Projets

Sanofi protège la messagerie des VIP

Wilfried Laumond, head of risk monitoring & services chez Sanofi a expliqué comment il protège les utilisateurs VIP avec la solution IDECSI. (Crédit Photo : Jacques Cheminat)

Acteur mondial de la santé, Sanofi a cherché à mieux protéger les informations sensibles partagées par ses 350 dirigeants classés VIP. Pour cela, la firme a choisi la solution Personal SIEM d'IDECSI.

PublicitéPour une société comme Sanofi, l'information est un élément clé et sa sécurité l'est tout autant. Une notion renforcée quand il s'agit des échanges entre les dirigeants. Pour être sûre de la fiabilité de la messagerie de ses VIP (plus de 320 personnes), la firme de santé a demandé un audit à la société IDECSI à la mi-2015. Le résultat était sans appel : « La messagerie était catastrophique. Il n'y avait pas de gestion de comptes à privilèges et les accès étaient trop permissifs », se remémore Wilfried Laumond, head of risk monitoring & services chez Sanofi, lors d'un atelier IDECSI aux Assises de la Sécurité à Monaco.

Un nettoyage des comptes à privilèges

Fort de ce constat, le groupe s'est lancé dans un programme de sécurisation de ses comptes VIP et le nettoyage des comptes à privilèges. Dans les deux cas, Sanofi a décidé de faire confiance à IDECSI, spécialiste de la sécurisation d'applications comme Office 365 ou SharePoint. Sur les comptes à privilèges, le monitoring s'est déroulé « en installant une VM sur des serveurs de messagerie et en auditant les logs », explique le responsable. Ce travail, débuté à la mi-2016, a permis de traquer les tâches d'administration réalisées avec des comptes « utilisateur standard ». Le résultat est éloquent à savoir 99% des admins utilisant leur compte « user standard » ont été supprimés. Par ailleurs, 70% des comptes disposant de droits privilégiés sur Exchange, soit environ 2000 comptes ont été effacés.

Installation du Personal SIEM

Pour la partie VIP, Sanofi a travaillé avec IDECSI sur la mise en place de la solution Personal SIEM. Cette dernière vise à pousser les utilisateurs à suivre leur sécurité et au final d'assurer la défense de l'entreprise. Dans ce projet, plusieurs étapes sont nécessaires avec en préambule une collecte de données pendant environ 3 semaines aboutissant à la création de profils utilisateurs (qui fait quoi, qui accède aux agendas, etc.). « Un moyen de tracer les assistantes qui disposent des identifiants de leurs patrons », s'amuse Wilfried Laumond. Ensuite, les équipes produisent un rapport destiné à l'utilisateur, puis vient le temps de la communication de ces rapports. La réception des alertes au quotidien et le routage, ainsi que la remédiation des incidents sont assurées par un support VIP dédié ou le support de messagerie.

Le déploiement s'est déroulé en moins de 3 mois et les premiers retours sont bons. Quelques semaines après le déploiement, « 123 utilisateurs VIP ont été déployés et la moitié d'entre eux ont accepté l'installation du client », rapporte Wilfried Laumond. Un taux de réussite encourageant et qui valide la méthode choisie : délivrer une interface simple et un message clair donné à l'utilisateur, une communication préalable. Côté technique, « il est possible d'industrialiser le déploiement du client via le MDM, en l'occurrence Airwatch et il est important de disposer de métriques pour suivre l'activité des utilisateurs », ajoute le responsable. Ainsi sur la soixantaine de personnes disposant du client, « 30% ont traité eux-mêmes la première alerte et 10% traitent régulièrement leurs alertes. Des résultats satisfaisants », explique Wilfried Laumond. Des taux à rapporter à la soixantaine d'alertes reçus mensuellement par les équipes de sécurité et dont 95% pourraient être traitées par l'utilisateur lui-même (synchronisation de terminal, nouvelle délégation, redirection de mail à l'extérieur).

PublicitéExtension à Office 365

Côté bénéfices, « les VIP se sentent protégés et le responsable de raconter une anecdote, « nous avons vu un admin qui essayait de se connecter à une messagerie de VIP alors que la personne était absente. Après un appel, elle était malade et avait demandé au support d'installer un message d'absence. Elle nous a remercié d'avoir été alertée ». Le responsable du monitoring des risques regarde maintenant vers l'avenir avec une intégration au sein d'Office 365. De même, l'activation de la fonction de géolocalisation des alertes l'intéresse pour « les VIP en déplacement ». Le monitoring devrait s'étendre à OneDrive et SharePoint.