DSI et RSSI présents aux Assises de la Sécurité à Monaco cherchent à mieux gérer les accès aux données numériques et aux ressources partagées en multi-sites, de plus en plus dans le Cloud.
Innover aujourd’hui ? Pour les décideurs IT venus aux Assises de la Sécurité cette année, c’est trouver un bon compromis entre les performances et la sécurité des services numériques. « Il faut placer le curseur au bon endroit. Ne pas être trop restrictif car cela peut réduire les performances ou bloquer l’utilisateur dans son quotidien. On parvient vite à connaître le niveau de satisfaction de l’utilisateur », reconnaît Franck Ronciaux, directeur de la production informatique de Payboost, la filiale de Veolia qui développe un coach budgétaire et social depuis mars 2016.
Comme bon nombre d’entreprises, la fintech francilienne planche encore sur la mise en conformité de son système d’information au RGPD : « Cela représente beaucoup de procédures et de nombreux écrits. Le fait que Payboost soit une jeune entreprise nous a heureusement permis de construire une infrastructure qui répond, par conception, à un grand nombre d’exigences du règlement Européen », apprécie-t-il.
Payboost renforce son environnement multi-sites
Le choix d’héberger les données en interne a ainsi été décidé, dès le démarrage. Bien qu’à l’inverse de la tendance actuelle, il suit néanmoins « une approche Cloud privé ». Le Cloud Payboost est réparti sur trois datacenters, avec deux sites actifs en région parisienne et un troisième dans le nord de la France dont la vocation principale consiste à servir la reprise d’activité en cas d’incident. Cette architecture soutient les échanges de 90 salariés soutenus par une cellule informatique de cinq personnes seulement pour 400 serveurs virtualisés. Une combinaison de logiciels libres et de solutions du marché contribue à protéger l’infrastructure, les données et les utilisateurs du système d’information de Payboost. Par exemple, le pare-feu open source Pfsense et un proxy inversé Apache sécurisent le réseau ; les outils de Trend Micro et Symantec cohabitent pour analyser les flux et bloquer les codes malveillants. Support technique à distance, gestion des identités et des comptes à privilège passent par le boîtier de sécurité Bomgar : « Des prestataires externes à qui l’on sous-traite certains développements ou tâches d’exploitation accèdent quotidiennement à nos ressources réparties sur les trois centres de données. Plutôt qu’ouvrir des VPN et des tunnels IPSEC vers la quasi-totalité de notre système d’information, nous avons retenu l’outil de Bomgar pour gérer l’accès des personnels externes afin de cibler uniquement la ressource à laquelle ils doivent accéder. Nous pouvons aussi gérer les heures d’accès et enregistrer tout ce qui est fait à distance, pour gérer la preuve en cas de besoin. »
Les protections d’accès et de données mises en œuvre en environnement multi-sites font appel autant que possible à de nouveaux automatismes.
Plus d’automatismes en soutien du RSSI
Henri Codron, vice-président du Clusif (le Club de la sécurité de l’information français) et RSSI de Schindler, note une accélération simultanée des cyberattaques et du rythme d’innovation numérique des entreprises. « L’approche DevOps et le développement agile apportent un nouveau vocabulaire et des livraisons de logiciels tous les 15 jours. Cela confirme un changement de fonction du RSSI qui devient plus un communicant qu’un technicien. Il s’agit de faire évoluer le vocabulaire du RSSI, de repenser les analyses de risques afin de les adapter aux nouveaux cycles courts, puis de s’intégrer, dès la conception, aux équipes de développement agile. »
Il confirme que les automatismes et l’IA sont de plus en plus présents dans les solutions de sécurité d’entreprise. « L’intensification de la menace exige sa détection au plus tôt. Cela amène les entreprises à s’équiper de SOC qui accueillent davantage de solutions d’IA pour aider à détecter les vulnérabilités. On voit également les agences de notation cyber qui sont là pour nous benchmarker. Le rôle de communicant du RSSI permet ici d’améliorer la notation de l’entreprise puisque cela va avoir une répercussion sur la prime d’assurance cyber par exemple ».
