GDF Suez consolide la gestion des risques avec Skybox
A l’occasion des Assises de la Sécurité, qui se déroulaient début octobre, Christophe Long, RSSI adjoint de GDF Suez, a détaillé la manière dont le groupe gérait de manière intégrée ses risques informatiques.
Le groupe GDF Suez est fort d’une très longue histoire, marquée au final par des activités extrêmement variées. Certaines sont bien connues, d’autres moins, comme l’installation de radars ou encore l’administration de prisons, rappelait ainsi Christophe Long, RSSI groupe adjoint, de GDF Suez, en introduction à son témoignage lors de la dernière édition des Assises de la Sécurité, qui se déroulaient début octobre à Monaco. Au final, il faut ainsi compter avec cinq branches d’activités et 3 500 entités juridiques. Pour gérer de manière cohérente la sécurité de ses systèmes d’information, le groupe dispose d’une RSSI groupe « qui assure un rôle transverse ».
Avec humour, Christophe Long relève que « pendant longtemps, je disais que la sécurité informatique, c’était 80 % de bon sens et 20 % de savoir. Mais si le bon sens est partagé par tous, c’est aussi pour cela qu’il y en a aussi peu par personne ». Pas question, donc, de la laisser reposer sur le seul bon sens des individus. Las, les évolutions de l’environnement IT, des usages, ont conduit à une multiplication des risques, tant au niveau des infrastructures IT que des applicatifs, « de manière un peu anarchique ». Pour gérer le risque touchant aux infrastructures, le groupe s’appuie donc sur des contrôles internes, sur un système de gestion des informations et des événements de sécurité (SIEM), sur un centre de sécurité opérationnelle (SOC), et sur Skybox. Un outil, relève le RSSI groupe adjoint, qui a permis de développer une vision globale du risque.
Une vision intégrée du risque
Et de fournir une solution en environnement complexe, fort de plusieurs milliers de serveurs, adossés à une « construction télécoms qui a été un peu complexe ». Face à cela, obtenir une vision complexe du risque s’avérait difficile : « il y a bien des solutions sur le marché mais toutes étaient trop chères », hormis Skybox, complété par le scanner de vulnérabilités applicatives Nessus. « Là, on peut regrouper les plates-formes techniques et disposer d’une vision complète sur les vulnérabilités applicatives », explique Christophe Long. Et de prendre l’exemple de la plateforme Omega, « qui gère la clientèle particuliers de GDF Suez. Ce sont 400 serveurs avec autant de configurations différentes. Aujourd’hui, nous sommes capables d’identifier les vulnérabilités et de dire si les correctifs ont été appliqués ou non. Avant, c’était impossible ».
En outre, Skybox permet de définir précisément le périmètre de reporting « pour répondre aux besoins spécifiques des entités hébergées sur notre réseau ». La solution permettrait même de développer une visibilité en temps réel mais « pour l’instant, nous nous contentons d’un scan par mois, parce que chaque scan génère des logs et la configuration de certains serveurs ne le supporterait pas ». L’objectif, à terme, est d’arriver à un scan de vulnérabilités par semaine. En outre, dans sa configuration actuelle, Skybox s’avère peu consommateur de ressources humaines - « une personne deux à trois heures par jour pour gérer tout cela. »
Plus loin, la RSSI groupe entend intégrer la cartographie de son réseau au sein de Skybox. Ce qui lui permettra de disposer d’une visibilité plus fine sur le cheminement d’incidents dans son infrastructure.
De premiers résultats
Et Skybox n’a pas mis plus de cinq minutes après son déploiement pour livrer ses premiers résultats : des partages de fichiers ouverts sur des serveurs bureautiques. Des partages dans lesquels se trouvent des fichiers d’installation d’applications, avec identifiant et mot de passe administrateur… en clair. Des partages temporaires qui n’avaient pas été refermés. Skybox a permis de déterminer les priorités pour traiter les différents cas.
Mais aussi souple et apparemment efficace que soit le duo Skybox/Nessus, Christophe Long insiste sur l’importance de la communication auprès des managers : « il faut que la sécurité soit intelligible et disposer de mesures, d’indicateurs. » Pour lui, « il faut être habité par le principe de réalité : les managers ne comprennent pas la sécurité informatique, ils comprennent la réalité ; il faut donc présenter la sécurité de manière terre à terre, offrant de véritables résultats mesurables ».