Transformer la cybersécurité à l’Université du Yukon grâce à CIRA XDR

Située à Whitehorse, l’Université du Yukon est la seule université des territoires du nord du Canada. Grâce à son fort engagement envers la recherche et l’innovation nordiques, l’université est un chef de file dans la résolution de défis d’avenir tels que les changements climatiques et les solutions énergétiques durables. Malgré son emplacement éloigné, l’Université du Yukon n’est pas à l’abri des cybermenaces, car les acteurs malveillants peuvent facilement étendre leur portée à travers le paysage numérique. Cela souligne la nécessité de disposer d’expert·es en cybersécurité compétent·es, correctement équipé·es pour lutter contre ces menaces et protéger l’université, ses étudiant·es et ses précieuses données de recherche, où qu’ils se trouvent.

L’un de ces expert·es est Victor Hopkins-LeCheminant, spécialiste en cybersécurité à l’Université du Yukon depuis 2019. Son rôle consiste notamment à travailler avec le système de gestion des informations et des événements de sécurité (GIES), en particulier FORTISIEM, afin d’identifier et de résoudre les problèmes de sécurité à l’aide d’outils tels que Sophos. Au quotidien, Victor surveille les journaux de Microsoft 365, gère les utilisateur·rices à haut risque et collabore avec son équipe pour améliorer la posture globale de cybersécurité de l’université.

Défis liés à l’infrastructure de sécurité existante

L’Université du Yukon utilise le système FortiSIEM, qui est efficace pour compiler des informations et peut effectuer certaines tâches de mise en corrélation de base. Bien que FortiSIEM possède de nombreuses capacités, comme beaucoup d’autres solutions d’entreprise, les coûts de licence du système étaient exorbitants, ce qui limitait la capacité de l’université à bénéficier de cette couverture étendue.

Victor ajoute :

« Nous n’avions pratiquement aucune visibilité sur les configurations de nos postes de travail, à l’exception de ce que Sophos pouvait identifier, car le prix des licences était si élevé pour le GIES que nous ne pouvions pas nous le permettre. L’arrivée du projet pilote CIRA XDR a été accueillie avec enthousiasme — nous avons décidé d’y prendre part sans hésiter. »

Capacités améliorées de chasse aux cybermenaces

Avec CIRA XDR, Victor a constaté des améliorations importantes dans les capacités de chasse aux cybermenaces. Auparavant, l’Université du Yukon éprouvait des difficultés à identifier les comptes spécifiques responsables d’actions telles que la suppression de fichiers dans SharePoint, en particulier lorsque les utilisateur·rices n’étaient pas connecté·es au moment de l’incident. Bien que l’équipe ait d’abord eu accès aux journaux de SharePoint et d’autres services Microsoft 365 via leur SIEM (FortiSIEM), la synchronisation a cessé de fonctionner et n’a pas pu être rétablie, ce qui a entraîné une perte de visibilité. L’absence de journalisation complète rendait difficile l’identification de la source du comportement.

 CIRA XDR comble ces lacunes en utilisant une méthode différente pour surveiller les journaux d’audit, ce qui permet à l’équipe d’accéder de nouveau à cette information plus facilement et d’enquêter plus efficacement sur les activités suspectes.

La capacité de CIRA XDR à vérifier les processus de démarrage et d’arrêt a été soulignée comme particulièrement bénéfique. Cela permet à l’équipe de mesurer la durée des processus et d’identifier toute anomalie, améliorant ainsi ses capacités de chasse aux cybermenaces. « Nous sommes maintenant en mesure de détecter clairement toute activité en temps réel. Si nous identifions un processus malveillant, nous pouvons également savoir s’il dispose d’un événement de sortie ou s’il est toujours en cours d’exécution. On peut ainsi faire la part des choses : faut-il agir d’urgence ou simplement rester en alerte ? Il est extrêmement utile de disposer de cette capacité aujourd’hui. »

Intégration de la surveillance des communications par courriel

Selon Victor, l’intégration de la surveillance des communications par courriel grâce à CIRA XDR a changé la donne. En mettant à profit ses compétences, il a perfectionné un script PowerShell afin de capter des informations sur le flux des courriels, lesquelles ne sont généralement pas accessibles à moins d’être extraites de manière ciblée. Cela a permis à l’équipe de mieux suivre les tentatives d’hameçonnage en identifiant tous les destinataires de courriels suspects. L’intégration aux journaux de vérification Microsoft 365 a amélioré davantage la capacité de l’université à mettre en corrélation l’activité des courriels et les journaux de pare-feu, offrant une vision beaucoup plus complète sur les menaces potentielles.

