements anormaux, notamment sur les services d'authentification, les plus fréquemment attaqués. L'équipe venait d'entamer un proof of concept avec l'outil de prévention des intrusions de CrowdSec lorsqu'une faille identifiée dans Apache Log4J a mis le monde de la cybersécurité en ébullition. « Nous avons monté une cellule de crise », se souvient Guillaume Roussel, responsable opérationnel en charge de la sécurité du SI chez Crédit Mutuel Arkéa. À ce moment-là, CrowdSec leur propose un scénario anti Log4J, que l'équipe s'empresse de déployer. En l'espace de 48 heures, celui-ci est mis en oeuvre sur l'ensemble du système d'information, permettant de contenir la vague.

Amélioration de la sécurité à différents niveaux

À la suite de cet épisode, décision est prise d'industrialiser la solution. Celle-ci a été installée à la fois sur la plateforme bare metal interne du groupe et sur son cloud privé, avec des scripts permettant d'embarquer automatiquement l'outil dans chaque nouveau service web déployé sur ce dernier. Avec des résultats concluants. « Nous avons éliminé entre 40% et 50% de bruit de fond », indique Guillaume Roussel. Pour l'équipe de réponse à incident, qui compte une dizaine de personnes, il estime le temps gagné à environ 2 ETP (équivalent temps plein). L'outil a également permis de réduire considérablement la charge sur les serveurs, en termes de CPU et de RAM.

« Les scénarios proposés par défaut fonctionnent déjà très bien, mais nous avons également fait quelques ajustements, pour indiquer par exemple les IP autorisées ou débloquer temporairement quelques applications mal configurées, qui faisaient des appels en rafale », détaille le responsable. Les anomalies constatées ont été remontées aux équipes de développement, ce qui a permis ensuite d'améliorer le code, dans l'esprit de DevSecOps. Autre anecdote, des pentesters se sont également fait bloquer par l'outil. « Cela les a poussés à chercher des attaques plus avancées », relate Guillaume Roussel, contribuant là aussi à renforcer la cybersécurité de façon globale.

Par rapport à un WAF (web application firewall), la solution s'est également révélée moins lourde à mettre en place. « L'outil est suffisamment simple pour ne pas avoir besoin de solliciter les équipes métiers », pointe Guillaume Roussel. Autre avantage, le temps de blocage est géré de façon automatique. « Cela évite de se retrouver avec des IP bloquées durant des années sans que l'on s'en souvienne, tout en servant d'avertissement pour les attaquants, qui se refont bloquer s'ils retentent une intrusion », pointe le responsable.

CTI interfacée avec le SIEM

L'équipe du Crédit Mutuel Arkéa apprécie en particulier la dimension collaborative et communautaire de CrowdSec. Via son portail de CTI (cyber threat intelligence), l'ensemble des utilisateurs partagent en temps réel les informations sur les attaquants, telles les IP malveillantes et les tendances d'attaque. « La grande force de la solution, ce sont ces informations sur la typologie des attaquants. Le portail nous permet d'anticiper et de prévoir certains événements. Nous pouvons même aller plus loin, en établissant des typologies d'attaques pour notre secteur, avec les autres acteurs financiers », souligne le responsable. Le système de gestion des événements et informations de sécurité (SIEM) du groupe s'interface d'ailleurs avec la solution afin d'interroger les données CTI. L'équipe souhaite même aller plus loin, en récupérant les logs enrichis par CrowdSec pour faire différentes corrélations au sein du SIEM.

Depuis son déploiement, la solution CrowdSec a eu d'autres occasions de faire ses preuves, en bloquant notamment des vagues d'attaques par force brute sur les filiales du groupe. « C'est un peu un Fail2Ban* sous amphétamines », s'amuse Guillaume Roussel. Aujourd'hui, l'équipe continue à faire évoluer les scénarios, notamment pour bâtir des modèles plus orientés métier, avec des approches de détection spécifiques aux différentes applications. Elle envisage également d'utiliser la solution pour détecter des attaques transverses au sein de son système d'information.

* NDLR Utilitaire qui permet de bannir automatiquement des IP en fonction de certaines conditions.