Regard côté pile et côté face sur la sécurité des accès chez Sanofi

Que ce soit avec un serveur Exchange en interne, ou avec Office 365, l’utilisation des mécanismes de délégation est courante, et potentiellement encore plus chez les VIP. Cette population représente environ 500 personnes chez Sanofi.
Wilfried Laumond, responsable l’activité Risk Monitoring & Services Information Technology & Solutions, explique qu’il est important de s’assurer que la gestion des délégations est faite correctement, notamment pour s’assurer que les délégations qui n’ont plus lieu d’être sont révoquées, ou que personne ne s’octroie des droits d’accès élevés sans justification. Car comme souvent, dans la gestion de droits, « on construit, on construit, et on oublie de nettoyer ».

Pour cela, Sanofi s’appuie sur les outils d’Idecsi, et en particulier son application mobile I2A. L’objectif est de permettre à l’utilisateur final d’être un acteur de sa cybersécurité : « plus de 90 % des alertes sont compréhensibles par l’utilisateur, qui peut les gérer directement ». Inutile, donc, de surcharger les équipes IT. Et surtout, « le métier étant propriétaire de la donnée, on estime qu’il faut lui donner les moyens de contrôler les accès, avec des outils simples et intuitifs ».

L’an dernier, Sanofi a commencé sa migration vers Office 365. Et celui-ci, notamment avec sa licence E5, ne manque pas de contrôles de sécurité. Mais passer à ce niveau de licence est là jugé trop onéreux. Et c’est sans compter avec une ergonomie qui n’est pas forcément adaptée à l’utilisateur final. Révoquer des droits de délégation en fouillant dans les menus d’Outlook peut être perçu comme une contrainte. Alors « Idecsi ajoute une couche d’abstraction, avec une interface plus facile à consommer ».

Et si aujourd’hui ce sont les délégations sur la messagerie et l’agenda qui sont couvertes, demain, il y aura les partages dans OneDrive, SharePoint, etc. Et c’est d’autant plus crucial que les possibilités de fuites de données ne sont pas négligeables. Mais les efforts de sécurisation des accès et des habilitations ne s’arrêtent pas là chez Sanofi, loin de là.

Le groupe pharmaceutique a déjà rationalisé sa gestion des identités et des accès afin de renforcer la sécurité en tenant compte des nouveaux usages des utilisateurs. Il s’appuie là sur les outils de SailPoint. Surtout, Sanofi fut l’un des premiers clients d’Alsid, cette jeune pousse française spécialisée dans la sécurisation d’Active Directory.

Et cela se traduit notamment par une architecture dans laquelle une forêt spécifique est dédiée à l’administration des contrôleurs de domaines, avec « des comptes hyper-durcis », accessibles uniquement à partir de postes dédiés eux-mêmes durcis, et avec authentification renforcée par carte à puce. Les comptes de service des applications les plus critiques sont quant à eux protégés par CyberArk. Et graduellement, les outils de ce spécialiste de la gestion des comptes à privilèges sont appliqués à de nouveaux cas d’usage, « notamment pour les comptes où une rotation régulière des mots de passe est nécessaire ».

Et bien sûr, pas question de laisser les utilisateurs finaux accéder à Internet sans protection – Zscaler doit être prochainement mis à contribution –, ou faire les frais d’une tentative de phishing. Proofpoint avait été intialement retenu pour sécuriser la messagerie électronique. Avec, en prime, une extension Outlook permettant d’alerter automatiquement en cas de message suspect. Et bien sûr, si la nature malicieuse est avérée, la possibilité de supprimer le message des boîtes de réception de tous les utilisateurs. Wilfried Laumond souligne que la menace est là loin d’être négligeable : « le phishing représente 60 à 70 % des incidents recensés chaque jour par notre SOC ». Mais à la rentrée, le groupe passera à Office 365 ATP pour protéger non seulement la messagerie électronique contre le hameçonnage, mais également Teams, SharePoint et OneDrive contre les contenus malicieux.