La RATP fédère sa cybersécurité avec un EDR
Pour son organisation distribuée, la RATP a misé sur la mise en place d'un EDR pour fédérer sa cybersécurité. Un projet qui s'est accéléré avec les Jeux Olympiques et Paralympiques et sous la pression des assureurs.
PublicitéPour beaucoup, la RATP se résume au métro parisien. Pourtant, la société est bien plus que cela. Elle comprend une filiale réservée à la fibre optique, une autre à l'habitat social et une activité internationale avec une présence dans 15 pays. Une structure hétérogène, donc avec des niveaux de maturité variables sur la cybersécurité. Situation qui posait des problèmes de cohérence. « Nous avions besoin de fédérer l'ensemble des entités sur cette question et la problématique de l'EDR s'est posée », indique David Diallo, responsable cyberdéfense au sein de RATP groupe. Une phase de concertation a donc été menée pour savoir quelle solution choisir.
Cyber-assurance et JOP, des accélérateurs du projet
« Dans le cadre de l'EPIC (établissement public à caractère industriel et commercial), nous sommes passés par un appel d'offres. Il y a eu une phase de prospection durant laquelle nous avons consulté de grandes sociétés de transports et administrations pour connaître leurs expériences », souligne le responsable. Concernant les critères de choix, « l'EDR devait être capable de supporter plusieurs OS (Windows, Linux, Mac), être agnostique par rapport aux antivirus et, enfin, conforme au RGPD ». Finalement, deux éditeurs ont réalisé des PoC sur plusieurs DSI entre juin et septembre 2023 pour valider les critères techniques et financiers.
Le projet s'est déroulé dans un double contexte, comme le rappelle David Diallo : « le premier était assurantiel. Notre assureur avait demandé de remonter le niveau de sécurité avec notamment la mise en place du MFA et d'un EDR. Le second était celui des Jeux Olympiques et Paralympiques, qui ont été un accélérateur avec une mobilisation du top management. Jean Casteix [président de la RATP] est sensible à ces questions de cybersécurité après avoir été Premier ministre et au contact de l'Anssi ».
Une personnalisation et des ambitions pour le futur
Le choix s'est donc porté sur SentinelOne avec une intégration progressive. « Au début, il y a eu quelques problèmes de connexion avec des applicatifs internes. Mais nous avons customisé l'EDR », explique le responsable cyberdéfense. Un moyen pour lui d'identifier des pratiques de Shadow IT dans l'entreprise, notamment des macro Excel. La personnalisation a également été de mise pour réduire les faux positifs : « nous avons travaillé sur des exclusions et avons affiné les alertes pour en avoir beaucoup moins », reconnait-il. Le déploiement s'est déroulé en deux phases, « d'abord sur les PC pendant 2 mois, puis sur les serveurs ».
Aujourd'hui, « l'EDR est présent sur 98% des postes et 95% des serveurs. Il nous reste le dernier kilomètre à déployer », précise David Diallo. Après cette finalisation, « l'EDR sera le socle minimal pour toutes les entités du groupe et nous permettra ainsi de disposer d'une cybersécurité unifiée ». Et l'avenir ? Le responsable cyberdéfense regarde évidemment les fonctions additionnelles de la plateforme de SentinelOne « pour les conteneurs et pour le cloud ». « L'EDR n'est pas une fin en soi, mais le début d'autres sujets comme la sécurité du l'OT, l'IAM, la data ».
Article rédigé par
Jacques Cheminat, Rédacteur en chef LMI
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire