Connexion
Comment l’Urssaf s’est dotée d’un SIEM puis a réinternalisé son SOC
« Sur une technologie de SIEM, quand le travail est bien fait en amont sur les équipements, on a surtout de la donnée technique. Pas de données à caractère personnel, pas de données sensibles particulières« .
Keran Campeon justifie ainsi le fait que son équipe n’utilise pas la version SecNumCloud de l’offre Sekoia.
L’intéressé est, depuis décembre 2021, responsable du SOC de l’Urssaf Caisse nationale (agence centrale du réseau des Urssaf).
Sur un effectif global d’environ 17 000 collaborateurs, 1300 travaillent à la DSI. Le parc informatique sur l’ensemble du réseau comprend quelque 15 000 serveurs, 22 000 postes de travail et 800 applications, développées en interne.
Une direction adjointe à la DSI porte les thèmes de l’infrastructure, de l’architecture et de la sécurité. Le département SSI y est divisé en deux secteurs, dits tactique et opérationnel. Le premier décline les stratégies de haut niveau en stratégies opérationnelles (écriture d’exigences non fonctionnelles de sécurité, analyse de risques opérationnels au sens régalien du terme, gestion des vulnérabilités/pentests, etc.). Le second comprend, entre autres, des équipes sur la gestion des identités, une équipe intégratrice de solutions techniques… et le SOC.
Ce dernier réunit un peu moins de 20 personnes. Son activité était englobée dans celles d’un centre d’expertise technique jusqu’à la décision, en avril 2017, de créer une équipe dédiée.
2017 : une stack ELK pour commencer
« On démarre à 4 ou 5, et sans outils, déclare Keran Campeon. Il existe une stack ELK qui sert à la production. On s’appuie dessus. On met des tableaux de bord en place. On y ajoute un élément open source : ElastAlert, qui nous permet de faire des règles d’alerting basiques.«
En 2019, des études de NDR sont lancées. Elles se révèlent concluantes. L’expérimentation qui s’ensuit est néanmoins arrêtée au bout d’un an. Elle répondait à un besoin, mais apportait une vue purement télémétrie réseau. L’Urssaf n’avait alors pas de vision des endpoints (EDR en cours de déploiement). Elle n’avait pas non plus de SIEM. En la matière, un projet avait bien été enclenché à la fin des années 2000, mais ne s’était pas concrétisé. « On avait déployé toute la partie infrastructure et réseau. Mais on n’est jamais allé au bout du sujet sur les endpoints et la supervision système« , reconnaît Keran Campeon. Le projet manquait d’autant plus d’un pilotage bien défini que son initiateur était parti en cours de route. Par ailleurs, l’équipe mobilisée était réduite (3 personnes, non dédiées). Et les technologies de SIEM n’étaient pas les mêmes qu’aujourd’hui (parseurs développés à base de regex).
Il n’était, de surcroît, pas facile de déterminer un périmètre pour le NDR. « Tout étant interconnecté chez nous, on se retrouve vite à devoir projeter un déploiement sur l’intégralité du SI. Avec un prix qui, à l’époque, approche grandement de celui d’un déploiement SIEM [sur ce même périmètre]. » Dans ce contexte, l’Urssaf décide donc de plutôt achever le déploiement de l’EDR, puis de mettre en place le SIEM.
2020 : le choix d’un SOC hybride
Toujours en 2019, les travaux sur la stack ELK permettent de constater que les services Urssaf exposés sur Internet subissent régulièrement des incidents. « Des access brokers venaient […] faire du credential stuffing sur nos portails pour valider des comptes et leur donner de la valeur à la revente, explique Keran Campeon. Quelques jours après il pouvait y avoir de la réutilisation de certains de ces comptes pour des tentatives de fraude. C’est particulièrement apparu [lors de la mise en place de nouvelles offres de services].«
Fin 2020, une étude est lancée en vue d’une surveillance 24/7 sur ce périmètre grâce à un SOC managé, la gestion du legacy devant reposer sur les équipes internes aux heures ouvrées. Quasiment en parallèle démarre la veille sur une solution de SIEM.
2022 : le début du PoC SIEM
En novembre 2021, le projet de déploiement du SOC hybride est lancé. Le passage en prod sur le service managé intervient en mars 2022. Débute alors le PoC SIEM. 9 solutions sont évaluées sur papier. 3 sont retenues. Parmi elles, un pure player, un éditeur déjà présent sur le SI au niveau de la gestion des vulnérabilités… et Sekoia, arrivé au moment opportun. « On terminait les deux autres PoC. On avait un peu de temps avant de rendre la copie« , précise Keran Campeon.
L’évaluation s’est faite sur 22 critères regroupés en 9 « fonctions ».
| Fonction | Critères |
|---|---|
| COLLECTE |
|
| INTERFACE |
|
| DETECTION |
|
| ANALYSE |
|
| REPONSE |
|
| REPORTING |
|
| SUPPORT |
|
| DIVERS |
|
| FINANCIER |
|
Techniquement, Sekoia n’était pas forcément au-dessus des autres. Il s’est en revanche distingué sur l’aspect relationnel et le support. « On avait des idées d’évolutions possibles. Ils [les ont] prises très au sérieux. Ils en ont même inscrit dans la roadmap dès la phase de PoC« , se réjouit Keran Campeon. Lequel apprécie aussi l’approche normative de l’éditeur, basée sur des standards : Sigma comme langage de détection, ECS pour les requêtes sur la télémétrie, STIX/TAXII pour la CTI…
La solution du pure player présentait une exploitation complexe et soulevait des difficultés sur la prévision budgétaire (licence à la consommation), en plus de l’absence de cadre d’achat existant.
