sept grands groupes face aux défis de la...
TRANSCRIPT
Sept grands groupes face aux défis de la sécurité Sept groupes expliquent comment ils adaptent l’approche de la sécurité de
leurs systèmes d’information face aux menaces actuelles et aux nouvelles
exigences des métiers.
Des témoignages recueillis à l’occasion des Assises de la Sécurité 2012 et des
RIAMS 2013.
Page 1 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
Europe Airpost : un SI modernisé au pas de charge
Fabrice de Biasio, DSI d’Europe Airpost, dresse le portrait d’une
entreprise qui a considérablement changé avec le temps. Un temps
exclusivement dédiée au transport aérien du courrier entre Paris et la
province, l’entreprise s’est ouverte au transport de passagers jusqu’à ce qu’il
représente près de la moitié de son activité, avec près d’un million de
passagers par an, pour des tours operators - «nous sommes la seconde
compagnie aérienne de l’Hexagone derrière Air France », affirme ainsi
Fabrice de Biasio. Cette évolution menée à un rythme soutenu a impliqué de
nombreux défis. A commencer par une réorientation radicale de l’IT : «passé
d’un centre de coûts à une démarche de centre de profits», dans une optique
«d’alignement sur la stratégie du groupe ». Cela s’est traduit, en 2008, par
«une refonte complète du réseau», avec le déploiement d’outils Websense,
F-Secure et Proofpoint pour sa sécurité, et d’équipements Cisco, dont «deux
cœurs de réseau alimentant chacun une salle de production informatique -
nous avons des salles en redondance actif/actif dans deux bâtiments
distants, interconnectés par un lien gigabit », explique le DSI de l’entreprise.
Rattrapé par la consumérisation
Mais l’environnement informatique plus général a aussi évolué : «l’arrivée
des iPhone et des tablettes ont fait émerger de nouvelles problématiques et
nous avons du trouver les moyens de donner satisfaction à nos utilisateurs »,
explique Fabrice de Biasio. Cela impliquait en particulier de leur donner un
accès à Internet, ne serait-ce que pour supporter la mise à jour des
terminaux. Les outils de sécurité précédemment déployés ont alors montré
leurs limites : «on gérait les règles de sécurité en fonction des adresses IP
mais il nous fallait les gérer en fonction des applications.» En outre, Europe
Airpost devait se conformer à certaines règles légales, «au niveaux des logs
de connexion et de leur conservation, notamment ». C’est ce qu’ont permis
les outils de Palo Alto Networks : «c’est fiable et la gestion des règles se fait
suivant les applications. C’est une réponse simple et efficace à nos
problématiques.» D’autant plus simple que, souligne-t-il, tout l’équipement de
sécurité est ici «réduit à deux appliances. Nous avons supprimé de
nombreux équipements actifs, ce qui a réduit les risques et les coûts. Nous
Page 2 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
avons fait mieux, plus efficace et moins cher ». Un déploiement «assez
court, en deux mois» et surtout «quasiment sans coupure; on a presque fait
de la migration à chaud », explique Fabrice de Biasio. Qui souligne au
passage que ce choix permet «de rationaliser et de sécuriser les accès à
Internet tout en gérant la problématique des terminaux mobiles et des invités
». Un accès à Internet qui n’était assuré que par deux liens à 2 Mbps il y a
quelques années et qui offre aujourd’hui une bande passante d’un gigabit -
«les précédentes appliances de sécurité constituaient un goulot
d’étranglement ».
Une infrastructure totalement virtualisée
L’approche centrée sur l’efficacité et la réduction des coûts a été étendue à
d’autres domaines : «nous avons virtualisé l’ensemble de l’infrastructure. En
2008, environ 25 serveurs sur une centaine étaient virtualisés, avec un peu
de Citrix. Nous avons choisi de passer à 100 % sur VMware.» Le tout avec
des serveurs lames et une infrastructure de stockage «à l’identique, avec
DataCore pour lui ajouter une couche de virtualisation ». En 2010, Europe
Airpost a poursuivi le travail, «en virtualisant les postes de travail avec
VMware View dans une optique de standardisation de l’environnement. Les
applications ont été virtualisées avec ThinApp. Aujourd’hui, lorsque l’on
installe un poste de travail, c’est une question de quelques clics, en somme
». Les fruits d’un chantier lourd qui a duré rien moins que deux ans, malgré
le recours à PowerFUSE, de Res Software, pour fluidifier la conduite du
changement et la gestion des environnements utilisateur. La sécurité des
postes de travail virtuels est assurée par l’anti-virus de Kaspersky - «nous
sommes en train de migrer vers sa version adaptée à vShield; nous pourrons
supprimer les agents résidents dans les VMs ».
