Comment Sanofi protège sa supply chain du risque d’attaque

Le défi de sécuriser un SI de plus en plus ouvert

C’est dans ce contexte particulièrement délétère que le groupe mène une transformation digitale qui l’amène à ouvrir de plus son système d’information. Outre ses 3 datacenters, le laboratoire français a déployé des ressources auprès de 4 fournisseurs cloud public.

« Toute transformation digitale doit s’appuyer sur des fondamentaux », expliquait Thierry Manciot, Head of ITS Cyber Security Industrial chez Sanofi, en charge de la cybersécurité des sites industriels du groupe, lors des Assises de la Sécurité 2021. « Nous ouvrons de plus en plus nos systèmes industriels pour bénéficier de nouvelles technologies et si on ne maîtrise pas les fondamentaux, on court à la catastrophe ».

La stratégie élaborée par le RSSI afin de protéger l’outil industriel de Sanofi repose sur un framework dont le déploiement a été initié voici 5 ans maintenant : « nous avons tout remis à plat et sommes repartis de zéro : inventaires des ressources, déploiement d’antivirus ; nous avons adressé un spectre de menaces de plus en plus large avec de nouvelles briques qui sont venues s’ajouter à notre framework, notamment l’EDR ».

Une quinzaine d’activités de cybersécurité ont ainsi été déployées sur les sites industriels afin de pérenniser les processus de sécurité informatique dans le temps. L’une de ces activités est entièrement dédiée la problématique des accès externes et à la gestion de ces connexions à haut risque, alors qu’il est très fréquent dans l’industrie de donner accès à des ressources internes aux fournisseurs d’équipements industriels et mainteneurs. La particularité du framework cyber industriel imaginé par Thierry Manciot : il s’appuie sur les standards groupe, avec comme choix à long terme de ne pas avoir de solutions spécifiques à l’industrie, à quelques exceptions près.

Parmi les éléments de base de ce framework figurent classiquement une segmentation soigneuse des réseaux, un volet détection et la réponse à incident avec un SOC global interne, localisé à Bridgewater et à Lyon, qui a la capacité d’adresser les problématiques industrielles.

Le quatrième pilier du dispositif de défense porte sur la mesure de la performance cyber de chaque site industriel : « nous avons mis en place cette mesure de performances très vite, car pour déployer rapidement un framework de sécurité de manière efficace, il faut disposer d’une capacité à mesurer en temps réel l’état, le statut de l’ensemble des briques de sécurité ».

L’ensemble des données de fonctionnement des systèmes de défense est centralisé sur un Security Data Hub, avec des tableaux de bord pour chaque site industriel visible par tous les autres afin que chacun puisse comparer sa performance avec ses pairs.

Priorité sur la sécurisation des accès privilégiés

Parmi les briques clés de la protection des sites industriels de Sanofi figure un PAM, la solution de bastion éditée par CyberArk. « Nos enjeux, en termes de sécurisation des accès privilégiés, sont relativement classiques. Le premier enjeu, c’est la gestion des identifiants. Tous les mots de passe doivent être stockés de manière sécurisée, ne doivent pas connus des administrateurs, et nous devons nous assurer de leur rotation automatique afin d’éviter une attaque utilisant des mots de passe administrateurs jamais renouvelés ».

Un autre enjeu fort pour Sanofi porte sur la traçabilité des comptes à privilèges tout au long de leur cycle de vie. Le RSSI souhaitait avoir la capacité de surveiller certains comptes particuliers et détecter des usages anormaux. Ce besoin de traçabilité rejoint les exigences en termes de conformité, très élevées dans l’industrie pharmaceutique.

Bien que le périmètre IT de Sanofi soit à la fois très large et très hétérogène, Sanofi a souhaité mettre en place une approche unifiée de ses identifiants, pour les ressources dans ses datacenters, sur le cloud public ainsi que ses systèmes industriels. L’objectif étant d’avoir une approche commune, globale et unifiée pour l’ensemble de ces ressources IT du groupe.

« Aujourd’hui, un collaborateur Sanofi qui dispose d’un compte sur le PAM et qui quitte l’entreprise voit son compte systématiquement désactivé ».

Sanofi a choisi le PAM de CyberArk en 2016 et, aujourd’hui, ce sont environ 18 000 actifs IT dont les accès sont régis par cette solution. Elle a été déployée pour protéger les couches infrastructures (firewall, serveurs, virtualisation, stockage, backup) ainsi que les bases de données et les applicatifs SAP, ServiceNow, Splunk et Atmos. Environ 16 500 comptes individuels et techniques sont gérés dans le bastion CyberArk. 1 200 privilèges globaux ont été définis et attribués aux équipes Sanofi, mais aussi aux infogéreurs.

