Comme la plupart des collectivités, la Haute-Garonne fait désormais face à des menaces cyber quasi-quotidiennes. « Notre réseau est sondé en permanence », souligne Jean-Xavier Mauruc, administrateur bases de données et systèmes au Conseil départemental de la Haute-Garonne (CD31). Pour l’heure, l’essentiel des menaces sont contenues grâce aux outils classiques : pares-feux et antivirus.
Mais la montée en puissance des attaquants – notamment avec l’usage de l’IA – a conduit la collectivité à rehausser son niveau de protection. « Il y a eu une prise de conscience, à la fois politique et technique, qu’il fallait aller plus loin », poursuit Jean-Xavier Mauruc. Dès 2024, la DSI a mis en place un SIEM (Security Information and Event Management), outil utilisé pour la gestion des informations relatives aux événements de sécurité. Il permet de centraliser et corréler l’ensemble des logs de sécurité (fichiers contenant les métadonnées des événements se produisant sur le SI). Mais il restait un angle mort : le manque de visibilité sur le trafic réseau interne. « Nous étions aveugles concernant ce qui se passait sur le trafic interne qui est plutôt conséquent, car notre réseau est connecté à 25 000 "assets" répartis sur environ 300 bâtiments publics, dont 7000 postes de travail, 700 serveurs, des capteurs IoT et de la téléphonie ».
Pour surveiller l’activité sur ce vaste réseau, le Conseil départemental a lancé en 2024 un projet visant à déployer un NDR (Network Detection and Response), dispositif capable de détecter en temps réel les comportements anormaux sur son réseau. Après avoir étudié plusieurs solutions du marché, la Haute-Garonne a retenu Custocy. Selon Didier Langolff, DSI de la Haute-Garonne : « Nous avons retenu Custocy pour sa technologie française innovante, capable de rivaliser avec les solutions anglo-saxonnes. Leur proximité avec nos équipes et leur réactivité nous apportent une visibilité complète sur notre réseau, essentielle pour garantir la continuité de nos services publics. »
Basée à Labège, près de Toulouse, Custocy a développé un moteur d’IA conçu pour identifier les signaux faibles de compromission. « Nous voulions un outil qui ne se limite pas aux signatures connues mais qui soit capable d’analyser les comportements », explique Jean-Xavier Mauruc.
Un déploiement en moins de deux mois
Le NDR de Custocy associe IA supervisée et non supervisée pour identifier les menaces inconnues et les anomalies comportementales. Le tout est enrichi par des technologies d’Enea, spécifiquement dédiées au domaine des télécommunications. « Notre partenariat avec Enea nous a notamment permis d’augmenter le débit de données traitées par la sonde du NDR et de renforcer la finesse de l’analyse comportementale », précise Cédric Lefebvre, "Head of AI and cybersecurity strategy " de Custocy.
Concrètement, la Haute-Garonne a installé une sonde physique, chargée d’analyser le trafic réseau. Des métadonnées sont envoyées vers le cloud de Custocy, localisé en France, où des IA procèdent à l’analyse. « L’avantage est double : la rapidité de détection et une visibilité complète sur les usages du réseau », souligne Cédric Lefebvre.
Le déploiement s’est fait en deux étapes : un POC (Proof of Concept) d’un mois, puis l’installation définitive. « La sonde a été opérationnelle en quelques jours. L’IA a ensuite nécessité environ trois semaines d’apprentissage pour reconnaître le fonctionnement habituel du réseau », précise Cédric Lefebvre. Il faut donc compter en moyenne un peu moins de deux mois pour déployer ce type de solution, indique Custocy. L’ergonomie de la plateforme a également facilité la prise en main : « Une demi-journée suffit pour former un administrateur système », assure Cédric Lefebvre.
Des premières détections sur le périmètre IoT
Dès l’été 2025, la sonde a démontré son efficacité lors d’un test d’intrusion mené en interne sur le périmètre IoT : les comportements suspects ont été détectés et signalés.
« Nous avons aujourd’hui une véritable stratégie de cybersécurité, avec des briques complémentaires qui nous permettent de franchir un cap important », indique Jean-Xavier Mauruc. En perspectives : la mise en place prochaine d’un SOC (centre des opérations de sécurité).
De son côté, Custocy indique être en discussion avec d’autres collectivités pour y déployer sa solution. « Si de grands groupes privés disposent déjà de ce type de solutions, le NDR n’est pas encore généralisé dans la sphère publique. Mais nous constatons un intérêt croissant pour cet outil », conclut Cédric Lefebvre.
