Comment Terres du Sud renouvelle la protection de ses postes de travail

Cela faisait sept ans que Terres du Sud avait confié à Sophos la protection son millier de postes de travail, fixes et portables. Mais voilà, au fil du temps, relève Olivier Picard, responsable de l’infrastructure informatique de la coopérative agricole, la solution s’est alourdie. Le prix à payer, peut-être, pour l’extension de son périmètre fonctionnel. Quoiqu’il en soit, la solution commençait à rappeler par cela, celle qu’elle était venue remplacer, signée McAfee.

Mais ce n’est pas tout. Olivier Picard était à la recherche d’une protection contre ces menaces face auxquelles les traditionnelles bases de signatures s’avèrent d’une efficacité au mieux limitée, la faute en particulier aux délais d’intégration des empreintes de nouveaux maliciels, et de propagation des mises à jour. Et c’est sans compter les menaces non fichées. Pas question en tout cas, pour le responsable de l’infrastructure informatique de Terres du Sud de laisser son parc vulnérable à des risques tels que les ransomwares – même si la messagerie électronique est filtrée par Altospam.

A la fin du printemps 2017, le contrat qui liait la coopérative à Sophos touchait à son terme. C’est là qu’Axailan est venu présenter la solution de SentinelOne. L’approche retenue pour celle-ci n’a pas manqué de séduire : « l’analyse comportementale, qui est au cœur de la solution, permet d’aller au-delà des signatures, même si celles-ci sont également utilisées. On obtient une vision globale de ce qui se passe sur la machine ».

Le tout est administré via une console en mode SaaS. Cerise sur le gâteau, les mises à jour s’avèrent peu consommatrices de bande passante. Ce qui n’est pas un luxe pour une organisation qui s’articule autour d’une centaine de sites distants, interconnectés en MPLS ou en ADSL.

Certes, Sophos avait, dans son portefeuille produits, de quoi offrir un niveau de protection comparable, avec InterceptX. Mais de l’aveu même d’Olivier Picard, cette dernière brique aurait augmenté la facture au-delà de ce que demandait SentinelOne. Le choix s’est avéré rapide.

Le déploiement a pu commencer rapidement, avec l’accompagnement direct de l’éditeur, qui a assuré, au passage, un transfert de compétences et aidé à la prise en compte de l’infrastructure virtualisée. En fait, « installer SentinelOne à distance ou via un objet de stratégie de groupe (GPO), ce n’est pas compliqué ». Ce qui a pris du temps, c’est la désinstallation des outils de Sophos. Olivier Picard se souvient : « nous avons commencé par désactiver l’antivirus à partir de la console, tout en laissant le reste, à savoir le filtrage Web et le contrôle applicatif ».

Pour supprimer les outils de Sophos de l’ensemble du parc, il a fallu passer par des GPO, des scripts… « puis retourner sur chaque machine pour vérifier. Sur une centaine de sites, sans compter les portables. Parfois, il a fallu passer en mode sans échec ». Au total, l’opération s’est étalée sur cinq mois.

Fort de son expérience, Olivier Picard recommande de commencer par laisser fonctionner SentinelOne, un temps, comme simple observateur. De quoi permettre de traiter la question des faux positifs – qui ne manquent pas de survenir. Mais cela fait, il ne relève aucun incident en production.

Seul bémol, le changement a fait perdre la couche de contrôle applicatif. Mais le contrôle des postes de travail n’en reste pas moins très serré, par le biais de GPO. Surtout, Olivier Picard a bon espoir de voir prochainement la solution de SentinelOne offrir de telles fonctionnalités : « son éventail fonctionnel évolue très régulièrement ».

Pour illustrer son propos, il prend l’exemple de l’analyse du poste de travail à l’installation : une fonction absente initialement, mais qui a été depuis ajoutée, à la demande d’utilisateurs troublés par le manque d’une chose traditionnellement présente dans les antivirus. De fait, courant 2017, SentinelOne a ajouté l’analyse statique des fichiers, l’analyse des flux réseau et l’aide à l’investigation, ou encore la correction virtuelle de vulnérabilités.

Au final, Olivier Picard estime que SentinelOne dispose de toutes les bases nécessaires à une extension de son périmètre fonctionnel au contrôle applicatif. Une extension qu’il appelle donc fortement de ses vœux.