Le panorama de la cyber-criminalité du Clusif aide à bien comprendre les tendances et les innovations en attaques. En janvier, il révélait « un élargissement du périmètre d’attaques avec des codes malveillants ciblant les systèmes industriels. Les objets connectés, plus ou moins protégés, forment aussi une cible bien identifiée par les cybermalveillants. »
ASL Airlines détecte les comportements suspects
Les cyber-attaques, d’où qu’elles proviennent, coûtent trop cher à l’entreprise pour qu’elle ne s’en protège pas. « Cela peut conduire jusqu’au dépôt de bilan », regrette Francis Brisedoux, directeur informatique d’ASL Airlines. Il faut donc en avoir connaissance dès que possible afin de les bloquer. « Les outils modernes donnent l’alerte un peu en amont d’une attaque, en scannant tous nos postes pour vérifier les comportements anormaux de CPU ou des copies inhabituelles de fichiers. Ensuite, l’attaque proprement dite ne tarde pas. »
L’environnement informatique du transporteur est de type Cloud hybride avec deux datacenters, l’un au siège de la holding à Dublin et l’autre en France pour les données et applications critiques. Les serveurs sont virtualisés depuis 2009 et les postes de travail depuis 2011. L’hyperconvergence se matérialise sous la forme d’appliances Nutanix et de sauvegardes confiées à Rubrik dont le radar inspecte en continu le comportement de l’infrastructure : « Si la copie de fichiers s’emballe, en un clic, nous pouvons revenir à l’état précédent et ainsi court-circuiter un attaquant », apprécie le DSI.
Le Cloud public Microsoft Azure accueille les applications de bureautique et les échanges de courriers électroniques. « Depuis deux ans, l’éditeur Vade Secure accompagne la protection de nos messageries, ce qui nous évite des attaques au ransomware ou par phishing. Nous en avions subi avant. Pendant la phase de prototypage, nous avons vu en direct une attaque se produire sur notre messagerie via Office 365 », relate le manager d’une équipe de six informaticiens en France dont quatre peuvent intervenir sur la cyber-sécurité, le département IT du groupe comptant une vingtaine d’ingénieurs et techniciens en tout.
La Matmut anticipe et gère le risque cyber
A Rouen, Cédric Chevrel, le RSSI de la Matmut, rencontre des besoins comparables à ceux de ses confrères. « Protéger les données personnelles reste une des priorités de la Matmut. Nous manipulons principalement de la donnée personnelle. C’est au cœur de notre métier. La mission primaire confiée aux équipes consiste à la protéger mais aussi à sensibiliser les utilisateurs sur la réalité des cyberattaques. »
L’équipe informatique compte environ 300 experts, prestataires compris. Ils sont organisés suivant deux pôles, le pôle éditeur (projets et études) et le pôle hébergeur (infrastructures et hébergement d’applications).
Au quotidien, l’assureur doit gérer des incidents de production et de sécurité. Or dans les deux cas, la principale difficulté consiste « à bien isoler les éléments qui vont permettre de mettre le doigt là où se trouve le problème. Nous avons une quantité importante de logs à gérer, l’architecture retenant de 15 à 20 frontaux web. En cas d’incident, nous devons passer sur chaque serveur afin d’éplucher ses traces. D’où notre choix d’une solution de gestion des journaux systèmes d’origine LogPoint. Cette plateforme d’agrégation apporte des requêtes inter-plateformes pour mettre en évidence les facteurs discriminants, les signaux faibles et les causes à l’origine des problématiques qu’on observe », précise Cédric Chevrel.
Partage d’expérience
Pierre Salavera,
RSSI du groupe Paprec
Paprek trace les fuites de données clients
« Nous souhaitions nous protéger contre la perte ou le transfert des données de nos clients, malveillants ou non. Nous nous sommes d’abord penchés sur la protection des postes de travail et la détection d’intrusions, avant de réaliser que c’était la donnée elle-même que nous devions repérer, classifier et surveiller. On s’est orienté alors vers Forcepoint DLP. Un essai de deux mois avec les politiques de sécurité prédéfinies nous a convaincus. Plusieurs utilisations à risques sont apparues sous 15 jours, des transferts vers le Cloud ou vers des clés USB surtout. Par la suite, des fuites intentionnelles ont été révélées. Au début, nous voulions surveiller trop de choses, ce qui génère trop de logs. A posteriori, une classification des données nous a permis d’affiner les résultats. Nous avons finalement limité l’exercice aux périphériques amovibles et à l’emplacement des données critiques », retrace Pierre Salavera, le RSSI du groupe Paprec qui compte 8 000 collaborateurs répartis sur 210 sites et recycle 11 millions de tonnes de déchets par an.