Chez SFA, Darktrace donne une visibilité toute nouvelle sur le réseau
Le spécialiste des broyeurs sanitaires, des pompes de relevage et de la climatisation a choisi le britannique pour aller au-delà de la visibilité que lui offrait déjà ses équipements de sécurité réseau. Visiblement avec beaucoup de satisfaction.
« Un bond en avant [...] Probablement l’un de nos meilleurs investissements ces derniers temps ». C’est ainsi que Frédéric Carricaburu, DSI du groupe SFA (Société Française d'Assainissement), parle de son choix de Darktrace pour compléter son infrastructure de sécurité du système d’information. Pour lui, la solution du britannique apporte à la fois une nouvelle perspective sur les événements de sécurité survenant au sein du SI, et un instrument parlant de communication avec les directions métiers. Un double bénéfice, donc.
Darktrace fait partie de ces jeunes pousses de la sécurité qui appliquent l’apprentissage automatique à l’analyse du trafic réseau, à partir de l’établissement d’un modèle comportemental normal. Elle a étendu l’an passé son offre aux infrastructures virtualisées et Cloud.
C’est à l’automne 2015, à l’occasion des Assises de la Sécurité, que Frédéric Carricaburu a fait la connaissance de Darktrace : « c’était différent du reste de ce que l’on voyait sur le marché. L’approche nous a semblée intéressante ».
Initialement, il s’agissait d’obtenir une visibilité plus fine et étendue que celle que peuvent offrir les pare-feu : « ils peuvent vous dire à quel protocole correspond un port ouvert, voire à quelle application. Mais il n’est pas forcément capable de voir si c’est vraiment l’application présumée qui communique sur ce port et avec ce protocole ».
En outre, « lorsqu’un paquet fait plusieurs rebonds au sein de notre réseau avant de repartir à l’extérieur, le pare-feu ne voit que le dernier hôte ayant initié la transaction ». La solution de Darktrace promet, elle, de permettre de suivre l’ensemble du parcours d’un tel paquet : « on peut avoir une vision totalement transversale », relève Frédéric Carricaburu.
Cette vision peut être contextualisée en fonction des métiers et des utilisateurs au sein de l’entreprise. Ainsi, s’il n’est pas surprenant que des équipes marketing transmettent d’importants volumes de données à l’extérieur, il est plus préoccupant qu’un comptable le fasse. Et là, « on sera alerté sur ce trafic anormal et l’on pourra réagir ».
Récemment, justement, les équipes du DSI du groupe SFA ont été alertées d’un nombre anormalement élevé de clients se présentant comme le navigateur Web Firefox : « cela venait des équipes de développement. C’était donc probablement normal. Mais rien n’empêche un développeur d’avoir une machine compromise ».
Le déploiement initial, au siège et plusieurs filiales du groupe, a pris de l’ordre de 5 à 6 mois, retardé par des projets en cours. Mais trois nouvelles sondes doivent être déployées. Et là, le délai ne devrait pas dépasser un mois : « c’est très très simple. Les premiers résultats apparaissent rapidement après la phase d’apprentissage ».
Le déploiement n’a toutefois pas manqué de réserver quelques surprises : « on n’imagine pas tout ce que l’on a sur un réseau ». Jusqu’à parfois se faire peur : « c’est le but de jeu. La sécurité IT impose de se remettre continuellement en question. Dès lors, à partir du moment où vous investissez dans une nouvelle technologie, forcément, vous découvrez des choses que vous ne soupçonniez ça ».
Et si Frédéric Carricaburu n’a pas rencontré d’incident majeur avec la plateforme de Darktrace – « un bug mineur, vite corrigé » –, il souligne un risque : sous-estimer son potentiel et les besoins de supervision associés. « Nous ne pensions pas que cela nécessiterait de l’analyse quotidienne, voire en temps réel. Mais nous nous orientons de plus en plus dans cette perspective ».
Des ressources supplémentaires ont donc été affectées à la solution et un nouveau recrutement est prévu, notamment pour tirer plus pleinement profit des capacités de Darktrace. Et cela tant pour surveiller le réseau en temps réel que pour rejouer et investiguer des incidents – « cela nous a été très utile sur un ou deux cas ».
Fondé en 1958 par Claude Perdriel (également à l'origine de la renaissance du Nouvel Obs en 1964 et propriétaire des groupes de baignoires/Spa SETMA et Aquasistance), SFA est un spécialiste des WC broyeurs, des pompes de relevage et de la climatisation. L'entreprise possède 24 filiales à travers le monde, et trois usines en France. Elle réalise un chiffre d'affaires qui avoisine les 80 millions d'euros pour un résultat net de 11 millions.