Cyber risque : les secrets de Schneider Electric pour améliorer son score BitSight

Un score de risque est de plus en plus consulté par les tiers

Dans ce cadre, le comité de direction suit avec attention un indicateur de sécurité indépendant : le score BitSight. Un scoring de la cybersécurité de plus en plus utilisé, notamment par les sociétés d’assurance en cybersécurité pour calculer le niveau de la prime.

« J’ai appris de notre Chief Digital Officer que le score BitSight était suivi jusqu’au niveau du comité de direction et de nos investisseurs. Un client nous a même challengés sur ce score, d’où l’importance d’essayer de l’améliorer », révèle le responsable. « Pour les clients et les investisseurs, ce score est le reflet de notre posture de sécurité, et, point très important, cette donnée est disponible publiquement. Il peut donc avoir un impact direct sur notre réputation. Elle peut être utilisée pour nous évaluer par rapport à nos concurrents ». D’où l’importance de chercher à l’améliorer dans le cadre d’un processus continu. « Cette gestion du score est ainsi devenue un sujet critique pour nous ».

« Le score BitSight était suivi jusqu'au niveau du comité de direction et de nos investisseurs. Un client nous a même challengé sur ce score. »

Le calcul du score est réalisé par BitSight. L’acteur indépendant intercepte des données sur Internet, collecte les données publiques de l’entreprise chez les Registrar (société de gestion des noms de domaines) et recueille des données via des requêtes DNS « Sync Call » sur les adresses IP de l’entreprise.

La note prend en compte le nombre de requêtes émises par des botnets via ces adresses, la propagation de spam et des malwares, les versions des browsers sur les postes de travail, les données de Header renvoyées par les serveurs Web de l’entreprise, les ports ouverts sur ses serveurs publics, etc.

L’ensemble de ces informations est ensuite compilé et BitSight leur assigne des poids, ce qui donne une note globale.

Les entreprises sont classées en trois catégories : basiques pour les 40 % des entreprises les moins bonnes, intermédiaires et avancées pour les 40 % d’entreprises les mieux classées. « Le suivi du score BitSight est une démarche assez ancienne chez Schneider Electric. Nous travaillons sur le sujet depuis plus de quatre ans » resitue Yohann Royer.
« Dans un premier temps, il a été utilisé comme un outil de reporting interne de notre posture de cybersécurité, notre objectif étant d’atteindre la catégorie Advanced et de s’y maintenir durablement. Désormais, nous sommes évalués par nos investisseurs et par nos clients avec ce score. Il est donc primordial d’être mieux placés que nos concurrents et de montrer nos efforts pour améliorer constamment notre cybersécurité ».

Une stratégie d’amélioration du score de cyber risque en deux phases

Ce travail d’amélioration du score BitSight a connu deux phases.

La première a été de réagir et faire remonter un score initialement très moyen qui plaçait l’entreprise française dans la zone « Basic ». L’équipe sécurité a analysé toutes les données collectées par BitSight, puis elle a procédé à une remédiation des incidents de sécurité remontés par le prestataire.

« Nous avons mis en place une organisation globale de sécurité ainsi qu’une gouvernance côté sécurité IT mais aussi dans les Business Units. »

Le score étant calculé en fonction des failles de sécurité potentielles détectées lors du mois en cours, sur le trimestre précédent, sur les six derniers mois et l’année passée, la progression du score présente une forte inertie. Mais, les efforts de Schneider Electric finissent tout de même par payer. L’entreprise passe dans la zone « Intermédiaire » en 2019.

« Après une première phase purement réactive, nous sommes entrés dans un mode plus proactif », continue Yohann Royer. « Des plans d’action ont été définis, des ressources dédiées ont été embauchées, et nous avons mis en place une organisation globale de sécurité ainsi qu’une gouvernance côté sécurité IT, mais aussi du côté des autres équipes IT dans les Business Units du groupe ».

Des relais auprès des métiers s’assurent que les plans d’action sont bien menés. Le suivi est quotidien et une revue technique a lieu toutes les deux semaines. Un reporting d’avancement est fourni au CISO et au CIO tous les mois. Enfin un séminaire annuel dresse le bilan de l’année et prend des décisions pour l’année à venir.

Toutes ces mesures ont payé. L’industriel est passé au niveau « Advanced » début 2020.

Le « Shadow IT » impacte aussi le BitSight

Les experts en cybersécurité ont apporté une réponse à l’ensemble des risques identifiés sur le système d’information « corporate » de Schneider Electric. Ils ont mis en place un écosystème de protection qui est constitué d’un EDR et d’un firewall personnel sur chaque poste de travail ainsi que d’une solution cloud de filtrage des accès Internet (et bien évidemment d’un firewall sur chaque accès Internet), sans oublier un boîtier DDI Infoblox (notamment pour la protection DNS).

Mais les experts de Schneider Electric vont identifier un trou dans leur raquette. Non pas dans la protection du SI interne, mais via un élément qui peut influer négativement sur le score cyber de l’entreprise : les accès « Guest » proposés aux tiers venants dans les bâtiments de l’entreprise.

« La sécurisation du DNS est primordiale. C'est un premier niveau de sécurité et un complément indispensable aux autres outils de sécurité de notre écosystème. »

Le scénario type identifié par l’équipe de sécurité se déroule comme suit. « Un client qui vient chez nous pour une formation d’une journée sur les produits Schneider Electric va connecter son PC dans une salle de formation dédiée. Cette salle n’est pas connectée à notre réseau corporate, mais ce réseau utilise quand même notre accès Internet. S’il y a un botnet connu sur ce PC, il peut être stoppé sur les firewalls, au niveau des solutions de filtrage des accès Internet, mais nous n’avions pas de solution au niveau DNS. Sa requête DNS était interceptée par BitSight, identifiée comme provenant d’une adresse IP Schneider Electric et donc pouvait générer une alerte chez BitSight et impacter notre score » illustre Yohann Royer.

C’est pour cette raison que Schneider Electric décide alors de déployer la solution BloxOne d’Infoblox, une solution de protection DNS dans le cloud. Celle-ci vient en complément de l’écosystème de sécurité du SI « Corporate » pour maîtriser ces environnements plus complexes.

La solution traite toutes les requêtes DNS issues d’assets non managés par la DSI – comme les PC et les mobiles des clients ou des fournisseurs qui utilisent les réseaux « Guest », mais pas que. Elle traite aussi les terminaux BYOD des collaborateurs, le Shadow IT, ou encore les objets connectés IoT sur lesquels le service cybersécurité n’a pas la possibilité de configurer un proxy.

Le déploiement de BloxOne a été initié en octobre 2019. La mise en place a été très rapide, selon le responsable. « Comme pour toute application SaaS, quelques clics suffisent sur BloxOne pour activer le service », assure-t-il. « Il faut ensuite configurer chacun des firewalls pour intercepter la totalité du trafic DNS et le renvoyer vers BloxOne ».

L’évolution du BitSight de Schneider Electric n’a pas été immédiatement affectée par cette mesure. Mais dans les mois qui ont suivi, l’entreprise a été classée dans la catégorie Advanced. Après un début d’année 2020 agité pour raison de confinement, le groupe a même franchi la barre des 800 points ces dernières semaines. Une véritable réussite pour l’équipe de sécurité.

« La sécurisation du DNS est primordiale, or BloxOne permet de bloquer des requêtes DNS qui pourraient impacter notre score BitSight, et ce dès la première requête. C’est un premier niveau de sécurité et un complément indispensable aux autres outils de sécurité de notre écosystème », conclut Yohann Royer.