Les Mousquetaires troquent leur antivirus au profit d’un EDR

2 agents pour sécuriser les postes en télétravail

L’idée de repenser la protection des endpoints remonte à la première période de confinement due à la Covid-19. Les collaborateurs qui n’étaient pas indispensables au fonctionnement des points de vente ont été priés de basculer en télétravail via VPN, ce qui a poussé Fabrice Bru à installer en urgence l’agent Tanium sur les postes, afin de compléter l’antivirus en place et permettre le maintien en condition de sécurité des postes à distance. 

« Nous avons demandé à nos utilisateurs d’ouvrir une session VPN afin de déployer l’outil, ce qui nous a permis de contrer des attaques. Néanmoins, cette combinaison ne bloquait pas les menaces avancées : tout reposait sur l’efficacité du SOC pour être attentif et réactif à ce qui se passait », explique-t-il. 

Le groupe est particulièrement sensibilisé au risque d’attaque informatique, car en 2018, entre 135 et 140 magasins ont été bloqués suite à une attaque de phishing.

Son responsable de la cybersécurité estime que les 2 solutions de protection en place sur les postes de travail ne sont pas suffisantes pour bloquer une menace avancée. Il souhaite alors mettre en place une solution unique et transverse à l’intégralité du mouvement. 

L’idée est aussi de rationaliser les outils et d’en consolider l’administration autour d’une plateforme unique. De quoi, aussi, gagner beaucoup d’efficacité en cas de réponse à incident.

Un retour favorable est donné par les membres du groupement suite à une étude d’opportunité lancée par la STIME en interne. Un appel d’offres est lancé avec une mise en concurrence des éditeurs d’EDR pour remplacer l’antivirus. Des évaluations sont engagées sur l’ensemble de l’écosystème IT du groupe et, à l’issue de ce processus, c’est la solution de SentinelOne qui est choisie. 

En 2022, après une nouvelle tentative d’attaque sur la division industrielle du groupement, la décision est prise de généraliser l’outil sur tous les actifs du groupement : non seulement les postes en télétravail, mais aussi les serveurs, les serveurs de robotique, les machines SCADA, les serveurs en usine et tous les serveurs en magasin.

À l’exception des 5 000 terminaux mobiles, ce sont 65 000 équipements qui sont concernés par le projet, dont 25 000 ordinateurs, 25 000 caisses dont 2 500 en libre-service, 3 800 serveurs, ainsi que les systèmes industriels : « nous avons beaucoup travaillé avec la direction technique de la STIME ainsi qu’avec les équipes industrielles, SentinelOne et son intégrateur pour appréhender les outils, les configurer notamment sur les systèmes industriels ICS et SCADA ainsi que les systèmes d’encaissement, dont les multiples scripts peuvent générer des faux positifs ». 

Après le démonstrateur initial, puis la phase de définition d’architecture, il a fallu valider en profondeur le bon fonctionnement de SentinelOne sur l’ensemble de l’écosystème IT. 

Comme certains investissements industriels sont réalisés sur 20 à 30 ans, il existe encore des PC sous Windows XP dans les usines. Or, cet OS n’est plus supporté depuis longtemps et n’est pas géré par l’EDR. La solution du scellement des postes a été retenue afin de les protéger ; une solution déjà mise en œuvre sur les caisses des magasins, mais qui bénéficie aussi de la protection de SentinelOne.

Une nouvelle organisation centralisée pour gérer les endpoints

Outre le déploiement du logiciel, la STIME a profité du projet pour revoir l’organisation de sa sécurité endpoint : « l’idée était de nous appuyer sur une seule plateforme, mais aussi une seule équipe, peu importe la division. Tout le monde voit tout sur la plateforme. Et si chacun a son périmètre d’administration sur SentinelOne, tout le monde est en backup de tout le monde. En cas d’incident cyber dans une usine, comme il y a peu de ressources dédiées à la cyber dans la division industrielle, les ressources de la STIME peuvent prendre le relais et les aider dans la crise ».

« Nous devons protéger le groupement contre des attaques très ciblées d’organisations qui souhaitent nuire à l’activité économique en France. […] Nous sommes sous le regard de beaucoup d’organisations cybercriminelles. »

Désormais, l’ensemble des endpoints peuvent être mis à jour de manière uniforme depuis la même console par une seule personne. Il n’y a plus à convaincre chaque division du bien-fondé de procéder à la mise à jour dans l’urgence. Vis-à-vis du SOC du groupement, les logs des différents systèmes continuent de remonter dans le SIEM Splunk. Seule une partie de la télémétrie de SentinelOne est remontée dans le SIEM pour d’évidentes raisons de volumétrie. 

« Le SOC peut accéder à la console SentinelOne en tant qu’outil supplémentaire à ceux dont ils disposent déjà. Aujourd’hui, la supervision est réalisée en 24/7 par une équipe de supervision qui est dans une entité transverse. Si un incident est détecté, il remonte au SOC qui alerte un groupe d’administrateurs sentinelles », précise le responsable. 

Ces sentinelles remontent des alertes via un workflow configuré sur ServiceNow. Le ticket est validé par la DSSI et le SOC va analyser l’alerte pour définir s’il s’agit d’un faux positif ou d’une alerte effective.

Un bilan positif sur un parc pourtant très hétérogène

Pour Fabrice Bru, le point le plus positif du projet est d’avoir trouvé une solution qui protège le parc très hétérogène du groupement des Mousquetaires : « nous avons des postes sous Windows récent, d’autres sur d’anciennes versions de Windows, des serveurs Linux, des gros systèmes, des systèmes industriels et la solution fonctionne sur la plupart d’entre eux. Pour nous, cela permet d’avoir un seul outil pour traiter l’intégralité du risque cyber au niveau endpoint ». 

Au-delà de la protection contre les attaques ciblées ou non, l’EDR fournit énormément d’informations utiles à la DSI en termes d’inventaire des actifs comme par exemple les comptes Windows, les applications installées, les processus en fonctionnement. En cas d’investigation, SentinelOne peut délivrer des artefacts très riches quant au fonctionnement de la machine impliquée. 

L’autre avancée majeure de ce projet fut la remise à plat d’une organisation sans doute trop complexe pour être parfaitement effective dans l’urgence d’une cyberattaque.

Enfin, la problématique du coût de déploiement d’une telle solution à grande échelle a pu être résolue avec un calcul de ROI en faveur de la solution EDR : « la difficulté fut d’expliquer aux adhérents de passer d’un modèle licence d’un antivirus à un modèle cloud avec un OpEx constant, un coût mensuel supérieur à l’amortissement que nous leur facturions jusqu’alors. Outre l’argument de l’innovation, le coût des deux outils déployés sur les postes client et des antivirus sur les serveurs était très largement supérieur à celui de SentinelOne sur tous les actifs. Nous avons réussi à démontrer un ROI sur ce déploiement ». 

Après une première phase pilote sur un parc représentatif et auprès de la STIME, la division industrielle s’est emparée du sujet et a rapidement mené et achevé son déploiement. 

Le déploiement est plus long du côté des magasins, car plusieurs ont été rachetés récemment et sont en train de changer d’enseigne. Les équipes qui préparaient l’ouverture de ces nouveaux magasins ne pouvaient être mobilisées sur la recette de la solution SentinelOne, mais celles-ci vont rapidement déployer l’EDR dans toutes les enseignes du groupement.

Propos recueillis lors de l’édition 2023 des Assises de la Sécurité.