« C’était une expérience originale. Tout s’est déroulé à merveille et en très peu de temps, en quelques minutes, nous avons pu consulter les journaux Microsoft 365 dans CIRA XDR. C’est fantastique. »

Cette intégration fluide aux journaux de vérification Microsoft 365 a grandement amélioré la capacité de l’Université du Yukon à mettre en corrélation l’activité des courriels et les journaux de pare-feu. Désormais, l’équipe de sécurité dispose d’une vue d’ensemble des menaces potentielles sur l’ensemble de sa surface d’attaque, et la capacité de l’université à surveiller et à réagir aux incidents de sécurité s’est grandement améliorée. En mettant en corrélation les signaux faibles provenant de diverses sources, CIRA XDR peut facilement détecter plus de menaces exploitables.

Tableaux de bord personnalisés pour une meilleure visibilité

La valeur des tableaux de bord personnalisables a également été soulignée par Victor. En créant différentes vues dans la section du tableau de bord, il a pu enregistrer et accéder rapidement à des filtres et à des structures de données spécifiques. Ces vues lui ont offert une visibilité sur différents niveaux de leur écosystème de sécurité, comme les connexions à Azure AD, et lui ont permis d’appliquer des filtres basés sur des données telles que la géolocalisation.

« On lui donne un nom, puis on peut facilement regarder directement des choses comme ce à quoi notre situation de connexion à Azure AD ressemble. Et je peux extraire ces informations. »

Travailler avec l’équipe de CIRA

Victor a fait l’éloge du soutien et de l’expérience d’intégration avec l’équipe de CIRA, la décrivant comme enthousiaste et très bien informée.

« L’équipe était toujours enthousiaste à l’idée de résoudre des problèmes et a fait preuve d’une grande patience aux question que j’avais au fil du temps. Elle a été d’une grande aide, ce que j’ai grandement apprécié. Et ce genre d’enthousiasme est contagieux. Il y existe beaucoup d’équipes compétentes, mais l’enthousiasme de cette équipe vous encourage à voir les possibilités de la plateforme et les occasions d’améliorer la cybersécurité »

Approche axée sur la communauté et la collaboration

Pour Victor, l’approche participative de la solution CIRA XDR a été particulièrement utile, lui permettant de bénéficier du soutien collectif malgré le fait qu’il travaille seul. La capacité de visualiser les tendances et les menaces rencontrées par d’autres établissements, comme les campagnes d’hameçonnage dans différentes régions, apporte un contexte précieux et aide l’université à anticiper les menaces potentielles.

Les expériences partagées et les efforts collectifs en matière de cybersécurité favorisent un environnement propice où les établissements peuvent apprendre les uns des autres et améliorer leurs mesures de sécurité.

Victor en a souligné l’importance :

« Je viens d’un environnement municipal et le type de collaboration nationale qui se met en place dans le domaine de l’éducation et de XDR est incroyable. Il ne s’agit pas seulement de collaboration en soi — c’est l’idée même de collaboration, l’esprit de collaboration, qui est adopté par tous. »

Les points à retenir

Le parcours de Victor avec CIRA XDR à l’Université du Yukon illustre l’impact transformateur de l’adoption de mesures de cybersécurité avancées pour protéger une organisation. CIRA XDR a comblé des lacunes critiques dans l’infrastructure de sécurité existante de l’établissement, en offrant aux équipes des capacités renforcées de détection des menaces, une intégration fluide à leur environnement technologique et des tableaux de bord personnalisables pour une meilleure visibilité et surveillance. L’approche communautaire a favorisé la collaboration et continuera à renforcer la posture de sécurité de l’établissement. En collaboration avec CIRA, Victor et l’Université du Yukon ont considérablement amélioré leur capacité à détecter les menaces et à y répondre, assurant ainsi un environnement plus sûr pour ses activités de recherche et d’enseignement.