vadim yerofeyev - Fotolia

Comment Foncia modernise en profondeur la sécurité de son système d’information

Engagé dans une profonde transformation numérique, le groupe revoit son approche de la cybersécurité pour l’adapter à l’évolution drastique des usages. Avec notamment la double volonté de prévenir et détecter les éventuels incidents.

Foncia n’est plus une maison toute jeune. Mais le groupe d’administration de biens et de transaction immobilière sait manifestement se moderniser. Franck Perillier, son directeur de la sécurité du système d’information, évoque ainsi une ambitieuse transformation numérique engagée il y a un peu plus de deux ans. Et celle-ci se traduit par « la démultiplication et la délocalisation des usages » des outils informatiques. Pas question, dans un tel contexte, de rester sur une approche de la cybersécurité basée des modèles patrimoniaux.

Et cela commence par une réflexion sur le cloud et son rôle dans l’architecture complète de la sécurité informatique, que ce soit pour la gestion des identités et des accès, pour la protection des communications réseau, ou encore celle des postes de travail.

Ainsi, Foncia s’est engagée dans le déploiement des outils d’Okta. De quoi notamment profiter de la sécurité renforcée apportée par l’authentification à facteurs multiples. L’Active Directory reste hébergé et administré en interne. Mais Franck Perillier trouve un autre avantage au recours à Okta : l’ajout d’une couche d’abstraction qui réduit les interactions directes avec l’annuaire. Et la sécurité de ce dernier n’est pas la dernière de ses préoccupations, loin s’en faut.

L’approche orientée cloud vaut aussi pour les postes de travail, et de deux façons. Tout d’abord, pour les échanges réseau. Le confinement déclenché en réponse à la pandémie de Covid-19, a intensifié le recours aux VPN, mais souvent avec du split-tunneling : le trafic destiné aux ressources internes passe par le VPN ; le reste est envoyé directement sur Internet. Certains contrôles de sécurité réseau internes sont donc contournés. Inacceptable, pour Franck Perillier : « nous avons besoin de rattraper ce flux ». Et pour lui, le seul moyen pour cela est « d’avoir des instances de protection dans le cloud ».

Le service Prisma Access de Palo Alto Networks est en cours de déploiement. L’équipementier a été retenu pour uniformiser la sécurité réseau sur un seul constructeur au lieu de trois. De quoi simplifier l’administration de l’ensemble. Les systèmes Fortinet vont donc être remplacés.

Les services en mode cloud sont également mis à profit pour la protection de la messagerie électronique, avec ici Proofpoint. Même chose pour une partie de la protection des postes de travail. Là, c’est Sophos qui a été retenu, pour profiter notamment des capacités d’EDR d’Intercept X, tout en évitant de déployer un agent supplémentaire. En prime, les composants de DLP et de contrôle de la navigation Web ont été activés. Pour Franck Perillier, l’apport du cloud est là encore important : « cela peut faire grincer quelques dents, mais les capacités d’administration hors du réseau interne à l’entreprise sont très utiles ».

Cerise sur le gâteau, Sophos propose des outils de protection du poste de travail également pour macOS. Et ce n’est pas accessoirement : d’ici à trois ans, les Mac pourraient bien dominer largement le parc installé chez Foncia, avec les outils de Jamf pour l’administration.

Mais tout cet édifice ne peut pleinement donner sa valeur que mis au service d’une vraie stratégie de détection. Pour résumer, Franck Perillier explique avoir mis le SI « sur écoute » : « nous avons fait beaucoup de choses autour de la gestion des logs, du SIEM ».

« Nous avons travaillé à nos propres règles, et développé des scripts en Python pour automatiser la réponse sur un certain nombre de cas d’usage. »
Franck PerillierFoncia

Pour la gestion des incidents et des événements de sécurité, c’est QRadar qui a été retenu. Même les logs des déploiements AWS et Azure sont collectés. Et si un connecteur manque pour une source potentielle… « on le développe nous-même ».

De fait, beaucoup de travail semble avoir été accompli autour du SIEM d’IBM, car un tel outil nécessite des règles bien ajustées pour éviter le syndrome sapin de Noël et la fatigue des analystes qui en résulte : « nous avons travaillé à nos propres règles, et développé des scripts en Python pour automatiser la réponse sur un certain nombre de cas d’usage », explique ainsi Franck Perillier.

Et de résumer sa stratégie : « nous n’avons pas envie de nous faire pirater, mais si cela devait arriver, nous voulons le savoir » et disposer des données nécessaires pour enquêter.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close