La Société Générale améliore la gestion de sa sécurité réseau avec Tufin
A l’occasion des Assises de la Sécurité, la Société Générale, a expliqué comment elle optimise la gestion de sa sécurité réseau avec les outils de Tufin.
La situation est impressionnante mais probablement assez courante. Christophe Camus, responsable d’équipe d’intégration sécurité réseau de la Société Générale, décrit en tout cas un paysage touffu, riche d’environ 400 pare-feu il y a deux ans, avant le lancement d’un vaste chantier de rationalisation. Une complexité liée notamment à l’historique : « nous avons trois clusters qui pèsent pour plus de 12 000 règles de filtrage. C’est lourd, surtout lorsqu’il faut faire du nettoyage. » Et cette complexité est pénalisante pour l’organisation : « pour ouvrir une route d’un bout à l’autre du système d’information, il peut être nécessaire de passer au travers de dix pare-feu. » Le tout dans un environnement hautement hétérogène administré via plusieurs consoles. Alors les ouvertures de routes prennent du temps – « trois semaines souvent », ce qui ne joue pas en faveur de l’image des équipes concernées et de la qualité de service. Et il faut compter avec la sécurité : « on ouvre les flux parce que l’on reçoit une demande d’une maîtrise d’œuvre. Mais souvent, ils ne sont pas fermés »… parce que personne ne veut prendre la responsabilité d’un incident de production que l’on imagine vite arrivé.
Adapter le niveau de protection au risque
C’est donc il y a deux ans que la Société Générale a commencé à travailler à l’optimisation des flux, à l’outillage de sa sécurité réseau, et à la simplification de l’architecture. « Les trois sont étroitement liés », relève Christophe Camus. D’où l’idée de déterminer des zones aux niveaux de criticité différents. Par exemple, dans les moins sensibles, il est envisageable de supprimer le filtrage en sortie, et d’organiser une « ouverture large en entrée, au niveau des protocoles, sur toute la zone. » Ce qui implique de se coordonner avec les différents RSSI concernés – « ce n’est pas possible sans leur appui. » Et pour les zones un peu plus sensibles, « nous avons travaillé avec les maîtrises d’œuvre pour construire des bouquets de services » pour ajuster ouvertures et filtrage en conséquence. Avec un premier avantage : « tous les trimestres, on revoit les bouquets pour voir s’il y a des évolutions nécessaires. Cela évite de gérer des demandes au jour le jour que l’on peine ensuite à tracer ou que l’on pourrait oublier. » Quant aux points de cloisonnement « dits ‘exposés’, on n’y touche pas. Cela reste du point à point. Les besoins de sécurité sont trop importants. »
Mais ce premier effort n’est qu’un préalable. L’objectif principal étant d’améliorer la qualité de service pour les utilisateurs internes, « pour faire que la sécurité soit transparente pour les maîtrises d’œuvre et les services d’infrastructure susceptibles d’avoir besoin d’ouvertures de routes. » D’où la question de l’outillage et la quête d’un produit « qui nous aide à la simplification, tout en validant la conformité avec les politiques de sécurité du groupe, et pour le suivi des bouquets de services. » Un outil qui doit aussi aider à « vérifier les routes existantes : environ 5 % des demandes d’ouvertures concernent des routes déjà ouvertes » et induisent des pertes de temps considérables.
Mais toujours dans une optique de qualité de service, l’outil recherché devait aider à l’implémentation des demandes d’ouvertures pour vérifier que les routes sont bien propagées : « il y a deux ans, il fallait que les exploitants connaissent tous les pare-feu, de tous les VLAN, de toutes les infrastructures. Quand on y pense, il n’était pas surprenant que cela prenne trois semaines. »
Consolider, optimiser, industrialiser
C’est donc l’outil d’administration unifiée de pare-feu SecureTrack de Tufin qu’a retenu la Société Générale : « il était déjà installé pour des besoins de conformité sur une partie de l’environnement. Nous avons voulu capitaliser. »
Mais « supprimer et mutualiser des pare-feu ne se fait pas d’un claquement de doigts. Il faut bien se synchroniser avec les maîtrises d’œuvre et les RSSI. » Cela passe par la migration d’applications, ce qui demande « un peu d’archéologie » et prend du temps : « en l’espace de 2 ans, nous avons supprimé une quarantaine de pare-feu, et on continue de le faire dès que l’on peut mutualiser pour regrouper les applications en fonction de leur niveau de criticité. »
Et les premiers bénéfices sont déjà observables, avec un renforcement du contrôle des implémentations, mais également des déménagements d’utilisateurs organisés avec plus de souplesse : « lorsqu’ils changent de VLAN, cela peut être compliqué. Avant, dans certains cas, cela pouvait mobiliser une personne, à temps plein, durant un mois. » Avec SecureTrack, « on peut réduire ce délai à une semaine. » Mais attention, insiste Christophe Camus : « je ne dis pas que c’est beaucoup plus facile. Mais SecureTrack nous a bien simplifié la vie. » C’est lui notamment qui génère des rapports – des centaines de pages… - qu’il faut parcourir de manière exhaustive. Avec parfois des surprises à la clé, comme la découverte de règles erronées : « l’outil nous a sauvé la mise plus d’une fois », concède-t-il.
Mais il faut aller plus loin et la Société Générale travaille désormais à l’implémentation de SecureChange de Tufin. Avant cela, un gros travail d’intégration de la topologie réseau au sein du logiciel doit toutefois être réalisé - il est en cours. Le management espère en retirer une automatisation plus grandes des ouvertures de flux. Les équipes opérationnelles sont quelque peu réticentes. L’automatisation pourrait arriver toutefois sur les zones les moins sensibles... A terme.