Comment Keolis renforce sa sécurité tout en gagnant en productivité

Pour réduire ses risques sur des applications métiers essentielles, mais aussi pour limiter les interventions de la DSI, la société de transports Keolis mise sur le triptyque bac à sable, filtrage de flux et défense en profondeur du datacenter. Avec un fournisseur unique pour simplifier l’administration.

Augmenter le niveau de protection de ses infrastructures tout en limitant les interventions manuelles des équipes de la DSI. C’est à ce défi, que connaissent bien les équipes de sécurité, que s’est attelé Sébastien Pecron, responsable des opérations et de la maintenance à la DSI de Keolis Lille, société exploitant le réseau Transpole, soit le métro, les trams et bus de la métropole lilloise. « Ces derniers temps, nous avons connu beaucoup d’attaques de type Cryptolocker par exemple. Ce qui a nécessité beaucoup d’interventions de nos équipes », raconte Sébastien Pecron. Lors de la vague d’attaques Dridex (du phishing couplé à des factures renfermant un malware), deux techniciens de la DSI ont ainsi été mobilisés à temps plein une semaine entière pour lutter contre l’infection.

L’autre préoccupation du responsable réside dans la réduction des risques. « Notre système d’information va de la bureautique aux systèmes temps réel, comme celui chargé du pilotage du métro », résume-t-il. Si ces derniers sont évidemment isolés du reste du réseau, les conséquences d’une attaque sur les systèmes traditionnels peuvent aussi avoir des répercussions lourdes pour le métier, car y sont gérées des taches essentielles au bon fonctionnement du service comme l’ordonnancement ou les plannings.

Intégrateur + éditeur : « choisir un binôme »

Pecron Keolis
Sébastien Pecron.

« Nous avons donc souhaité aller vers une notion de protection globale des systèmes d’information », dit Sébastien Pecron. Ce que ne permettait pas d’envisager les solutions traditionnelles en place, et fonctionnant en silos : des logiciels fournis par Trend Micro sécurisant les serveurs, les PC et la messagerie. « Il y a de cela 18 à 24 mois, j’ai remis en cause l’ensemble de ces solutions, définit nos nouvelles attentes et remis les fournisseurs en compétition », souligne le cadre de Keolis Lille. La cible : une protection globale, unifiée, assurée par la mise en œuvre de trois projets menés en parallèle, une sandbox (ou bac à sable permettant de vérifier l’innocuité des exécutables), une technologie de filtrage (contrôle des contenus sur l’e-mail et la navigation Web) et une solution de défense en profondeur pour le datacenter.

« Il s’agissait de proposer une solution complète de protection du SI, simple d’exploitation et répondant aux critères financiers fixés par Keolis », résume Loïc Guézo, en charge des stratégies de sécurité pour l’Europe du Sud pour Trend Micro. Car, si ce sont bien les solutions de l’éditeur japonais qui étaient remises en cause par l’appel d’offres de Keolis, ce sont aussi elles qui ont emporté le marché. « Plusieurs facteurs sont entrés en ligne de compte : le prix bien sûr, mais aussi l’existence d’une base installée et les compétences de notre intégrateur, Yourax, sur ces technologies. Nous avons avant tout choisi un binôme », détaille Sébastien Pecron.

Sandbox : le ROI déjà atteint

Témoignant lors du Forum International de Cybersécurité (FIC), qui se tenait en début de semaine à Lille, le responsable a détaillé les bénéfices de la nouvelle architecture, surtout en termes d’efficacité. « Si on prend le cas de la technologie de bac à sable (solution Deep Discovery Advisor de Trend Micro, NDLR), nous avons obtenu très rapidement l’aval de la direction, en raison tant des gains d’efficacité offerts que de la réduction des risques pour les métiers, reprend Sébastien Pecron. En octobre, l’attaque Dridex, au cours de laquelle une autre filiale du groupe a du mobiliser une dizaine de personnes pour éradiquer l’infection, a permis d’appuyer un peu plus le projet. Au final, alors que la solution a été mise en œuvre en novembre dernier, le retour sur investissement est déjà atteint. » Via les seules économies de temps pour les administrateurs de la DSI. « Et la solution, basée sur deux boîtiers afin de tenir la charge, a permis de détecter des menaces qui échappaient jusqu’à présent aux antivirus », ajoute-t-il.

La sandbox traite les flux entrants et sortants ainsi les flux de messagerie interne. « Quand une alerte de type Dridex se produit, nos équipes ne sont même plus sollicitées, illustre Sébastien Pecron. Nous nous contentons de sortir les rapports statistiques ! » Evidemment, la mise en œuvre de la solution se traduit par un léger ralentissement des performances, un e-mail met ainsi une à deux minutes de plus pour être acheminé. La DSI groupe de Keolis (qui chapeaute les 4 grandes régions où opère ce groupe filiale à 70 % de la SNCF, dont celle de Lille) a également choisi de référencer Deep Discovery Advisor, ainsi que l’antivirus de Trend Micro, en remplacement d’une solution Sophos.

Une console unique

Complémentaire du bac à sable, le filtrage des flux vient supplanter chez Keolis Lille une technologie plus ancienne, déjà fournie par Trend Micro, qui était couplée à un proxy Olfeo. Ce dernier fait les frais de la modernisation de l’architecture. « On en a aussi profité pour limiter la politique d’ouverture vers l’extérieur », glisse le responsable de la production de l’exploitant du réseau Transpole.

Le troisième pilier de la stratégie de Keolis Lille, qui emploie quelque 2 500 personnes, s’appuie sur Deep Security, solution sécurisant les environnements serveurs physiques, virtuels ou dans le Cloud. « Historiquement, Trend Micro est très proche de VMware, mais la solution est aujourd’hui aussi disponible sur Azure ou AWS », dit Loïc Guézo. Dans le cas de l’exploitant de Transpole, la solution supervise deux salles informatiques fonctionnant en mode synchrone, et hébergeant pour l’essentiel des environnements virtualisés. « Ce sont des appliances qui gèrent à la fois la sécurité des serveurs et celle des ESX, précise le responsable de la production IT de Keolis Lille. Il ne nous reste plus que la fonction de virtual patching à mettre en œuvre ». Cette dernière permet, via un contrôle des flux sur les programmes vulnérables, de protéger les systèmes avant la qualification des patches par la DSI, et donc leurs déploiements effectifs. Ce qui réduit la durée pendant laquelle l’exploitation des failles connues est possible.

Si l’exploitant du réseau de transports lillois a choisi un éditeur unique pour ces trois projets, c’est aussi pour simplifier l’exploitation, les équipes de la DSI gérant les incidents depuis une console unique. « L’homogénéité apporte aussi de meilleurs résultats : l’interfaçage entre les composants est plus aisé, tout comme le travail d’analyse des événements de sécurité », plaide Loïc Guézo. Qui en profite pour glisser un autre bénéfice de la solution intégrée : quand un nouveau malware jusqu’alors inconnu est repéré par la sandbox, une signature dynamique locale est générée, signature qui est transmise automatiquement aux autres produits maison avant même toute réaction de l’éditeur sur la nouvelle menace, explique-t-il.

A lire aussi :

Sécurité : comment les nouvelles menaces sont décortiquées

Alain Bouillé, Cesin « Le RSSI vit avec une épée de Damoclès au-dessus de la tête »

RSSI : des budgets très protecteurs et des choix empiriques

Crédit photo : Jérémy-Günther-Heinz Jähnick / Ligne 1 du métro de Lille Métropole – Interstation CHR Oscar-Lambret ↔ CHR B-Calmette (02A) / Wikimedia Commons, GFDL 1.2, $3