L’autre solution passée en PoC était en avance technologiquement, mais proposait des scénarios de détection peu évolutifs. Il lui manquait, de surcroît, des sources critiques, comme le WAF. L’Urssaf percevait également qu’elle ne pourrait pas avoir beaucoup d’influence sur l’évolution du produit.
2023 : de l’expérimentation à la généralisation du SIEM
Sekoia sélectionné, une expérimentation d’un an est lancée. Elle est centrée sur les postes utilisateurs, pour couvrir les menaces les plus courantes. Il s’agit alors d’intégrer, au minimum, les événements des contrôleurs de domaine, des antivirus/EDR, des proxys de navigation, de la messagerie (antispams, sandbox) et de l’environnement Office 365. Il s’agit aussi d’améliorer la capacité de réponse aux requêtes judiciaires et de favoriser l’exploitation des IOC tranmis par l’ANSSI.
Les objectifs ont été atteints en quelques mois, nous assure-t-on. Keran Campeon fait remarquer l’ouverture de la plate-forme, « agnostique » des autres éditeurs. Et de souligner que chez certains fournisseurs, des fonctionnalités XDR comme le moteur d’analyse comportementale ne marchent que si on source les briques sous-jacentes chez eux (leur firewall, leur NDR, etc.).
Fin 2023, le déploiement est généralisé sur le périmètre initialement défini pour le SOC interne. À la suite de quoi l’Urssaf envisage d’aller plus loin sur la surveillance de ses applications. L’idée est alors de dépasser la phase initiale axée sur sur le trafic des usagers à travers les logs du WAF, pour couvrir les socles qui portent ces applications (partie système).
2024 : l’Urssaf enclenche la réinternalisation du SOC managé
Rapidement, les dérapages potentiels du le modèle à l’EPS [événements par seconde] sont constatés. Une étude est donc réalisée sur la capacité à réinternaliser ce périmètre. D’autant plus qu’entre-temps, l’équipe a grandi. La démarche est effectivement lancée en novembre 2024. La relation avec le fournisseur du SOC managé ne s’arrête pas totalement : elle bascule vers le sujet CSIRT. En avril 2025, tout est opéré en interne. Au cours de l’été, le déploiement est massifié. La partie navigation des usagers est intégrée.
Pour gérer ses alertes, l’Urssaf a intégré un « petit plus » : un serveur Ollama avec un playbook qui déclenche une analyse des événements sur un LLM. Les équipes du SOC bénéficient ainsi d’un premier récapitulatif. Particulièrement utile pour l’analyse de commandes système avec plein d’arguments, selon Keran Campeon. »
Sekoia a son propre LLM Roy, qu’il héberge en interne. « On l’utilise, mais encore de manière trop ponctuelle« , reconnaît Keran Campeon. Il en souligne néanmoins le potentiel sur la création – partielle, tout au moins – de règles Sigma. « C’est un peu comme quand on utilise un LLM aujourd’hui : ça nous permet surtout de ne pas partir d’une feuille blanche.«
2026 : basculer le case management sur Sekoia
Roy est aussi intégré au niveau du case management. L’Urssaf a un enjeu fort sur cet aspect : elle espère, d’ici à mi-2026, le basculer sur Sekoia. Elle est satisfaite de son outil actuel, mais la synchronisation de l’information n’est pas évidente à maintenir. Sekoia a, de plus, récemment livré une évolution intéressante : le rapprochement d’alertes semblant correspondre à un incident et la création automatique de cases sur cette base.
Du point de vue de Keran Campeon, les notebooks font partie du sujet de case management. Pour son équipe, ils sont un moyen de décrire des « fiches réflexes » (typologie, critères de sévérité, actions à mener). « On est en discussion pour pouvoir générer, au sein des cases, des champs personnalisés requêtables. On a effectivement un sujet sur les indicateurs à sortir : je dois remonter des informations à mes décideurs.«
La question s’est posée de faire la bascule dès septembre 2025 (la licence de l’outil de ticketing arrivait à échéance début octobre). « On a hésité tout l’été. Techniquement, pour les analystes, on était prêt. La chose qui nous manquait, c’était cette partie des indicateurs.«
L’Urssaf a également adopté le detection as code (gestion des règles de détection sur un git). Elle y trouve un intérêt majeur pour la gestion de ses filtres. « Quand une application génère plein d’alertes, on va potentiellement avoir besoin de mettre son identifiant sur plein de règles. Aller le faire en clique-bouton, c’est vite pénible. Copier-coller dans un git, c’est facile« , résume Keran Campeon.
Propos recueillis lors de Assises de la cybersécurité 2025
Photo © Gaël Coto
The post Comment l’Urssaf s’est dotée d’un SIEM puis a réinternalisé son SOC appeared first on Silicon.fr.
