Comment Euroclear sécurise ses flux Web et ses accès distants

Euroclear est l’un des deux dépositaires centraux internationaux de titres, avec Clearstream. À ce titre, l’entreprise voit transiter plus de 830 billions d’euros par an, accompagnant plus de 2 000 institutions financières, avec des clients dans plus de 120 pays. Pas question, dans ce contexte, de droit à l’erreur et encore moins au laxisme.

Alors pour sécuriser les flux Web et les accès distants de ses utilisateurs, Euroclear a multiplié les couches de protection. Jérôme Desbonnet, responsable des opérations et des solutions de sécurité de l’entreprise, explique ainsi utiliser une passerelle d’accès cloud sécurisé (CASB), deux plateformes de prévention des fuites de données, un système de filtrage des URL, et encore un système de déport du rendu Web.

Tout cela s’articule aujourd’hui autour de la plateforme de Netskope. D’un côté, il s’agit de contrôler les flux sortants, vers les applications cloud, pour s’assurer que des applications à risque ne sont pas utilisées : « le système de notation nous aide à décider d’approuver ou pas, mais nous fonctionnons surtout sur la base d’une liste d’applications autorisées ». De l’autre côté, il s’agit de contrôler les flux entrants, afin d’éviter l’accès à des URL réputées malveillantes, ou dangereuses – distribuant par exemple des charges malicieuses – voire simplement à risque.

Mais quid de tout ce qui se situe en zone grise, entre le prohibé et l’approuvé ? Pour tout cela, Euroclear utilise de longue date une plateforme de déport de rendu Web sur des machines virtuelles. Développée originellement en interne, celle-ci a été remplacée par une solution renvoyant à l’utilisateur final non pas un flux vidéo, mais une page HTML5 sans contenu actif, comme du JavaScript, par exemple. Jérôme Desbonnet souligne la flexibilité de la plateforme de Netskope, qui permettait dès le départ l’intégration avec le système de déport de rendu Web développé en interne.

Mais la justification du choix de Netskope, par rapport à ses concurrents, ne s’arrête pas là. D’autres solutions auraient eu un impact trop fort sur l’organisation interne, « un facteur bloquant » pour Jérôme Desbonnet. C’est l’engagement de Netskope vis-à-vis de son client qui a surtout convaincu le responsable des opérations et des solutions de sécurité d’Euroclear : « jusqu’au sommet de sa hiérarchie, Netskope s’est engagé à réaliser certains développements pour s’adapter à notre infrastructure. Et cet engagement s’est concrétisé dès la phase de démonstrateur, avec déjà une première version des modifications nécessaires ». Ces développements visaient notamment à supporter la plateforme de déport de rendu Web d’Euroclear.

« Nous n’avions pas de culture historique du travail à distance, mais nous avons passé 95 % de nos effectifs en travail à domicile. »

La mise en œuvre est survenue à point nommé : juste avant les premiers confinements de début 2020. Et cela n’a pas manqué d’alléger la pression sur les VPN : « nous n’avions pas de culture historique du travail à distance, mais nous avons passé 95 % de nos effectifs en travail à domicile ». Il fallait donc compter avec plus de 5 000 utilisateurs connectés chaque jour aux VPN : « Netskope et Palo Alto nous ont bien aidés à réaliser cela de manière fluide pour les utilisateurs ».

La prévention des fuites de données n’est pas oubliée, avec cette fois-ci deux DLP : un premier, historique, en local, et celui de Netskope pour le reste. Il faut jongler avec les deux consoles pour analyser finement les faux positifs, mais les remontées des deux DLP sont intégrées dans le système de gestion des informations et des événements de sécurité pour l’analyse de haut niveau et le reporting.

Et bien sûr, pas question de laisser les contrôles d’accès sans surveillance. Les identités sont fédérées, avec un Active Directory interne synchronisé avec Azure AD, mais surtout du SSO… couplé à deux couches d’authentification à facteurs multiples – la seconde, pour les applications les plus critiques. Mais le SSO est mis en œuvre de sorte que les utilisateurs n’ont jamais à saisir de mot de passe pour accéder à leurs applications Microsoft 365. Et cela aide contre les menaces : face un phishing, « les utilisateurs sont surpris qu’on leur demande de saisir un mot de passe ; c’est habituel et ils ne tombent pas dans le piège », explique Jérôme Desbonnet.