Fluidifier l’administration
Depuis la fin 2012, l’entreprise a même entrepris de supprimer les clients
lourds : «on propose d’échanger le couple portable/dock par un client léger
Wyse doublé d’une tablette tactile.» Et à ceux qui s’inquièteraient de la
connectivité, il répond simplement que «la 3G et le WiFi sont largement
disponibles ; notre personnel est très rarement déconnecté. Je ne me
Page 3 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
souviens pas d'avoir utilisée ma carte 3G au cours des douze derniers mois
». En outre, sur les tablettes, Europe Airpost mise sur la dualité entre
applications utilisables en mode connecté - applications Web et VDI - et
applications natives supportant un mode déconnecté. Plus loin, l’entreprise
commence à passer sur Office 365, misant donc sur les applications en
mode SaaS. Un dispositif de SSO a d’ailleurs été déployé pour simplifier
l’utilisation de l’environnement, avec une solution d’Imprivata. Et tout à sa
logique d’optimisation de son infrastructure, tant pour les utilisateurs que
pour l’exploitation, Fabrice de Biasio explique avoir récemment fini la mise en
place de ServiceNow «comme portail de gestion de l’IT».
Page 4 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
ArcelorMittal mise sur le Cloud pour l'authentification
Présentant son projet sur les Riams, Michaël Fiey, responsable groupe des
programmes IT Security, souligne la variété des populations représentées
chez ArcelorMittal : 250 000 employés dont 25 000 mobiles, répartis dans
plus de 60 pays, avec des équipes métiers et IT, des personnels fixes et
d’autres hyper-nomades, certains équipés en outils informatiques et d’autres
pas. Jusque là, le groupe apportait des «réponses hétérogènes aux besoins
de sécurisation des accès distants et l’absence de solution groupe pouvait
constituer un frein à l’ouverture demandée ». Sous la pression d’une menace
externe de plus en plus pressante - le géant de l’acier aurait fait l’objet «d’un
certain nombre d’attaques en 2012» -, sécuriser l’accès aux applications et à
la messagerie devenait essentiel. D’autant que «énormément d’informations
très sensibles sont échangées» par courrier électronique. Dans cette même
logique, le projet d’authentification forte d’ArcelorMittal devait aussi répondre
à des objectifs de flexibilité, pour permettre, par exemple, l’enrôlement dans
le SI de personnels non équipés de postes informatiques, depuis l’extérieur,
à l’instar d’ouvriers souhaitant accéder au portail RH depuis leur domicile.
Le choix d’une solution Cloud
Michaël Fiey s’est donc retrouvé dans l’obligation de trouver une solution
répondant «de manière globale aux besoins du groupe, sous la forme d'un
service » : la construction d'une offre packagée capable de s'adapter aux
nouveaux usages comme la mobilité, le BYOD et le travail à domicile. Le
tout, avec une contrainte forte de rapidité de déploiement et une «partie
budgétaire évidemment très regardée, avec un objectif d'économies
d'échelle ». C’est donc vers la solution d’authentification forte en mode Cloud
de CA Technologies qu’il s’est tourné : «le Cloud a permis de minimiser les
investissements en phase de démarrage, notamment» mais aussi de réduire
les phases d’architecture et de test de charge, tout en offrant une mise en
production rapide, avec une structure de coûts flexible. Pour autant, «les
divisions gardent le contrôle des autorisations». Seule l’authentification forte
est ici externalisée dans le Cloud et «la délivrance et la révocation des accès
Page 5 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
sont gérées via le référentiel central des identités du groupe ». Peu de
données se retrouvent in fine gérées dans le nuage de CA Technologies.
Une contractualisation très complexe
En fait, le volet technique ne semble pas avoir été le plus lourd, car Michaël
Fiey fait état sans ambages d’une «partie contractualisation
cauchemardesque ». Et d’expliquer que les discussions ont été nombreuses,
notamment sur l’évaluation de la sécurisation de l’offre, en partie impossible
avant la signature du contrat en raison de la certification SAS 70. Une clause
au contrat a ainsi été ajoutée, permettant de le dénoncer si jamais
l’évaluation, à postériori, ne s’avérait pas satisfaisante. Les échanges ont
également été importants autour des questions «de devoir d’alerte en cas de
compromission de leur plateforme, en lien avec la protection des données
personnelles ». Et en particulier sur le délai d’alerte. «Nous souhaitions être
alertés très rapidement», explique Michaël Fiey. Le délai exact ne sera pas
mentionné, tout juste saura-t-on qu’il est «relativement acceptable» mais
«très loin» des 4h. En attendant, le responsable groupe des programmes IT
Security d’ArcelorMittal semble satisfait des durées maximales d’interruption
de service (RTO) et de la fenêtre de sauvegarde en cas de panne (RPO) :
moins de 4 et 8 heures respectivement. Sans compter sur un engagement
pris sur les délais d’authentification : moins d’une seconde pour 90 % des
cas; et 100 % des cas inférieurs à 2 secondes. En cas de non respect du
niveau de service, «pas de notion de pénalité mais plutôt de rupture comme
une non facturation du service ».
