Comment Essilor gagne en visibilité sur son réseau
Le spécialiste des verres de lunettes a décidé de s’appuyer sur la solution de Vectra pour disposer d’une visibilité globale sur son système d’information, dans la perspective de la mise en place d’un centre opérationnel sécurité mondial.
Jamal Dahmane est RSSI groupe d’Essilor. Et comme il le rappelait lors d’un atelier organisé aux Assises de la Sécurité, début octobre dernier, ce n’est pas une mince affaire.
Longtemps, le fabricant de verres de lunettes d’origine française, inventeur du verre progressif, a enregistré une croissance rapide, notamment externe. Il comptait de l’ordre de 70 000 collaborateurs à travers le monde avant son mariage avec Luxottica, une opération annoncée début 2017 et faisant passer le groupe à plus de 150 000 personnes.
Historiquement, Essilor était doté d’une DSI groupe chargée de définir des normes globales et du pilotage des infrastructures de l’Essilor d’origine, avec un certain nombre de services partagés sur lesquels le groupe s’appuie de plus en plus. Mais la fonction RSSI était distribuée. Jamal Dahmane est ainsi le premier RSSI groupe d’Essilor, épaulé par deux coordinateurs et 12 responsables locaux de la sécurité.
C’est dans ce contexte qu’a émergé le besoin d’une visibilité globale sur un système d’information notamment riche en propriétés intellectuelles, et cela dans la perspective de la création d’un centre opérationnel de sécurité (SOC) à l’échelle du groupe, pensé pour la sécurité, là où les SOC existants avaient plutôt été mis en place à des fins de conformité. Désormais, il s’agit d’homogénéiser les pratiques, standardiser, et disposer d’une surveillance 24 h/24.
Des capacités de détection bien réelles…
L’appel d’offres en ce sens a été lancé à l’été 2018, suivi de l’établissement d’une shortlist et de la mise en place de pilotes, avec la recherche de l’outillage. C’est là qu’est survenue la découverte de Vectra, et son test : tout de suite, les données remontées et la visibilité obtenue se sont avérées conséquentes. En outre, le déploiement est apparu aisé ; un point clé pour pouvoir étendre le projet à l’échelle du groupe, sur les systèmes IT, mais également OT. Car c’est bien simple, pour Jamal Dahmane, la solution de Vectra est « presque plug-and-play ».
Presque seulement, car, des réglages sont nécessaires. Le RSSI se souvient ainsi qu’initialement, des anomalies ont été détectées parce que beaucoup de données partaient chez Google. Las, rien de plus normal : le groupe utilise les Google Apps.
Mais d’autres, plus significatives, ont rapidement été découvertes : des systèmes de production infectés par WannaCry, ou un utilisateur qui téléchargeait des données internes pour les téléverser en masse sur Internet. Un comportement suspect vite identifié auquel il a été possible de mettre un terme rapidement. Pour Jamal Dahmane, « ces situations ne sont pas faciles à détecter sans un tel outil ».
Pour lui, ses équipes ont voulu comparer avec des offres concurrentes. Et il l’assure : « Vectra arrive premier pour détecter les incidents ». Et l’exploitation s’avère relativement peu lourde : un équivalent plein temps et demi d’analyste pour un périmètre initial de 15 000 hôtes.
… Mais présentées de manière accessible
L’approche retenue par Vectra en termes de tableaux de bord et de rapport a également séduit, en ce qu’elle contribue à rendre plus accessible la sécurité à des audiences non techniques. Les événements sont classés selon la gravité et la certitude. Mais il est possible de se pencher sur des périodes arbitraires pour constater des évolutions.
Un quadrant est d’ailleurs dédié à cela : celui qui présente les hôtes de l’environnement sur lesquels le comportement observé a le plus évolué sur la période considérée. Pour Jamal Dahmane, c’est une chose à surveiller. Et il en est sûr : « de ce que j’ai vu, la corrélation fonctionne à chaque fois ».
Un autre tableau de bord permet de présenter les activités les plus observées. Et là, bonne nouvelle tout de même : les situations les plus graves, comme l’exfiltration de données, sont les moins fréquentes – « nous avons eu un cas avéré en un an sur 70 activités relevées. »
Accessoirement, la solution de Vectra permet d’associer aux actifs surveillés un niveau de criticité, que ce soit dans une perspective infrastructure ou métier, et de replacer les activités qui y sont observées dans le contexte d’une chaîne d’attaque : « de quoi avoir une représentation visuelle de ce qui s’est passé et d’éventuellement faire le lien avec d’autres opérations ». Du moins, de plus aisément mettre le doigt sur d’éventuelles attaques.