Docapost surveille ses comptes à privilèges avec BalaBit
Docapost a retenu les outils de BalaBit pour enrichir la surveillance des activités de ses comptes à privilèges, tout en renforçant l’authentification de leurs utilisateurs.
Il y a un an, Docapost s’est lancé dans un projet de renforcement du contrôle de ses comptes à privilèges. Dans un entretien avec la rédaction, Yannick Kereun, RSSI de Docapost, explique avoir voulu viser ainsi tant des comptes nominatifs que partagés, mais toujours d’utilisateurs réels – et non pas des comptes utilisés par exemple pour des traitements par lots. Il explique que l’entreprise est « soumise à d’importantes contraintes réglementaires » - très présente dans le domaine du paiement électronique, elle est également co-hébergeur DMP – et que la sécurité de son infrastructure et de ses processus est régulièrement contrôlée par ses clients. « Mais il y a aussi une démarche volontaire de notre part. Et nous sommes notamment certifiés ISO 27001. » Dans ce contexte, Docapost « se devait d’avoir quelque chose de plus industrialisé et de plus fin que ce dont on disposait avant » pour la surveillance des comptes à privilèges. L’objectif du projet était clairement d’améliorer les capacités d’enquête après incident en renforçant la traçabilité des accès. Et cen « jusqu’à pouvoir complètement rejouer des sessions utilisateurs » pour, in fine, « éviter la négligence et la malveillance interne ».
Enrichir les traces d’accès
Certes, Docapost disposait déjà d’un outil de collecte de logs et d’un système de gestion des informations et des événements de sécurité (SIEM), ainsi que d’un IAM pour la gestion des accès et des identités. Mais la traçabilité n’était pas du niveau de ce qu’offre Shell Control Box de BalaBit. Yannick Kereun relève qu’il ne s’agissait, in fine, que de logs techniques alors qu’il peut désormais suivre tout ce qu’a fait un utilisateur, dans l’interface graphique d’un système comme en ligne de commande.
L’outil permet d’intervenir en ligne, « en coupant la session, par exemple lors de la saisie d’une commande dangereuse », ou encore pour suivre certaines opérations d’administration. Ainsi, un administrateur de bases de données de santé ne peut intervenir que sous la responsabilité d’un médecin. Celui-ci peut « autoriser la session de l’administrateur et la suivre en temps réel ».
A cela, Docapost a ajouté l’authentification forte à double facteur avec la solution Yubikey, et commencé à produire des indicateurs de suivi et de pilotage de la sécurité.
Une intégration rapide
BalaBit a été retenu pour ses capacités d’intégration avec une solution d’OTP et la traçabilité avancée qu’offrent ses outils, mais également les tarifs proposés et « la scalabilité de la solution ».
Pour le déploiement, Docapost s’est associé les services de Nomios. En une semaine, l’architecture avait été définie et le pilote validé. Une étape importante qui visait à permettre d’évaluer les besoins en stockage, en tenant compte des impératifs légaux de rétention.
La principale difficulté a finalement porté sur la conduite du changement avec les utilisateurs à privilèges, explique Yannick Kereun. Mais ceux-ci « ont rapidement compris l’intérêt d’un OTP perçu comme une contrainte supplémentaire ». Mais son utilisation est désormais perçue « comme routinière ».
Reste que cet effort d’industrialisation du contrôle et de la surveillance des comptes à privilèges semble avoir joué un rôle important « pour le top management ». Notamment dans la prise de conscience de ce que la sécurité peut apporter… En l’occurrence, Docapost pourrait devoir à ces projets d’avoir « remporté certaines affaires ».