Un déploiement progressif
Au final, Michaël Fiey reconnaît avoir eu des exigences «très élevées,
probablement plus que pour un projet on-premise ». Ce qui a conduit à une
réécriture massive du contrat. Et CA Technologies le reconnaît bien
volontiers : «c’est un marché jeune; on apprend aussi avec nos clients,
même si l’on a besoin d’un cadre de départ.» Cadre que l’éditeur affirme
d’ailleurs avoir fait évoluer à la suite de ses échanges avec son client. Le
projet d’ArcelorMittal est actuellement en phase pilote. Le déploiement
«corp» est prévu de juillet à janvier 2014 avec, en parallèle, le déploiement
Page 6 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
en Europe, jusqu’à l’automne 2014. Le reste des implantations du groupe
suivra, le temps d’impliquer les équipes locales et de suivre le déploiement
de son système de gestion des identités et des accès, démarré en 2011.
Page 7 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
L’impulsion est venue du service de l’inspection, explique Jean-Marc Cir, de
la Banque de France, à l'occasion d'un atelier sur les RIAMS qui se sont
déroulés fin mai à Saint-Tropez. Il précise que la gestion des traces
informatiques de l’organisme manquait alors, début 2012, «de sérieux ». Et
de dresser rapidement les grandes lignes d’un système largement
hétérogène composé «d’une multitude d’outils», à la maintenance complexe
et consommatrice de ressources. Et puis, «collecter et agréger des traces,
c’est très compliqué. Nous ne pouvions pas le faire avec nos outils. Et il
fallait aussi normaliser les traces ».
Et pour y remédier, il a fallu faire vite : «grosso modo, nous avons eu six
mois» avec une exigence de mise en production d’un véritable système de
gestion des informations et des événements de sécurité (SIEM) à fin 2012.
La réflexion a tout de suite éveillé un vif intérêt : «nous nous sommes
aperçus qu’avec un SIEM, on pouvait aller plus loin, au-delà de
l’investigation, vers de l’archivage légal» - six mois aujourd'hui, mais un an,
sinon plus, à terme - ou encore obtenir «des alertes en temps réel. C’est
aussi quelque chose d’important; avec les outils précédents, nous étions
plutôt à J+1 ».
Le choix d’une solution évolutive
La contrainte des délais a conduit Jean-Marc Cir et ses équipes à se tourner
vers le catalogue de l’Ugap et, partant, vers Sentinel de NetIQ. Cette solution
a notamment été retenue pour son évolutivité, tant technique que
commerciale : «elle s’appuie sur des collecteurs déportés et on peut donc
faire évoluer l’architecture à mesure que l’on étend le périmètre couvert»,
mais également segmenter les rôles des serveurs entre consolidation et
corrélation/présentation. Des serveurs peuvent également être ajoutés pour
gérer la croissance de la charge. En outre, «les licences sont facturées en
fonction du nombre d’incidents par seconde traités» et donc, encore une fois,
en fonction du périmètre concerné. Ce qui a permis à la Banque de France
de commencer «avec une architecture vraiment minimaliste», centrée sur
Page 8 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
quelques serveurs Unix, quelques pare-feux, le système de gestion des
identités des accès (IAM) et, surtout, l’application «très sensible» Target II -
«un système reliant des banques centrales européennes et qui gère en
temps réel toutes les opérations en règlement brut ». Pour l’heure,
l’application traite 350 000 opérations par jour pour un volume de l’ordre de
200 Md€.
Une mise en œuvre difficile
Compte tenu de la culture maison et de la sensibilité des applications,
l’externalisation n’était pas envisageable. Mais le déploiement en interne n’a
pas été un long fleuve tranquille. Jean-Marc Cir le reconnaît volontiers :
«honnêtement, tout seul, ce n’est pas possible.» Et de saluer la disponibilité
et la réactivité des équipes de NetIQ, tout en soulignant l’importance du
«balisage du périmètre couvert» et de la «définition de l’architecture» : des
étapes qu’il qualifie de «fondamentales. Si c’était à refaire, j’y consacrerai
plus de temps, quitte à finir en retard ».
