Tierney - stock.adobe.com
Comment Lagardere Travel Retail renouvelle la sécurité de ses postes de travail
Héritier d’une approche très décentralisée et peu maintenue de la protection des postes de travail, le RSSI du groupe a choisi de se tourner vers SentinelOne. De quoi au passage gagner en visibilité sur le parc.
C’est début 2018 que Vincent Gapaillard a pris ses fonctions de RSSI chez Lagardère Travel Retail. À ce moment-là, il ne peut que constater la multiplicité des solutions de protection des postes de travail dans le groupe : « j’ai arrêté de les compter à partir de 7 ou 8 ».
Il y avait au moins une raison à cette situation : le groupe est très décentralisé et « chaque entité avait sa solution ». Mais les écueils ne s’arrêtent pas là : « il n’y avait pas forcément partout de mise à jour ou de revue des configurations, de surveillance des alertes ou de supervision du fonctionnement des solutions de sécurité ». Sans compter « un manque de sensibilité et de compétence » sur le sujet, en général. Mais pas question de laisser la situation s’enliser : il fallait trouver une réponse à ces problèmes, simplifier, et surtout sans surcharger les équipes opérationnelles.
Vincent GapaillardRSSI, Lagardère Travel Retail
Un démonstrateur a été mis en place avec SentinelOne. Celui-ci semblait déjà prometteur, mais c’est un incident, avec une solution de protection en place à l’époque qui va tout accélérer : une mise à jour générait des plantages… « Du coup, nous avons décidé d’élargir le démonstrateur pour traiter, dans les temps, l’incident, alors que l’éditeur concerné ne se montrait pas très réactif ». Concluante, l’expérience a conduit à « acter assez rapidement le déploiement de la solution avec l’idée d’en faire une solution de groupe à court ou moyen terme ».
Le déploiement est toujours en cours. Vincent Gapaillard évoque une couverture à 70 % du parc, soit 7 000 hôtes, à fin septembre : « il reste quelques entités à basculer, parce que l’on attend la fin de contrat avec les éditeurs en place ». Mais d’ici la fin du premier trimestre 2021, la migration devrait être complète.
Et cela avec les bénéfices escomptés. Car la « console apporte plus que de la protection, ou qu’un regard sur les attaques et les menaces : de la visibilité ». Et celle-ci touche la configuration matérielle et logicielle des hôtes couverts, jusqu’à l’état d’activation du chiffrement complet des supports de stockage de masse (FDE ou « full disk encryption ») – un point comptant beaucoup pour le RSSI – ou encore les éventuelles vulnérabilités applicatives non corrigées malgré la disponibilité de correctifs. Surtout, pour lui, l’adoption de SentinelOne a effectivement permis de soulager les équipes opérationnelles. Mais l’adoption de services de sécurité managés (MSSP, ou Managed « Security Service Provider ») n’y est bien sûr pas étrangère non plus.
Comme chez Terres du Sud, le déploiement s’est fait sans douleur : « il y a un agent à récupérer et très peu de configuration à faire – depuis la console. L’agent peut s’installer à la main ou par GPO, notamment. Nous n’avons pas rencontré de difficulté à ce niveau-là ». La désinstallation de certaines solutions historiques ne s’est en revanche pas faite avec la même facilité… « Pour Trend Micro, ça a été très simple ». Mais avec Sophos… « ça a été la croix et la bannière ». Là encore, ce genre de témoignage n’est pas sans écho.
Depuis les débuts du déploiement, en tout cas, le RSSI de Lagardère Travel Retail assure avoir eu l’occasion d’être conforté dans ses choix par l’expérience : « nous avons observé des incidents sur certaines entités. Nous avons eu des alertes pour des ransomwares ou des cryptominers. Mais la solution a bien su bloquer l’exécution de la charge active ».