À propos de Yokogawa Electric Corporation : Élaboration d'une infrastructure SOC mondiale pour soutenir sa stratégie DX avec Elastic Cloud

Yokogawa Electric a fait de la transformation numérique (DX) un pilier central de sa stratégie commerciale. La principale stratégie de l'entreprise consiste à associer ses systèmes de contrôle et autres technologies opérationnelles (OT) à des technologies de l'information (IT) afin de fournir des services de soutien aux usines intelligentes. L'IA basée sur le cloud sera utilisée pour analyser d’importantes quantités de données collectées à l'aide de capteurs IoT provenant d’équipements installés dans les usines des clients. Des simulations d'usine seront créées et les clients bénéficieront de services tels que la prévision des défaillances des appareils, le remplacement proactif des pièces/dispositifs en fonction de ces prévisions et la gestion de l'énergie (figure 1).

En résumé, la stratégie de Yokogawa Electric consiste à exploiter pleinement des technologies telles que le cloud, les conteneurs, l'analyse de données, l'IA/ML et l'IIoT dans le but de fournir des équipements en tant que services et de transformer son modèle économique traditionnel "vente de matériel + services de maintenance" en un modèle récurrent.

Yokogawa Electric fait également la promotion de la DX en interne. Par exemple, l’entreprise crée des lacs de données provenant de diverses sources en vue d’améliorer encore la gestion et l'administration système basées sur les données.

"Il est extrêmement important de renforcer la sécurité dans le cadre de la mise en œuvre de cette stratégie DX", a fait remarquer Tetsuo Shiozaki, directeur adjoint du siège de la stratégie numérique chez Yokogawa Electric.

Par exemple, les technologies opérationnelles (OT) étant traditionnellement utilisées dans des environnements fermés, coupés d’Internet et d'autres réseaux externes, le risque d'exposition aux cyberattaques est faible et il arrive donc parfois que les défenses contre ce type d’attaques fassent défaut. L'association des technologies opérationnelles aux technologies informatiques pour promouvoir la transition vers des usines intelligentes utilisant le cloud nécessitera de renforcer les défenses des environnements OT et IT. Il sera nécessaire de créer des mécanismes et des systèmes pour empêcher les menaces IT d'envahir les environnements OT, ainsi que pour détecter rapidement toute autre menace susceptible de les pénétrer.

"Pour faire face à ces problèmes, il était essentiel que nous développions une expertise en matière de sécurité OT et IT. Sinon, il nous aurait été impossible de mettre en œuvre nos stratégies DX internes et externes de manière fiable. Yokogawa Electric a toujours externalisé le monitoring de la sécurité des systèmes internes de l'entreprise à des sociétés informatiques tierces, mais nous avons revu cette approche et décidé d'établir notre propre SOC et d’assumer nous-même le monitoring de la sécurité, même si nous collaborons toujours avec des sociétés informatiques externes", a déclaré M. Shiozaki.

Le siège de la stratégie numérique auquel appartient M. Shiozaki a été détaché de la division des systèmes d'information (division IT). Il est aujourd'hui responsable de la mise en œuvre de la DX en interne et de la création de mécanismes de soutien à la stratégie DX en dehors de l'entreprise, auprès des clients.

Il existe également des divisions informatiques régionales établies dans divers sites à travers le monde, mais récemment, le siège de la stratégie numérique au Japon a joué un rôle central concernant le passage à des services informatiques mondiaux partagés et à des environnements d'application/infrastructure mondiaux partagés et optimisés. Ces initiatives ont été mises en œuvre de la même manière que les produits de sécurité, y compris la phase préparatoire au lancement du SOC de l'entreprise. "Dès l'automne 2018, nous avons entrepris de sélectionner une solution partagée en vue d'établir une infrastructure SOC mondiale", a déclaré M. Shiozaki.

À l'issue de ce processus de sélection de solutions, Yokogawa Electric a choisi d'adopter Elastic Cloud, une solution cloud offrant un large éventail d'applications, notamment des solutions SIEM, un système de sécurité aux points de terminaison, une recherche des menaces et le monitoring du cloud.

L'entreprise a adopté Elastic Cloud car ce service cloud répondait à toutes les exigences requises pour établir une infrastructure SOC mondiale.

Il permet notamment la collecte et l'analyse de logs provenant d'un large éventail de dispositifs et de systèmes sans dépendre d'un produit de sécurité particulier. Comme nous l'avons déjà mentionné, Yokogawa Electric externalisait ses services de monitoring de la sécurité à des sociétés informatiques tierces, qui utilisaient un système de détection d'intrusion (IDS).

Selon M. Shiozaki, il est difficile de monitorer les cyberattaques avancées complexes d'aujourd'hui uniquement avec le monitoring IDS, et les faux positifs sont fréquents. Par conséquent, lors de la mise en place de l'infrastructure SOC de l'entreprise, il était essentiel de trouver une solution permettant de collecter et d'analyser les logs provenant d’une diversité de dispositifs et de systèmes de sécurité.

Cependant, en 2018, au moment du processus de sélection des outils de monitoring, aucun produit de sécurité partagé et normalisé n'était utilisé dans les bureaux internationaux, et chaque site utilisait une solution de sécurité différente. Pour pouvoir collecter et analyser les logs de produits aussi variés, il fallait une solution de monitoring gratuite et ouverte qui ne dépende d'aucun produit spécifique.