Sentinel n’est ainsi pas livré sous forme d’appliance mais d’application. Et là,
la configuration joue un rôle clé. Les services de NetIQ ont ainsi été
fortement impliqués dans l’optimisation du système d’exploitation utilisé par
le serveur Sentinel pour améliorer l’utilisation de la mémoire vive ou encore
réduire les pertes de traces, notamment sur l’agent Snare pour Windows -
utilisé dans l’attente de Sentinel 7.1.
Mais les équipes de NetIQ sont également intervenues pour développer un
parser de traces pour les équipements de Palo Alto - module désormais
intégré à l’offre Sentinel et à son cycle de développement. Mais à la mise en
production début janvier, la solution n’était pas encore totalement
satisfaisante. Finalement, c’est un sous-dimensionnement de l’architecture
qui a été diagnostiqué et il a été décidé de dissocier, sur deux serveurs, la
collecte, d’une part, et le reporting et la présentation, d’autre part. Une
architecture effectivement déployée depuis la fin mai. Entre temps, le module
de présentation avait dû être désactivé.
Page 9 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
La version 7.1 de Sentinel devrait sensiblement améliorer la situation avec
une capacité de traitement bien supérieure, à configuration égale, et
l’intégration d’agents pour les serveurs Windows supportant le parsing, la
compression et le chiffrement des traces remontées.
De premiers résultats
Si Jean-Marc Cir fait état de résultats pour l’heure limités, il souligne des
apports techniques : «cela nous a permis d’identifier des manques
d’optimisation dans la configuration de pare-feux qui renvoyaient des
quantités considérables d’événements.» Un lot deux doit consister en un
élargissement du périmètre, avec tous les serveurs Windows, les anti-virus,
les IPS (Intrusion Prevention System), et plus généralement toute
l’infrastructure sur laquelle reposent les accès à Internet. Et, pour fiabiliser
l’ensemble, la Banque de France prévoit de mettre en place une architecture
à haute disponibilité de type actif/actif et distribuée. Surtout, la corrélation
des événements de sécurité est attendue avec ce second lot du projet.
Page 10 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
Natixis prépare le renforcement de la traçabilité des identités
Michel Wurtz, responsable Maîtrise d’ouvrage sécurité chez Natixis, dresse
le tableau : le groupe bancaire compte plus de 22 000 utilisateurs, répartis
sur de nombreux sites, en France métropolitaine comme à l’international, au
sein d’une myriade d’entités. Et là, il faut compter avec de nombreux
référentiels, «inexistants» ou qui existent mais sont «parfois incomplets», et
même des processus variés «parfois conflictuels.» De manière synthétique,
il résume une situation peu glorieuse : la traçabilité est «quasi inexistante et
en tout cas faible.» Quant au provisionnement des utilisateurs, il n’est guère
plus tendre : «un existant multiple et varié» entre véritables outils de
provisioning et simples éléments de «synchronisation.» Et de conclure, sans
appel : «au final aucune vision consolidée des droits, des accès, des
personnes. Du pain béni pour les auditeurs.» C’est donc là qu’intervient le
projet Thor de Natixis, lancé début 2012 : il doit permettre de maîtriser
l’accès aux applications et données critiques tout en répondant aux besoins
d’audit internes et externes, et en unifiant pratiques et processus
d’habilitation. Dans son document de référence 2012, le groupe explique que
ce projet «vise à améliorer, dans le cadre d’une automatisation accrue, les
processus de délivrance d’habilitations, de maintenance des référentiels
d’habilitation, et de contrôle.» Tout en indiquant que «le déploiement par
métier est prévu en 2013 et 2014.» Concrètement, la mise en production est
aujourd’hui prévue pour la mi-juin après validation d’un pilote lancé au sein
de Banque Privée 1818.
Miser sur les utilisateurs
Michel Wurtz souligne l’attention portée aux utilisateurs finaux : «l’objectif est
que l’outil soit accepté par les utilisateurs.» Dès lors, l’ergonomie a été
définie comme l’un des critères les plus importants pour le choix de la
solution : «nous avons confronté des utilisateurs aux différents outils
sélectionnés et ce sont eux qui ont fait le proof of concept.» En clair :
l’expérience de six utilisateurs, sur deux jours, a piloté le choix de l’outil. Et
c’est une solution Dell Software (anciennement Quest) qui a finalement été
retenue. Et tant pis si cela a nécessité le développement d’un connecteur
Page 11 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
spécifique avec Tivoli Identity Manager, l’outil de privisioning principal du
groupe, avec lequel les systèmes de production ont une «forte adhérence.»