La gestion du cycle de vie de chaque compte est assurée via un workflow qui inclut bien évidemment la phase d’offboarding, particulièrement critique en termes de cybersécurité : « aujourd’hui, un collaborateur Sanofi qui dispose d’un compte sur le PAM et qui quitte l’entreprise voit son compte systématiquement désactivé », précise Thierry Manciot.

Le monde industriel a quelques spécificités, notamment en termes de process. Il faut absolument conserver le contrôle de l’ensemble des machines, même en cas de pannes sévères, y compris si la brique PAM est indisponible : « un élément essentiel dans la conception de ce projet, c’est la notion de “bouton rouge”. Personne n’accepte de déployer une solution dans le SI de Sanofi sans cette notion. Impossible de ne plus pouvoir accéder à un système en cas de problème dans cette architecture, même si celle-ci est résiliente ».

Le bouton rouge est uniquement opéré par le SOC qui, à tout moment, garde la capacité à accéder à l’ensemble des systèmes via des comptes dédiés. Car, « en cas d’indisponibilité du PAM, comme on ne connaît pas les mots de passe administrateur, plus personne n’a accès aux serveurs ». Du coup, « via ces comptes, le SOC peut toujours débloquer la situation ».

Sanofi déploie son approche « Remote Acces as a Service »

Si les prestataires doivent passer par la case PAM afin d’accéder aux ressources IT de Sanofi, Thierry Manciot a remis à plat sa stratégie de gestion des accès distants afin d’augmenter la maîtrise sur ces accès à haut risque, mais aussi en simplifier la gestion des comptes et de droits associés et réduire les coûts des multiples solutions VPN déployées sur les sites.

Le RSSI a souhaité mettre en place une solution de gestion sécurisée des accès fournisseurs : « tous les fournisseurs, notamment du secteur industriel, viennent avec leurs propres solutions d’accès distant. C’est une approche dont nous voulons absolument nous affranchir. Nous avons souhaité mettre en place une solution standard qui vienne s’intégrer dans l’écosystème fournisseur, avec des modèles opérationnels bien en place, et ne plus avoir à gérer tous ces VPN ».

« Chaque site est en capacité de dire qu’il va accorder l’accès à un fournisseur sur tel environnement sur son site ».

L’architecture technique d’accès distant choisie par Sanofi s’appuie sur la technologie CyberArk Alero : « la solution est très complémentaire au bastion lui-même. Alero traite la gestion des accès distants via un simple navigateur. Il n’y a pas de logiciel à installer et l’accès met en œuvre une authentification MFA ». Le projet de déploiement est en cours de test auprès de quelques sites pilotes et le RSSI attend les retours des premiers utilisateurs avant de déployer la solution sur les autres sites industriels.

Pour le RSSI, cette volonté d’aller vers le « Remote Access as a Service » pour les fournisseurs doit s’accompagner d’une délégation de la gestion des accès auprès des sites industriels : « chaque site est en capacité de dire qu’il va accorder l’accès à un fournisseur sur tel environnement sur son site. Ce type d’approche n’est possible que grâce au couplage étroit entre la solution d’accès Alero et le bastion CyberArk. C’est une approche de bout en bout, depuis le fournisseur jusqu’à la cible ».

600 fournisseurs sur le grill avant d’obtenir leur droit d’accès

Outre ce volet purement technique, une bonne part de cette stratégie de sécurisation des accès fournisseurs repose sur des mesures organisationnelles : « sécuriser les accès fournisseurs, ce n’est pas qu’une technologie d’accès distant. Nous avons réalisé un gros travail de gestion du risque fournisseur qui n’est pas propre au périmètre industriel ».

Ainsi, les exigences de cybersécurité de Sanofi ont été intégrées aux contrats fournisseurs, avec notamment une clause d’audit des moyens informatiques du fournisseur. Ils sont ainsi 600 à avoir été l’objet d’une évaluation Cyber, c’est-à-dire d’un contrôle de leur conformité aux référentiels de sécurité des systèmes d’information, mais aussi une évaluation à leur exposition sur Internet, et la détection de fuites de données (Data Leakage) dont ils seraient à l’origine.

Et si, malgré toutes ses précautions, un fournisseur est victime d’une attaque, un processus est en place chez Sanofi pour l’alerter par email, mais aussi couper ses accès aux ressources IT de Sanofi si l’attaque impose une telle mesure conservatoire. Thierry Manciot ajoute : « depuis le début de l’année 2021, dix de nos fournisseurs ont fait l’objet d’une attaque. Ces attaques ont été sans impact pour nous, mais cela donne une idée du niveau d’exposition auquel nous devons faire face ».

Texte rédigé à partir de la présentation de Thierry Manciot, Head of ITS Cyber Security Industrial chez Sanofi lors des Assises de la Sécurité 2021.