En tenant compte de ces exigences essentielles, Yokogawa Electric a sélectionné Elastic Cloud et a réalisé une preuve de concept (PoC) pendant trois mois à partir de janvier 2019. Les tests de l'entreprise ont consisté à collecter les logs des serveurs IDS et d'authentification (serveurs AD), des serveurs DHCP/DNS et d'autres sources au siège de Tokyo et dans les bureaux de Singapour, puis à transmettre ces logs à Elastic Cloud afin d’étudier "le temps nécessaire entre la collecte des logs et leur analyse". Au vu des résultats de ces tests, il a été déterminé que le recours à des systèmes de monitoring de la sécurité avec Elastic Cloud permettait une infrastructure SOC mondiale efficace. En avril 2019, Yokogawa Electric a donc officiellement adopté Elastic Cloud comme solution de sécurité. Le système utilisé pour la PoC a été mis à niveau avec des ressources supplémentaires, puis déployé tel quel dans l'environnement de production. La société a ensuite lancé le développement de son infrastructure de monitoring de la sécurité dans le but de mettre en place un SOC.

Pour développer son infrastructure SOC à l'aide d'Elastic Cloud, Yokogawa Electric a commencé par engager des ingénieurs maîtrisant les services Elastic. Plus précisément, l'entreprise a fait appel à des ingénieurs d'Elastic par l'intermédiaire de son centre d'ingénierie de Bangalore, en Inde, et a procédé à des recrutements qui ont permis de mettre en place l'infrastructure SOC.

Afin de perfectionner les compétences de ses ingénieurs, Yokogawa Electric a fait appel aux services de formation et de conseil d'Elastic relatifs aux définitions Elastic Common Scheme (ECS) et aux configurations de filtrage des logs du serveur Logstash.

"Dans notre cas, nous collectons des logs provenant d'une grande variété de produits de sécurité différents ; si ces schémas communs n'avaient pas été définis à l'avance, nous n’aurions pas pu améliorer la vitesse de recherche. Il était donc très important que nos ingénieurs soient formés à l'ECS, et il semble que cette stratégie ait été très efficace", a déclaré M. Shiozaki.

Yokogawa Electric a ensuite poursuivi la mise en place de l'infrastructure SOC et des systèmes d'analyse des données avec le lancement du monitoring de la sécurité dans ses usines et bureaux principaux (Japon, Europe, Amérique du Nord, Singapour, Moyen-Orient et Inde) au cours de l'exercice 2019. Parallèlement, l’entreprise s'est également attachée à améliorer ses applications de monitoring et de détection. Ces initiatives ont permis d’associer Elastic Cloud à la Threat intelligence et aux IOC (indicators of compromise : indicateurs et preuves de violations de la sécurité causées par des cyberattaques) afin d'accroître la précision des fonctionnalités de monitoring et de détection des menaces.

En 2020, Yokogawa Electric a par ailleurs étendu ses activités de monitoring à la Chine, la Russie, l'Amérique du Sud, Taïwan, les Philippines, l'Indonésie et d'autres sites.

Le monitoring des ordinateurs (antivirus et EDR), des serveurs principaux (serveurs AD, DHCP/DNS, etc.), des IDS et des pare-feu d’applications Web (WAF) Microsoft Azure/AWS a ainsi été mis en place sur 15 sites dans le monde. Les logs et les données d'événement collectés à partir de ces dispositifs et systèmes ont également été stockés dans un environnement de services gérés Elastic Cloud. Grâce à l’analyse des données en temps réel, ce modèle de monitoring de la sécurité permet d’anticiper les cyberattaques et de détecter les violations de sécurité au quotidien (figure 2).

Parmi les dispositifs et systèmes monitorés, on comptabilise environ 30 000 ordinateurs, à partir desquels 5 à 6 millions de données d'événement sont collectées chaque jour, pour un total de 250 à 300 Go. Cela constitue un véritable lac de données de sécurité constitué de logs provenant d'une grande variété de dispositifs.

Comme précédemment expliqué, Yokogawa Electric a sélectionné Elastic Cloud pour mettre en place son infrastructure SOC mondiale et a régulièrement étendu sa couverture de monitoring au fil du temps. M. Shiozaki évoque ces initiatives et résume les avantages de la mise en œuvre d'Elastic Cloud comme suit :

"Le plus grand avantage de la mise en œuvre d'Elastic Cloud a été de pouvoir visualiser notre grande variété de données de log et de les analyser en temps réel. En outre, l'adoption du service Elastic Cloud nous a permis de mettre en place plus rapidement notre infrastructure SOC mondiale. C'était un autre avantage extrêmement significatif pour notre entreprise."

À l'avenir, Yokogawa Electric prévoit de renforcer ses opérations de monitoring de la sécurité avec Elastic Cloud. La société a déjà adopté le service SIEM d'Elastic Cloud, développé un programme de détection avancée qui inclut le Machine Learning et encourage l'utilisation de MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge : une base de connaissances dans laquelle les vulnérabilités et les attaques sont classées par tactique, technologie et méthode).

Yokogawa Electric a également relié son infrastructure SOC à l'outil de gestion informatique (ITSM) ServiceNow, et a mis en place des mécanismes pour ajouter des commentaires et des méthodes de réponse aux alertes d'incident générées par le SOC ainsi que pour envoyer automatiquement des notifications au personnel concerné.

L'expertise d'Elastic en matière de monitoring de la sécurité, développée au fil de la mise en place de cette infrastructure SOC, est également transmise aux services opérationnels de Yokogawa Electric, afin d’améliorer la qualité des services de monitoring de la sécurité qu’ils fournissent aux clients.

Elastic Cloud continue aujourd'hui à soutenir la stratégie DX de Yokogawa Electric.