Projets

Franck Périllier (DSSI Foncia) : « le cloud permet de s'occuper de la sécurité au lieu de l'infrastructure de sécurité »

Franck Périllier, DSSI Foncia, se réjouit de la facilité avec laquelle le groupe a basculé en télétravail grâce aux choix opérés par la DSI.

Le groupe de services immobiliers Foncia a adopté l'EDR Intercept X de Sophos à côté de ses autres outils (Proofpoint, IBM...) pour accroître sa sécurité face aux menaces actuelles. La bascule rapide vers des outils dans le cloud permet de libérer du temps aux équipes sécurité pour gérer davantage les questions de cybersécurité au lieu de traiter l'intendance technique.

PublicitéGroupe de services immobiliers résidentiels, Foncia revendique la première place européenne sur son marché comprenant notamment la gestion de copropriété et celle de locations. Les agences en propre comme les services centraux ou régionaux disposent d'un SI entièrement géré par la DSI groupe, notamment du point de vue de la sécurité. Certaines activités connexes comme le courtage en énergie sont logées dans des filiales plus autonomes et, de la même façon, les agences franchisées ne sont pas gérées par la DSI (en dehors des accès à des applicatifs groupe). « Nous cherchons à diffuser progressivement les bonnes pratiques, les solutions technologiques et le savoir-faire acquis en interne auprès de nos filiales en France, Allemagne, Belgique et Suisse » précise Franck Périllier, DSSI Foncia.

8500 collaborateurs utilisent totalement le SI de Foncia dont 5000 du terminal-serveur Citrix pour accéder à des applicatifs métiers, technologie qui devrait disparaître dans les années à venir du SI du groupe. Depuis le changement de direction générale, la digitalisation des métiers est un axe fort de la stratégie de l'entreprise. Si, traditionnellement, Foncia se reposait sur ses propres datacenters, de plus en plus d'applicatifs sont en fait extérieurs, notamment en SaaS. La refonte de la paire de datacenters répliqués avec des technologies récentes (Cisco, Vmware, NetApp...) s'est ainsi faite dans une logique de SI hybride on premise / cloud. La sécurité devait donc s'adapter d'une part à ce nouveau contexte et d'autre part aux menaces actuelles.

Choisir de multiples solutions d'éditeurs différents

Les postes de travail étaient déjà équipés de l'anti-virus de Sophos. Des travaux sont en cours pour unifier la protection réseaux on premise et cloud (avec Palo Alto). La messagerie et certains services cloud sont protégés par des solutions de Proofpoint. Les menaces e-mail constituent en effet le défi majeur entre ransomwares et phishings. Franck Périllier précise : nous avons déjà raccordés les sandboxes Palo-Alto et Proofpoint pour amplifier l'examen des éléments délivrés. » Enfin, tous ces chantiers entrent dans un programme nommé « ASCII » (Architecture pour la Sécurité, les Contrôles et les Investigations Informatiques), avec au centre la solution SIEM d'IBM, Qradar. « Il s'agit d'écouter ce qui se passe pour réagir aux nombreuses attaques quotidiennes » explique Franck Périllier. Au-delà de la protection endpoint, réseau, et email, la fédération d'identité d'Okta se déploie depuis Juillet 2019 et MFA sera généralisé dans les prochains mois car l'usurpation d'identité est un risque majeur pour tous.

Mais le seul anti-virus ne suffisait pas à sécuriser les postes de travail. Certes, la solution de Proofpoint filtre la plupart des phishings et autres mails malicieux (porteurs ou liés à des ransomwares ou d'autres virus). Certaines menaces, notamment des liens vers des ransomwares, véhiculés par la navigation internet, peuvent parvenir malgré tout jusqu'au poste de travail. Mais, pour Franck Périllier, « le marché de l'EDR [Endpoint detection and response] n'est pas simple : de nombreux petits acteurs s'affrontent sans que l'on sache qui va les racheter, ou s'ils vont disparaître. Nous avons donc choisi de nous appuyer sur un éditeur solide, Sophos, qui nous fournissait déjà l'anti-virus. » En effet, l'adoption d'un EDR ne remplace pas l'anti-virus classique.

PublicitéChoix d'un EDR issu d'un éditeur solide

En l'occurrence, la solution choisie est Intercept X de Sophos, en mode cloud. « Choisir une solution dans le cloud permet de s'occuper davantage de la sécurité que de l'infrastructure de sécurité » juge Franck Périllier. La solution examine tous les flux entrants et sortants du poste de travail, qu'il y ait ou non usage d'un VPN (split ou full tunneling), ainsi que les activités sur le poste de travail lui-même. « Isolé, un EDR sert à faire de l'analyse forensic une fois qu'il est trop tard ; autant bloquer avant. Cette solution a toute sa place dans un écosystème connexe à un anti-virus » se réjouit le DSSI.

Pourquoi ainsi multiplier les fournisseurs ? Franck Périllier explique que Foncia a toujours préféré une approche Best-of-Breed : « nous choisissons les éditeurs en fonction de leur métier d'origine, là où ils excellent, même si l'offre s'est étendue. Certaines fonctionnalités de produits différents se recouvrent : d'une part, cela double donc la sécurité (diversité des artéfacts) et, d'autre part, donne des axes de discussions et de challenge intéressants. » La solution InterceptX a déjà fait ses preuves chez Foncia en situation réelle d'attaque et en R&D par la DSSI de simulation de ransomware ciblant de l'Office365.

Entre les choix techniques applicatifs, d'architecture et de sécurité dans le cloud, la bascule en télétravail de plus de 7000 collaborateurs dans le cadre de la crise du Covid-19 s'est opérée sans douleur en trois jours, simplement en étendant le VPN, en renforçant les capacités réseau et avec une totale implication des équipes de production Informatique notamment : la sécurité se gagne en équipe.