Frdric Prochasson - Fotolia

A Lille, Keolis consolide sa sécurité avec Trend Micro

L’exploitant du réseau Transpole a choisi d’homogénéiser son infrastructure de sécurité pour réduire ses coûts d’exploitation tout en améliorant la protection de son environnement de production.

Tout a commencé, il y a environ un an et demi, par un premier projet centré sur le contrôle et le filtrage des flux de courrier électronique et du trafic Web. Sébastien Pécron, responsable des opérations chez Keolis Lille, l’exploitant du réseau Transpole, expliquait, à l’occasion d’une table ronde organisée au Forum International de la Cybersécurité, fin janvier dernier, comment il est allé au-delà pour consolider son infrastructure de sécurité autour de la plateforme Deep Discovery de Trend Micro.

Olféo fournissait une solution de filtrage Web qui a été remplacée. De quoi réduire les coûts de licences et, au passage, améliorer la sécurité en révisant les règles d’ouverture. Désormais, l’approche affichée consiste d’ailleurs à « filtrer de plus en plus tout ce qui peut l’être ». Sur ses postes de travail, Keolis Lille utilisait déjà OfficeSan. ScanMail for Exchange assurait de son côté l’analyse des flux de courrier électronique. Mais c’est sans compter sur les capacités de mise en bac à sable du module Email Inspector de la plateforme Deep Discovery.

Celui-ci a été mis en œuvre « pour lutter contre les nouvelles menaces », au travers de deux appliances afin de répartir la charge. Le reste de la plateforme de Trend Micro s’appuie sur ces appliances, dotées de machines virtuelles configurées suivant l’environnement de production de Keolis Lille, pour valider les contenus, les pièces jointes ou encore les URL de pages Web.

Même les flux de messagerie internes sont traités. Car les ports USB des postes de travail ne sont pas bloqués et il arrive que des collaborateurs travaillent de chez eux et ramènent, au bureau, des logiciels malveillants. Le bémol ? Sébastien Pécron l’assume pleinement, c’est le temps de délivrance des courriels : « pour le temps de traitement, il faut compter une à deux minutes ». Mais il préfère que les utilisateurs aient à supporter ce délai plutôt que l’entreprise n’ait à supporter « trois ou quatre jours d’arrêt de production ».

Une dépendance considérable au système d’information

Car Keolis est, comme beaucoup, fortement dépendant d’un SI exposé à des menaces nouvelles : « avant, si les anti-virus étaient à jour, globalement, les attaques étaient bloquées ». Mais ce n’est plus le cas. Et l’entreprise a déjà été affectée, comme d’autres, par des ransomwares cryptographiques : « ce qui nous a valu parfois une mobilisation importante des équipes d’exploitation », reconnaît Sébastien Pécron, évoquant le chiffre de deux équivalents temps plein sur une semaine pour nettoyer des postes de travail infectés. Ailleurs, mais toujours chez Keolis, c’est un serveur de fichiers qui a dû être arrêté durant toute une journée. Et que ce soit pour l’ordonnancement ou la planification, l’entreprise a un besoin vital de son informatique.

Un pilote, déployé en pleine offensive de Dridex, à l’automne dernier, a permis d’obtenir rapidement le feu vert de la direction. A Lyon, explique Sébastien Pécron, la campagne a mobilisé 10 personnes de la production pour assurer le nettoyage des machines infectées. Protégé, il peut se contenter de produire des rapports pour mettre en évidence la pertinence de l’investissement : « Deep Discovery est en service depuis novembre. Le retour sur investissement est déjà fait ».  

Une infrastructure de sécurité homogène

Le dernier volet du projet est le déploiement de la solution Deep Security de Trend Micro, dédiée aux environnements virtualisés. A Lille, Keolis s’appuie sur une infrastructure virtualisée avec VMware, déployée sur deux centres de calcul en réplication synchrone. Pour mémoire, la plateforme Deep Security compte parmi les premières à avoir mis à profit les API vSafe de VMware. Et outre les environnements ESX, elle supporte les déploiements AWS et Microsoft Azure. Pour l’heure, les fonctions de patching virtuel restent à mettre en œuvre.

Au final, à Lille, Keolis est parvenu à se doter d’une solution complète et homogène, son ambition pour simplifier l’exploitation et réduire les coûts associés. Et pour Sébastien Pécron, l’intégration et l’homogénéité permettent également d’accélérer et de rendre plus précis le diagnostic en cas d’incident.

Aujourd’hui, son projet apparaît même comme un pilote à l’échelle du groupe Keolis qui commence à s’en inspirer pour certains volets, à commencer par la mise en bac à sable des éléments de code suspects. 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close