Pour diminuer les incidents liés à la menace interne, Docapost a mis en place un dispositif de surveillance des comptes à privilèges. Témoignage.
Société du groupe La Poste regroupant des entreprises en solutions documentaires et échanges numériques, Docapost se positionne comme un groupement d’expertises qui accompagne les entreprises et les administrations dans leur transition numérique et mobile. L’enteprise propose des solutions sur mesure ou clé en main, allant du conseil à la numérisation, en passant par l’échange de données sécurisées, les mobiles services, l’éditique industrielle ou à la demande, l’archivage électronique, la gestion d’un service courrier et le Business Process Outsourcing (BPO). Docapost compte 4 600 collaborateurs et est implantée sur 450 sites clients ou via ses propres plates-formes en France. Elle a réalisé plus de 435 M€ de chiffre d’affaires consolidé en 2012.
L’enjeu : protéger des milliers de données sensibles
Au sein de la DSI de Docapost BPO, le service production et exploitation informatique prend en charge l’administration des systèmes et des réseaux. À la direction des ressources partagées et placée sous la responsabilité de Yannick Kereun, RSSI, l’équipe de sécurité opérationnelle assure une activité transverse à toutes les entités de l’entreprise (une vingtaine de sites en France). De par son activité liée à des prestations qui exigent un haut niveau de sécurité : la gestion des données de santé, les moyens de paiement, le vote ou la signature électronique, Docapost traite quotidiennement des milliers de données sensibles appartenant à ses clients.
Une réelle menace de l’intérieur
Afin de respecter la réglementation française et européenne et de répondre aux exigences de sécurité de ses clients, Docapost devait mettre en place des mesures de sécurité complémentaires pour renforcer la prévention contre les risques de malveillance volontaire et les erreurs par inadvertance, liés à une menace interne de plus en plus avérée. Docapost a réellement constaté que la menace interne représentait une part significative des incidents et pour compléter l’action des solutions SIEM mises en place, a souhaité renforcer la surveillance de ses comptes à privilèges : exploitants, administrateurs, etc.
Mise en place de la Shell Control Box
L’étude de marché menée par Docapost lui a permis d’arrêter son choix sur la solution de BalaBit, notamment en raison de l’expérience de l’éditeur sur la journalisation des logs et les différentes fonctionnalités offertes par la solution Shell Control Box. La différence de prix par rapport aux solutions concurrentes a également été un critère dans le choix de Docapost. Pour l’accompagner dans son projet, Docapost s’est appuyé sur l’expertise de Nomios pour l’installation de la solution dans l’architecture et le transfert de compétences vers les équipes de Docapost. La Shell Control Box est le passage obligé pour tous les comptes à privilèges et permet à Docapost d’obtenir des journaux de traces sur les activités de ces utilisateurs spécifiques, en complément des journaux et évènements issus directement des systèmes et collectés par la solution SIEM.
« BalaBit nous permet de rajouter un élément dans le faisceau de preuves disponibles en cas de tentative de détournement des privilèges ou lorsqu’un utilisateur va au-delà de ses privilèges sans le savoir et souvent d’éviter l’incident grâce à une mesure de protection en aval et en amont », explique Yannick Kereun, RSSI de Docapost. « De plus, la Shell Control Box permet d’enregistrer des pistes d’audit complet pour revoir ce qu’il s’est passé dans le cas où un incident ou une malveillance est avéré ». BalaBit permet ainsi à Docapost de disposer de rapports d’activité précis et de fournir le cas échéant à ses clients des éléments de preuve sur ce qui s’est réellement passé en leur garantissant une traçabilité des événements lors d’une éventuelle investigation.
« BalaBit nous permet de rajouter un élément dans le faisceau de preuves disponibles en cas de tentative de détournement des privilèges » Yannick Kereun, RSSI de Docapost
Avec ce dispositif, Docapost répond aux exigences de conformité liées à son métier et aux principaux risques de sécurité liés à la menace interne en disposant d’un outil de surveillance et de contrôle des comptes à privilèges pour limiter et éviter les incidents à priori.
L’ensemble des activités sera bientôt protégé
En outre, Docapost peut planifier des accès à privilèges temporaires, contrôler et enregistrer l’activité à distance en temps réel, afin de pouvoir intervenir immédiatement si besoin. « Nous envisageons d’optimiser les moyens offerts par la solution de BalaBit sur l’ensemble de nos activités. Si aujourd’hui, la surveillance et le contrôle des comptes à privilèges s’applique à une petite dizaine de nos prestations, bientôt elles couvriront beaucoup plus de services, dans le but d’offrir de nouvelles prestations à haut niveau de sécurité à nos clients » conclut Yannick Kereun. Yannick Kereun, RSSI de Docapost apprécie également l’effet indirect de la solution de Balabit auprès des utilisateurs à privilèges : les dissuader d’actes de malveillance en les sensibilisant au fait qu’ils évoluent dans un environnement surveillé et contrôlé.