Pacifica/Crédit Agricole Assurances mise sur SentinelOne pour se protéger des menaces inédites

Une analyse en toute transparence

Des maquettes ont d’ailleurs été réalisées au niveau groupe, et des tests fonctionnels ont été confiés à un cabinet de conseil indépendant. Sur la base de leurs résultats, Teddy Besaçon a pu se concentrer sur d’autres aspects comme le déploiement, l’administration, ou encore la gestion des faux positifs.

Et force est de constater que ce qu’il a trouvé l’a convaincu : « l’interface est très simple et ergonomique, très didactique. C’est tout sauf une boîte noire. On peut voir exactement ce que l’outil a repéré, les accès au registre effectués par l’exécutable suspect, les fichiers touchés, etc. On peut analyser tout cela de manière très fine et décider si, dans notre contexte, il y a menace ou pas ».

Un déploiement simple

Le déploiement s’est déroulé sans accroc, au moins pour sa première phase, sur quelques centaines de postes. « Nous avons tout fait en interne. Il y a un serveur à installer, puis un agent – sous forme de paquet MSI – à déployer, ce que l’on a fait avec nos outils d’administration de parc existants », explique Teddy Besançon.

Cela fait, il convient toutefois de procéder à quelques réglages dans la console d’administration : « c’est assez simple, parce que l’outil est lui-même simple ». Une fonction a été pour l’heure désactivée : celle qui provoque l’isolement réseau de la machine sur laquelle est détectée une menace. Si Teddy Besançon la trouve intéressante et efficace, elle présente un inconvénient avec les travailleurs à distance : « lorsqu’ils sont ainsi isolés, ils ne peuvent plus accéder au réseau privé de l’entreprise et il faut donc qu’ils reviennent au bureau pour que l’on puisse intervenir physiquement sur la machine ». SentinelOne prévoit justement d’affiner cette fonctionnalité pour remédier à cela.

Eviter les conflits

En l’état, Teddy Besançon et ses équipes ont toutefois décidé de conserver Symantec Endpoint Protection, pour éviter d’avoir à chercher des alternatives à certaines fonctions qu’il apporte et qui sont absentes de SentinelOne. Et cela implique une subtilité de configuration : « il faut faire attention à placer les deux quarantaines en exclusion réciproque », à défaut de quoi les deux outils risquent de jouer au ping-pong continuellement.

Mais cette double protection n’a pas occasionné de surcharge d’exploitation, notamment en raison de faux-positifs, dont le nombre reste en définitif très limité. Ceux-ci surviennent surtout sur des postes très spécifiques, comme ceux de développeurs ou d’architectes : « des outils internes sont susceptibles de faire réagir SentinelOne du fait de leur comportement ». Mais il est possible d’éviter cela en les signant et en configurant l’outil pour ignorer tous les exécutables porteurs de la signature électronique du groupe.

Mais alors SentinelOne s’est-il déjà montré plus réactif que SEP ? Oui, au moins une fois, avec ces pilotes audio de HP qui embarquaient un enregistreur de saisies clavier (inactif) : l’outil les a mis à l’index avant qu’ils ne soient intégrés dans les bases de signatures traditionnelles. A terme, SentinelOne doit être déployé sur les quelques milliers de postes de travail de Pacifica.