En externalisant son SOC sur une infrastructure souveraine hébergée par OUTSCALE et propulsée par Splunk, la Caisse nationale des allocations familiales (CNAF) permet de garantir une capacité d’analyse même en cas d’incident majeur sur son système d’information.
Un SI d’une ampleur rare dans la sphère publique
La CNAF, c’est 205 applications, 68 progiciels, 10 millions de traitements batch quotidiens et 850 collaborateurs IT. Son site caf.fr enregistre près de 900 millions de connexions par an. Derrière ces chiffres se cache une réalité opérationnelle exigeante : la génération de 4 To de logs chaque jour, qu’il faut collecter, corréler et analyser en continu pour détecter toute intrusion ou anomalie.
Le problème fondamental : surveiller depuis l’intérieur
Fabien Malbranque, directeur du contrôle interne et de la sécurité numérique de la CNAF, pose le problème avec clarté : « Si l’infrastructure de sécurité est dans le SI et que celui-ci est compromis, on perd aussi les moyens d’analyse. » Une logique implacable qui a orienté toute la réflexion stratégique dès son arrivée en avril 2024.
“On externalise ces briques techniques pour garantir qu’en cas d’incident, elles restent opérationnelles et permettent d’en analyser l’origine, d’identifier d’éventuelles intrusions et de rétablir rapidement le système d’information.” Fabien Malbranque, Directeur du contrôle interne et de la sécurité numérique de la CNAF
L’enjeu était donc de rendre la détection et le traitement des logs structurellement indépendants du système d’information surveillé. Une contrainte qui allait dicter l’ensemble des choix techniques et d’hébergement.
L’architecture de la solution : souveraineté et résilience
Après étude de plusieurs options en partenariat avec Splunk et des intégrateurs comme Orange Cyberdefense, la CNAF a opté pour une solution hébergée chez OUTSCALE, qualifiée SecNumCloud. Ce choix répond à une exigence non négociable : les données restent sur le territoire français, hors de portée de juridictions étrangères.
L’infrastructure est déployée en Infrastructure as Code, ce qui permet des mises à jour rapides et minimise la charge d’administration. Côté stockage, le recours au stockage objet intègre nativement la redondance plus besoin de gérer la haute disponibilité manuellement.
“Notre rôle est de nous adapter aux besoins de nos clients. On ne propose pas une solution unique : on la construit avec eux.” Florence Pereira, account executive, Splunk/Cisco
Florence Pereira souligne que ce projet a nécessité d’imaginer une combinaison d’approches qui n’existait pas encore : « On a imaginé une solution qui n’existait pas vraiment. Et on l’a déployée en 6 à 8 mois, ce qui est très rapide. »
Deux bénéfices clés : élasticité et résilience
Au-delà de la souveraineté, le Cloud apporte deux avantages concrets par rapport à une infrastructure on-premise :
L’élasticité. En cas de pic de génération de logs lors d’un incident ou d’une attaque DDoS, la plateforme absorbe la charge sans contrainte matérielle. En on-premise, il faudrait anticiper des achats de matériel avec des délais incompatibles avec l’urgence.
La conservation d’historiques. Certaines attaques s’installent discrètement plusieurs semaines avant d’être détectées. Pouvoir remonter loin dans les logs est une capacité d’investigation cruciale, que le stockage objet rend économiquement viable à grande échelle.
Un projet en mouvement
Ce déploiement se distingue des projets classiques par sa capacité à évoluer dans le temps. La solution s’ajuste en continu face aux nouvelles menaces, aux avancées technologiques et aux besoins opérationnels de la CNAF. Elle s’inscrit dans une dynamique de coopération étroite entre les équipes internes, Splunk et OUTSCALE, fondée sur une vision commune et un engagement durable, bien au-delà d’une relation purement contractuelle.