A cela se sont ajoutées des briques de gestion des habilitations, de
recertification, et une autre de «création de valeur ajoutée pour le
correspondant de sécurité logique» pour la gestion du modèle d’habilitation
«qui lui ne sera plus là pour donner les droits aux personnes mais pour aider
le métier à modéliser le profil de ses utilisateurs.»
Un apprentissage laborieux
Si le projet apparaît essentiel tant sur le plan de la sécurité pure que de la
conformité - une entité dont relève Michel Wurtz -, il n’a pas été sans
difficultés : «on a eu plusieurs échecs», reconnaît le responsable de maîtrise
d’ouvrage sécurité. Et de relever un premier écueil : «on s’y prenait tantôt par
l’outil informatique» ou par les workflows mais «ça n’a jamais vraiment
fonctionné; nous avions des problèmes de déploiement.» Pas question
d’abandonner pour autant ni de chercher à aller trop vite : «on a tout posé et
laissé murir pendant environ un an.» Et de construire une équipe spécifique
en maîtrise d’ouvrage, chargée notamment de la conduite du changement.
Et donc, de miser sur les utilisateurs. Fort de son expérience, Michel Wurtz
identifie un premier point clé - «facile à dire, pas facile à faire,» reconnaît-il :
«bien choisir son pilote.» Et cela veut dire ne pas retenir, selon lui, une entité
trop petite car l’expérience risque de souffrir d’un manque de
reconnaissance. Ni une entité trop grande car ce serait trop difficile... «Il n’y a
pas de recette miracle pour un bon pilote.» Une entité trop mature peut
également s’avérer problématique, du fait d’une confiance trop grande dans
le modèle existant. Et «s’il n’y a rien, c’est très chronophage.» Bref, le pilote
doit être choisi en fonction de la capacité des utilisateurs à être...
«volontaires.» Surtout, il faut trouver les bons sponsors pour le projet. Dans
le cas de Natixis, «ce qui ne bouge pas, c’est l’inspection générale.» Un
sponsor stable dans le temps et auquel personne ne peut dire non. Une clé
en or.
Page 12 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Gilbert Paccoud est responsable sécurité IT du groupe Schneider depuis 3
ans. Trois ans durant lesquels il indique avoir appris une chose : "il faut avoir
un profil un peu humble" en matière de sécurité informatique. Dès lors, plutôt
que de parler d'avance, il "préfère dire que [Schneider Electric] a adopté une
approche proactive pour adresser la menace" en déployant la solution de
SIEM [système de gestion des événements et des incidents de sécurité]
d'Alien Vault pour superviser, en continu, la sécurité de ses infrastructures
IT. Un projet lancé en 2009 dans le cadre d'une stratégie plus large, qui
intègre la création d'un SOC, centre opérationnel de sécurité, mais
également le développement de compétences de test d'intrusion,
d'investigation, etc. Et qui reste, selon ses propres termes, "plus un voyage
qu'une fin en soi." Chronologie du projet SIEM de Schneider
Electric.[/caption] Le lancement de ce projet a été motivé par plus de
facteurs. D'une part, le groupe est "leader mondial dans nombreux secteurs,
ce qui en fait une cible naturelle ", explique Gilbert Paccoud. En outre, ses
activités évoluent vers les mondes de l'IT et du logiciel, avec le virage du
Smartgrid, mais également l'expansion du groupe dans le domaine des
Scadas. Il y a trois ans, "nous avons donc réalisé que notre manque
d'anticipation était suffisamment élevé pour que l'on déclenche un
programme spécifique." La consolidation de la fonction IT à l'échelle du
groupe a simplifié le lancement de la démarche. Le projet de SIEM à
proprement parler a démarré mi-2011 et le groupe est actuellement en phase
de roll out.
Gagner en visibilité sur les menaces actuelles et… à venir
Vincent Jaussaud, Global Technical Security Officer, explique que ce projet
doit en priorité permettre de "détecter ce que l'on ne voyait pas. Nous ne
pouvions nous permettre de rester aveugles face à la menace", mais
également de générer des rapports de traçabilité et de conformité PCI. En
outre, il devait permettre de réduire le coût des investigations. Car ni Gilbert
Paccoud ni Vincent Jaussaud ne sont dupes : "des attaques, nous en aurons
Page 13 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
toujours. Un outil comme celui que nous déployons nous permettra de mieux
réagir." Mieux, et plus vite.
Telvent n'était pas encore protégé par la solution Alien Vault
Mi-septembre, Telvent, devenu filiale de Schneider Electric à l'issue de son
acquisition fin 2011, a annoncé avoir été victime d'une intrusion dans son
système d'information. Interrogé sur le sujet à l'occasion de l'atelier durant
lequel il témoignait sur le déploiement du SIEM d'Alien Vault, Gilbert
Paccoud nous a indiqué que, "pour le moment, [Telvent est] toujours dans sa
configuration IT initiale, c'est à dire pas intégré à l'informatique du groupe."
