harmantasdc - stock.adobe.com
Le groupe agro-industriel Avril renforce sa sécurité avec Sekoia.io
Acteur reconnu du renseignement sur les menaces, Sekoia.io propose aussi une offre XDR, une solution retenue par le responsable de l’exploitation informatique du Groupe Avril en tant qu’alternative au SOC. Celui-ci explique son choix.
Quatrième groupe agro-industriel français, Groupe Avril est le leader français du secteur des huiles et des protéines végétales à partir du tournesol et du colza. Le groupe est présent sur le marché de l’alimentation animale, de l’alimentation humaine, mais aussi ceux de la chimie renouvelable et des énergies renouvelables avec la production de biodiesel depuis 1990.
Ce groupe a réalisé de nombreuses acquisitions ces dernières années et présente aujourd’hui une assise internationale, tant en termes de sites industriels que de chiffre d’affaires. De ce fait, il est exposé au risque d’attaque informatique, notamment par ransomware, raison pour laquelle Olivier Clément, Directeur Operations & Services IT du Groupe Avril a souhaité renforcer sa sécurité cyber et notamment améliorer le volet détection d’incidents.
Une alternative au SOC, jugé trop coûteux
L’agroalimentaire étant une activité à marges faibles, il n’était pas économiquement envisageable pour le groupe de mettre en place un centre de sécurité opérationnelle (SOC) interne, ni même recourir à une offre de SOC managé. Olivier Clément a fait le choix de se tourner vers une start-up, Sekoia.io : « la solution Sekoia.io est un choix pragmatique, car il permet la mise en place d’un SOC progressivement, sans mobiliser d’entrée les moyens financiers que nécessitent les solutions des grands acteurs du marché ».
L’industriel s’appuie ainsi sur l’offre XDR managée de la start-up afin de jouer le rôle de SOC « entry point » sur la fonction détection, l’industriel s’appuyant sur ses propres ressources sur le volet remédiation d’incident.
Olivier ClémentDirecteur Operations & Services IT, Groupe Avril
Le responsable de la production souligne sa volonté de passer d’une posture essentiellement réactive, vis-à-vis des incidents de sécurité, à un mode plus proactif : « par définition, en sécurité informatique, on a toujours un coup de retard, car on répond à l’attaque que l’on détecte. Notre idée était de raccourcir ce délai entre l’attaque et la réaction. En mode réactif, on peut ne détecter une attaque que lorsque c’est trop tard. Sekoia.io nous offrait la possibilité d’être prévenus à l’avance d’une possibilité d’attaque, grâce aux signes avant-coureurs détectables sur les équipements. On peut ainsi colmater une vulnérabilité avant que celle-ci soit effectivement exploitée par un attaquant ».
Le XDR managé de Sekoia.io est venu renforcer l’arsenal de défense de l’industriel et vient pallier un manque : « nous étions relativement dépourvus pour observer ce qui se passe aux frontières de notre réseau. Nos moyens étaient concentrés sur la protection de nos serveurs internes et nos postes de travail. Nous nous appuyons sur des solutions de filtrage, mais nous n’avions pas une vision temps réel des événements en périphérie de notre réseau ».
Pour Olivier Clément, Sekoia XDR est venu apporter cette visibilité sur les frontières du système d’information à moindre coût. « L’offre XDR de Sekoia.io était donc complémentaire de nos moyens de protection existants et non pas l’alpha et l’oméga de notre défense. En cybersécurité, la redondance des solutions est fondamentale. La sécurité repose sur une notion de gestion du risque assez courante en aéronautique, celles des plaques de Reason. Chaque plaque à ses propres trous, des failles, et il convient de multiplier les plaques pour éviter que celles-ci ne s’alignent et qu’un attaquant puisse passer ».
Un XDR limité à la surveillance des équipements de bordure
Le rôle du XDR reste en bordure du réseau international. Le déploiement de Sekoia.io s’est opéré de manière progressive, en commençant par 5 équipements supervisés puis pour couvrir aujourd’hui tout le périmètre des équipements exposés à Internet. Ce choix de la start-up remonte maintenant à 4 ans, ce qui a permis à l’équipe informatique de monter en compétences de manière progressive.
« Cette adoption progressive était importante, car, à l’exploitation, nous avions une équipe de non-experts en cybersécurité. Celle-ci s’est peu à peu spécialisée et est montée en puissance progressivement. Nous avons des ressources dédiées à la cyber, mais aussi des profils hybrides à la production, avec une personne dédiée à la sécurité réseau, un expert cybersécurité opérationnelle et un apprenti », détaille Olivier Clément.
S’appuyer sur Sekoia.io était donc indispensable à l’équipe de production, pour mener à bien sa mission au niveau mondial. En parallèle, l’équipe en charge de la gouvernance de la cybersécurité du groupe se compose du RSSI et d’une équipe d’experts de la gouvernance cyber.
La relation entre l’équipe exploitation du groupe Avril et Sekoia.io se matérialise par un SDM (Service Delivery Manager) qui assure le suivi de la prestation et participe à un comité de pilotage tous les 3 mois afin de présenter les indicateurs de performance.
Le rôle de Sekoia.io reste cantonné à la détection d’incident et ses experts n’interviennent pas en remédiation en cas d’incident avéré : « nous sommes dans un schéma MDRC (Managed Detection and Response Center), mais la réponse à incident reste de notre responsabilité. En cas d’incident, l’expert sécurité réseau est prévenu et nous avons mis en place un système d’alerte à destination de notre équipe d’astreinte », ajoute le responsable.
Un service qui s’est industrialisé et a gagné en valeur ajoutée
Figurant parmi les premiers clients de Sekoia.io, le Groupe Avril a pu bénéficier d’un modèle de facturation souple et d’un fonctionnement très « adaptatif » de la part de la start-up.
Olivier ClémentDirecteur Operations & Services IT, Groupe Avril
L’industriel a ainsi pu demander aux développeurs le support de firewalls qui n’étaient pas encore au catalogue de Sekoia.io. Depuis cette époque, le service délivré par Sekoia.io s’est industrialisé et la relation est passée du « sur-mesure » à une approche plus structurée, plus industrialisée avec les avantages et les inconvénients de la maturité acquise par la start-up.
« D’une relation de partenariat de construction d’un service, nous sommes aujourd’hui dans une relation client/fournisseur plus classique. La valeur ajoutée des services délivrés est croissante, de même que la réactivité, mais aussi les coûts qui sont en hausse », relève Olivier Clément. Et de préciser que « nous avons choisi Sekoia.io comme une solution tactique correspondant à une vision infrastructure. Ce fut un choix réalisé en lien avec notre RSSI. La solution doit maintenant être prise en charge par l’équipe gouvernance Cyber et s’insérer dans l’évolution de notre posture de sécurité sur le long terme ».