xiaoliangge - stock.adobe.com
Comment le Groupe DSA renforce sa cybersécurité
Après une tentative d’attaque avec cryptolocker ayant tourné court, le groupe d’audit et d’expertise comptable a lancé un audit de sécurité. À sa suite, la PME a élevé son niveau de sécurité en déployant EDR, MFA et un cluster de firewalls WatchGuard.
Basée à Paris, le Groupe DSA assure des missions d’expertise comptable, fiscale, de commissaires aux comptes et de conseil en ingénierie financière et fusions/acquisitions. L’entreprise emploie une cinquantaine de salariés et, il y a quelques mois, le clic malencontreux d’un collaborateur sur un lien malicieux a causé l’installation et le déclenchement d’un cryptolocker : « il a eu le bon réflexe de m’appeler immédiatement », explique Damien Arefi qui occupe le poste de DSI externalisé pour DSA.
Dès lors, « l’attaque a pu être contenue à ce poste et quelques dossiers partagés sur un serveur. Nous avons heureusement pu restaurer rapidement les données. Néanmoins, cela a représenté un sérieux avertissement ».
Jean-Luc Sfez, directeur général de DSA, estime ne pas être particulièrement exposé à un risque financier majeur. Les consultants n’ont pas accès aux comptes de leurs clients et la PME ne gère pas une grosse trésorerie. Néanmoins, l’alerte est prise très au sérieux. Jean-Luc Sfez explique sa position : « en matière de cybersécurité, le risque financier n’est pas notre enjeu numéro 1. Par contre, nous traitons des données confidentielles qui appartiennent à nos clients et notre exposition au risque porte essentiellement sur ces données ». Le souci numéro 1 du manager est d’assurer une confidentialité totale à ces données, notamment pour rester en conformité avec le RGPD, mais pas seulement : « il s’agit surtout de protéger les données de nos clients, des données relatives à notre groupe ».
Le manager se tient informé des recommandations de la profession et des bonnes pratiques dans son secteur d’activité, et se montre réticent à une migration dans le cloud. Et suite à une conférence de l’ordre des experts-comptables sur la cybersécurité, le DG se concerte avec son DSI afin de lancer un audit indépendant de la cybersécurité de son SI. Jean-Luc Sfez motive cette décision : « Damien Arefi, notre DSI est au cœur de ce système et il a sa vision du système d’information, mais il était intéressant d’avoir aussi un regard extérieur pour analyser l’architecture de notre réseau et la manière dont nous communiquons ».
80 % des mesures de sécurité validées par l’audit
L’audit a été diligenté auprès de la société Inquest qui a formulé un certain nombre de recommandations. Celles-ci ont amené le DSI à revoir sa politique de sécurité à la marge, mais sur des points considérés comme importants. Cela a notamment accéléré l’installation des logiciels de protection WatchGuard et la mise en place d’un système de double identification (MFA).
Jean-Luc SfezDirecteur Général du Groupe DSA
Damien Arefi, gérant d’IT Tech, la société qui joue le rôle de MSP pour DSA Groupe souligne : « en cybersécurité, “Sky is the limit”… Ce qui est mis en place est le fruit d’un arbitrage entre l’analyse de risque, le degré d’exposition et les budgets alloués. Pour DSA, comme pour mes autres clients, j’avais dû faire des arbitrages, et sur ce plan, l’audit était très intéressant. J’étais serein pour ce qui avait été mis en place, et l’audit pouvait venir en appui des axes d’amélioration que j’avais déjà pu identifier ».
Le DSI estime que sur 80 % des points analysés par les auditeurs, l’architecture de sécurité mise en place chez DSA était appropriée, mais les auditeurs ont pointé quelques points d’amélioration : « il s’agissait essentiellement de choix que nous n’avions pas encore faits, ou que j’estimais trop contraignants pour une petite structure comme le Groupe DSA. Cela nous a amenés à changer notre calendrier de déploiement des nouvelles solutions de sécurité ».
Jean-Luc SfezDirecteur Général du Groupe DSA
La politique de patching, la gestion des mots de passe et le système de sauvegardes ont été jugés par les auditeurs comme à l’état de l’art. Par contre, l’audit a pointé le besoin de mettre en place une authentification à double facteur : « nous avions déjà discuté de l’authentification à double facteur avec Jean-Luc Sfez auparavant et cet audit nous a poussés à déployer l’authentification forte WatchGuard plus rapidement chez DSA que chez d’autres clients ».
De même, le déploiement de l’EDR (WatchGuard également) a été accéléré. L’audit évoquait aussi la mise en œuvre de bonnes pratiques telles que la microsegmentation. « Nous avions mis en place une segmentation réseau », explique le DSI, « mais je n’imaginais pas mettre en place une microsegmentation aussi fine que celle préconisée pour une entreprise qui ne compte qu’une cinquantaine d’utilisateurs. Aujourd’hui, même pour les entreprises qui ne comptent pas plus de 10 utilisateurs, nous mettons à minima les serveurs physiques sur un réseau séparé des postes clients ».
Une architecture de sécurité articulée autour de WatchGuard
Sur ce choix des solutions WatchGuard, Damien Arefi livre ses motivations : « venant de la technique, avec WatchGuard, j’avais face à moi des personnes passionnées. Le patron de WatchGuard est aussi un ancien ingénieur et cela se ressent. L’éditeur bénéficie d’une forte communauté en France, avec des clients qui sont fidèles à la marque depuis 15, 20 ans ».
Le DSI apprécie aussi les échanges de données rapides avec l’éditeur lorsque des failles sont détectées dans leurs produits : « nous sommes avertis très rapidement et nous avons une vision claire de leur roadmap. Ils nous font en outre participer à leurs réflexions autant que possible. Nous sommes une petite structure et j’estime que je bénéficie d’un accompagnement équivalent à celui de leurs gros partenaires. Avec eux, je bénéficie d’une qualité d’accompagnement que je ne trouve pas ailleurs ».
Jean-Luc Sfez souligne la confiance assez particulière qu’il a en son DSI puisque celui-ci, avant de monter sa structure IT Tech, était collaborateur de DSA : « il a vécu de l’intérieur ce que nous vivons et je me fie à ses recommandations. Il nous propose des solutions, nous considérons les coûts d’implémentation et de gestion et si nous jugeons l’investissement raisonnable, nous le faisons ».