Comprendre qu'ils ne sont donc pas dans le périmètre couvert par la solution
Alien Vault. "Bien entendu, comme vous l'avez écrit, nous avons apporté nos
compétences dans la gestion de la crise, pour les assister." De son côté, la
concomitance de l'annonce d'une offre de sécurité Scada développée avec
Industrial Defender ne semble être qu'une coïncidence.
Concrètement, Schneider Electric a déployé dans les entités concernées des
appliances chargées de superviser le trafic réseau, de récupérer et de
normaliser les logs de systèmes identifiés comme clés, avant de les
remonter dans les centres de calcul du groupe où les informations sont
corrélées pour générer des alertes. Vincent Jaussaud fournit quelques
éléments de quantification : "dans un groupe comme Schneider Electric,
présent dans 200 pays, ce sont quasiment 100 millions d'événements de
sécurité qui sont remontés chaque mois. Après corrélation, ils génèrent une
dizaine d'alertes par jour." De quoi se forger une petite idée des apports de
la solution : "sur de tels volumes, la surveillance serait impossible sans
corrélation." A date, le SOC ne mobilise d'ailleurs qu'un temps plein - chiffre
qui devrait doubler une fois la solution totalement déployée. Certains
résultats concrets soulèvent l'étonnement : "avec le SIEM, nous avons
identifié quasi immédiatement plus de 200 machines en interne infectées par
des botnets - mariposa, conficker, etc." Des machines qui étaient par ailleurs
protégées par un anti-virus récent doté d'une base de signatures à jour… En
outre, "nous avons observé des effets de bord intéressants, comme la
découverte d'équipements réseaux mal configurés" qui entraînaient une
surconsommation de bande passante. Surtout, le SIEM a déjà permis
d'identifier des menaces en devenir : "des tentatives d'intrusion ciblant les
équipements de voix sur IP, venant souvent de Chine ou de Russie. Les
attaquants ne sont pas encore en phase offensive; ils semblent essayer
Page 14 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
d'établir une cartographie." Une menace nouvelle et préoccupante que
Schneider Electric prend très au sérieux.
L'attrait de l'Open Source
Après avoir évalué de nombreuses solutions, Schneider Electric a retenu
celle d'AlienVault tant pour les modules de détection d'intrusion (IDS) que
pour le SIEM : "nous les avons retenus notamment sur le critère d'intégration
- un outil, une console." Mais le facteur économique a également joué :
"nous avons économisé au moins 30 % sur le coût total du projet",
notamment en évitant la multiplication des appliances. L'open source apporte
une cerise supplémentaire au gâteau : "l'évolutivité. Ainsi, nous ne sommes
pas figés dans un environnement propriétaire." Et les apports de la
communauté peuvent profiter rapidement au groupe.
Page 15 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Le Bring Your Own Device, tendance qui consiste en la prolifération des
équipements informatiques personnels dans l’environnement professionnel,
continue de nourrir les débats des événements liés à la sécurité. C’est sans
surprise qu’un atelier lui était ainsi consacré lors des Rencontres de l’identité,
des accès et du management de la sécurité (RIAMS), qui se déroulaient la
semaine dernière à Saint-Tropez. Hervé Dubillot, responsable de la sécurité
des systèmes d’information de Danone, part d’un constat simple, montrant,
s’il le fallait encore, que le phénomène s’avère incontournable : «le BYOD
est surtout apporté par des personnes qui ont un certain pouvoir» et
auxquelles, de fait, il s’avère impossible de dire «non». Parce que leur dire
«non» ne les empêchera pas d’essayer à tout prix d’utiliser leur smartphone
flambant neuf ou leur tablette personnelle à l’insu de la DSI. Et même si
celle-ci explique au préalable que l’utilisateur ne bénéficiera d’aucun support,
«ils appelleront le support technique et celui-ci ne pourra s’interdire de leur
répondre, quitte à y passer des jours ». Dans l’assistance, un participant
ironise, évoquant le cas de matériels offerts par les constructeurs : même s’il
ne s’agit pas d’un appareil personnel dans la mesure où il n’a pas été acheté
personnellement, la problématique n’est pas différente pour autant. Et il n’est
question là que de considérations techniques parmi de nombreuses autres :
«RH, légales, etc.» Bref, pour les participants, la situation semble claire : «en
informatique, il y a des usages, des transformations sociologiques qui
s’imposent d’elles-mêmes et contre lesquelles il ne sert à rien de lutter. [...]
