denisismagilov - Fotolia
Pacifica/Crédit Agricole Assurances mise sur SentinelOne pour se protéger des menaces inédites
Aller plus vite dans la détection des menaces émergentes, pour mieux s’en protéger, au-delà des mécanismes de protection traditionnels. C’est l’objectif de l’assureur avec le choix d’un outil basé sur l’analyse comportementale.
C’est à l’automne 2016, lors des Assises de la Sécurité, que Teddy Besançon, responsable qualité & sécurité informatique, chez Pacifica/Crédit Agricole Assurances, a découvert SentinelOne. Son attention a été immédiatement retenue par la fonctionnalité dite de rollback offerte par l’outil, qui permet instantanément de revenir à l’état antérieur au déclenchement des activités d’un cryptomaliciel, comme les ransomwares.
Son intérêt pour les nouveaux acteurs de la protection du poste de travail (EPP) n’était pas isolé : c’est tout le groupe qui s’y intéresse aujourd’hui de près. Et il y a une raison à cela : la recherche « d’une bonne analyse comportementale pour lutter contre les rançongiciels parce que « il faut être honnête, ça nous préoccupe. Mais si l’on a des sauvegardes, le risque de désorganisation induit par un tel incident, pendant le temps de restauration, constitue un enjeu majeur pour les métiers ». D’où l’impératif de disposer d’une protection en amont plus efficace encore.
Une analyse en toute transparence
Des maquettes ont d’ailleurs été réalisées au niveau groupe, et des tests fonctionnels ont été confiés à un cabinet de conseil indépendant. Sur la base de leurs résultats, Teddy Besaçon a pu se concentrer sur d’autres aspects comme le déploiement, l’administration, ou encore la gestion des faux positifs.
Et force est de constater que ce qu’il a trouvé l’a convaincu : « l’interface est très simple et ergonomique, très didactique. C’est tout sauf une boîte noire. On peut voir exactement ce que l’outil a repéré, les accès au registre effectués par l’exécutable suspect, les fichiers touchés, etc. On peut analyser tout cela de manière très fine et décider si, dans notre contexte, il y a menace ou pas ».
Un déploiement simple
Le déploiement s’est déroulé sans accroc, au moins pour sa première phase, sur quelques centaines de postes. « Nous avons tout fait en interne. Il y a un serveur à installer, puis un agent – sous forme de paquet MSI – à déployer, ce que l’on a fait avec nos outils d’administration de parc existants », explique Teddy Besançon.
Cela fait, il convient toutefois de procéder à quelques réglages dans la console d’administration : « c’est assez simple, parce que l’outil est lui-même simple ». Une fonction a été pour l’heure désactivée : celle qui provoque l’isolement réseau de la machine sur laquelle est détectée une menace. Si Teddy Besançon la trouve intéressante et efficace, elle présente un inconvénient avec les travailleurs à distance : « lorsqu’ils sont ainsi isolés, ils ne peuvent plus accéder au réseau privé de l’entreprise et il faut donc qu’ils reviennent au bureau pour que l’on puisse intervenir physiquement sur la machine ». SentinelOne prévoit justement d’affiner cette fonctionnalité pour remédier à cela.
Eviter les conflits
En l’état, Teddy Besançon et ses équipes ont toutefois décidé de conserver Symantec Endpoint Protection, pour éviter d’avoir à chercher des alternatives à certaines fonctions qu’il apporte et qui sont absentes de SentinelOne. Et cela implique une subtilité de configuration : « il faut faire attention à placer les deux quarantaines en exclusion réciproque », à défaut de quoi les deux outils risquent de jouer au ping-pong continuellement.
Mais cette double protection n’a pas occasionné de surcharge d’exploitation, notamment en raison de faux-positifs, dont le nombre reste en définitif très limité. Ceux-ci surviennent surtout sur des postes très spécifiques, comme ceux de développeurs ou d’architectes : « des outils internes sont susceptibles de faire réagir SentinelOne du fait de leur comportement ». Mais il est possible d’éviter cela en les signant et en configurant l’outil pour ignorer tous les exécutables porteurs de la signature électronique du groupe.
Mais alors SentinelOne s’est-il déjà montré plus réactif que SEP ? Oui, au moins une fois, avec ces pilotes audio de HP qui embarquaient un enregistreur de saisies clavier (inactif) : l’outil les a mis à l’index avant qu’ils ne soient intégrés dans les bases de signatures traditionnelles. A terme, SentinelOne doit être déployé sur les quelques milliers de postes de travail de Pacifica.