Le numérique joue un rôle dans nos vies, dans nos sociétés. On ne peut pas
faire comme si cela n’existait pas.»
Un défi technique et... social
Mais embrasser le BYOD n’est pas trivial pour autant. Pour Hervé Dubillot,
l’offre ad hoc - entre solutions de gestion des terminaux mobiles (MDM) ou
de contrôle des accès au réseau (NAC) - est désormais vaste. Mais la mise
en oeuvre apparaît comme un passage délicat, l’occasion d’une douloureuse
prise de conscience : «on se rend compte que le poste de travail a été
négligé pendant des années », qu’il souffre d’un empilement de technologies
Page 16 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
pas forcément actualisées - «on retrouve même des traces de Windows NT4
et 2000 parce que le nettoyage nécessaire n’a jamais été accompli ».
Certaines applications métiers ont encore besoin d’Internet Explorer 6 ou 7,
d'anciennes versions de Java... Dès lors, les coûts cachés liés à la mise à
niveau de l’existant peuvent être conséquents. Et si la virtualisation du poste
de travail peut apparaître comme une solution, elle n’a rien d’idéal : «le coût
est énorme.» Mais Hervé Dubillot relève un autre risque : «l’entreprise a
l’obligation légale de fournir au salarié un outil de travail. En adoptant le
BYOD, on crée une discrimination» entre les personnes qui ont des moyens
élevés et ceux dont les budgets personnels sont contraints. Quant à fournir
une enveloppe pour l’achat d’une machine, comme certaines entreprises le
font outre-Atlantique... : «on ne peut pas proposer la même enveloppe au
VIP, au chef de service ou à l’ouvrier sur la chaîne d’assemblage.» Certaines
susceptibilités pourraient ne pas l’apprécier, est-on tenté de comprendre en
filigrane. En outre, certains salariés pourraient être tentés de se sous-équiper
pour garder à d’autres fins une partie de l’enveloppe. Du coup, chez Danone,
«on résiste deux ou trois semaines pour gagner du temps et... après, on
avance ».
Accepter la réalité d’une sécurité imparfaite
Reste que, pour embrasser, encore faut-il se préparer. Bernard Ourghanlian,
Directeur technique et sécurité de Microsoft France, dresse la liste des
étapes du processus. En tête de liste : la classification du patrimoine
numérique de l’entreprise et la segmentation des utilisateurs - «deux points
fondamentaux», essentiels à une approche pragmatique de la sécurisation et
de l’ouverture du SI. Une ouverture indispensable car, pour lui, «un système
d’information qui n’est pas ouvert sur le reste du monde ne sert à rien. La
logique du château-fort a vécu ». Et de donner la mesure de l’effort de
pragmatisme consenti par Microsoft : «il y a des logiciels malveillants dans
notre système d’information. On le sait. On essaie de les éradiquer mais
c’est impossible. Les mathématiques ont montré qu’il est impossible de créer
un anti-virus parfait. Alors si supprimer la menace est impossible, il faut
apprendre à vivre avec.» Ce qu’il traduit concrètement par une protection par
niveaux des éléments à protéger en fonction de l’impact sur l’activité de
l’entreprise. Et très logiquement, «ce qui a un impact élevé sur l’activité n’a
Page 17 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
pas le droit de fuiter ». Une approche qui a manifestement convaincu
Danone qui a opéré une classification par enjeux économiques, avec les
métiers : «on ne peut pas classifier à contre-courant des métiers; ça ne
fonctionne pas.»
Page 18 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
C’est entre le printemps et la fin de l’année 2012 que Scor a déployé la
solution ControlMinder de CA Technologies. Une solution de gestion des
accès qui doit répondre aux impératifs spécifiques d’activités où les données
sensibles sont centrales et où la réglementation s’avère particulièrement
contraignante. En octobre dernier, à l’occasion des Assises de la Sécurité,
qui se déroulaient à Monaco, Henri Guiheux, RSSI du groupe Scor,
expliquait que le réassureur était amené à manipuler « énormément
d’informations de ses clients potentiellement sensibles », soulignant un «
contexte complexe », notamment pour « un groupe de taille modeste ». La
mise en place d’un programme de « protection des données sensibles des
clients, de nos données financières et de notre savoir-faire » devait
permettre d’assurer « clients, régulateurs et actionnaires de la sécurité des
processus et des données ainsi que de la traçabilité ». Et de souligner qu’en
tant que réassureur, Scor peut être perçu par ses clients comme un « sous-
traitant » sur lequel ils doivent propager leurs propres contraintes de sécurité
et réglementaires. Avec une « exigence exacerbée » de la part des clients du
monde anglo-saxon. Le tout dans un contexte de « transformation numérique
de l’entreprise », une transformation qui induit des risques - avec «
l’augmentation de la fréquence des cyberattaques » - justifiant « la mise en
place de contrôles ».
Contrôler et tracer les activités sensibles
Henri Guiheux expliquait ainsi être confronté à une population variée entre
utilisateurs, administrateurs et prestataires externes. ControlMinder a été
retenu parce qu’il « s’intégrait bien dans notre référentiel de contrôles » avec,
notamment, deux objectifs : « assurer des mécanismes sécurisés pour les
accès administrateurs » et « assurer la confidentialité et la traçabilité ». Et
l’outil permet de centraliser la gestion de l’ensemble, il supporte aussi « la
distribution des politiques au niveau des serveurs, suivant les rôles » des
utilisateurs. Il autorise aussi des dérogations, « suivant un processus de
validation », pour les accès en urgence hors de la zone de compétence
nominale d’un utilisateur. Surtout, toutes les activités des administrateurs
Page 19 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
sont enregistrées - « en vidéo compressée, en noir et blanc ». C’est le volet
traçabilité. La prévention est assurée par les politiques, « ControlMinder
interdit certaines actions pour lesquelles on peut remonter des alertes ».
Une approche pragmatique centrée sur les risques
Mais pas question de partir la fleur au fusil et de dépenser sans compter.
Henri Guiheux explique avoir mis en place une organisation permettant
notamment d’éviter l’écueil du « combat d’experts ». La démarche est donc
partie du sommet de la hiérarchie, en 2011, tout en impliquant les métiers : «
nous avons défini les risques et vu avec chaque division métier les points
susceptibles de poser problème pour ensuite élaborer un plan d’action et
définir les priorités. » C’est la mise en place d’une structure en hubs qui a
permis notamment de récolter les informations, « par exemple sur les
contraintes réglementaires dans différents pays », en intégrant tant les
spécificités régionales que métiers. L’une des priorités était d’identifier les
applications qui touchent aux données sensibles : « il est important de partir
des processus de base pour aller à la pêche de tous les éléments »,
soulignait à l’automne dernier Henri Guiheux. Pour lui, cette approche partie
de la tête « permet de mettre en place de la sécurité qui répond à des
besoins, en ligne avec la stratégie du groupe ». Et donc d’éviter la dispersion
et les inefficacités.
Page 20 of 20
Sept grands groupes face aux défis de la sécurité
Dans cet E-guide
Europe Airpost : un SI modernisé au pas de charge
ArcelorMittal mise sur le Cloud pour l'authentification
SIEM : La Banque de France fait l’expérience de la complexité de mise en œuvre
Natixis prépare le renforcement de la traçabilité des identités
Gilbert Paccoud, Schneider Electric : "nous avons adopté une approche proactive "
Hervé Dubillot, RSSI de Danone, souligne les défis sociaux du BYOD
Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
Des ressources gratuites pour les professionnels IT TechTarget publie des informations techniques ciblées multi-support qui
visent à répondre à vos besoins de ressources lorsque vous recherchez les
dernières solutions IT, développez de nouvelles stratégies ou encore
cherchez à faire des achats rentables.
Notre réseau de sites internet experts vous donne accès à du contenu et des
analyses de professionnels de l'industrie. Vous y trouverez également la
bibliothèque spécialisée en ligne la plus riche : livres blancs, webcasts,
podcasts, vidéos, salons virtuels, rapports d'études et bien plus, alimentée
par les fournisseurs IT. Toutes ces ressources sont basées sur les
recherches R&D des fournisseurs de technologie pour répondre aux
tendances du marché, défis et solutions.
Nos événements réels et nos séminaires virtuels vous donnent accès à des
commentaires et recommandations neutres par des experts sur les
problèmes et défis que vous rencontrez quotidiennement. Notre
communauté en ligne "IT Knowledge Exchange" (Echange de
connaissances IT) vous permet de partager des questionnements et
informations de tous les jours avec vos pairs et des experts du secteur.
Pourquoi choisir TechTarget ? TechTarget est entièrement centré sur l’environnement IT de l'entreprise.
Notre équipe d'éditeurs et notre réseau d'experts de l'industrie fournissent le
contenu le plus riche et pertinent aux professionnels et managers IT. Nous
exploitons l'immédiateté du Web, les opportunités de rencontre en face à
face, via le networking ou les événements virtuels, et la capacité à interagir
avec les pairs. Ceci nous permet de produire une information irréfutable et
directement exploitable par les professionnels du secteur dans toutes les
industries et sur tous les marchés.
Sites Internet du réseau TechTarget