LMi-MAG 12 mars - Flipbook - Page 29
réseau interne et du firewall applicatif avec Cloud Protector de Rohde & Schwarz Cybersecurity. « Quand on
ne pense pas qu’on va être ciblé, on est jamais assez préparé », glisse Jérôme Poggi. Depuis cette cyberattaque,
la Ville a fortement augmenté son niveau de sécurité en
musclant une partie de ses défenses en profondeur, isolation d’éléments critiques et segmentation.
« Le 14 mars 2020,
ce qui nous a sauvés, c’est
la réactivité de nos équipes »,
explique Jérôme Poggi, RSSI
de la Ville de Marseille.
La solution Cloud Protector apporte du pare-feu applicatif dans le cloud et a permis à Marseille de ne plus
avoir à gérer en interne toute l’infrastructure de filtrage,
la surveiller et la mettre à jour. Au départ, seulement
quelques sites étaient protégés avec une augmentation
importante par la suite. « C’est une solution clic and forget, on configure et on laisse faire », confie Jérôme Poggi.
« On revient rarement dessus, de temps en temps pour
vérifier et confirmer des règles et des paramétrages. Il
n’y a pas besoin d’agent et de sondes, c’est de la redirection DNS, il y a très peu de choses à configurer. » Cloud
Protector a permis d’éviter de nombreuses attaques
sur les sites Web de la Ville de Marseille et ce malgré
un contexte de confinement délicat. La mise en œuvre
de Cloud Protector s’est avérée très simple, en quelques
jours, et s’est déroulée de façon transparente exception
faite de quelques redirections DNS et du paramétrage lié
au niveau de sécurité souhaité, les accès à bloquer et les
listes blanches et noires.
La technique au service de l’humain
© Mauran et Rey
Clic and forget
PROFIL LINKEDIN
cutt.ly/linkedin-poggi
ments de sécurité par seconde, difficile voire impossible
d’en confier l’analyse à un humain. « On va pouvoir faire
ressortir que la moelle de l’attaque, ce qui est important,
et laisser de côté les scans de masse et autres attaques qui
n’ont que peu d’effets. » Les mois à venir vont être chargés
en termes de projets cyber pour
PRA / PCA – PLAN DE la Ville de Marseille avec noREPRISE D’ACTIVITÉ
tamment la mise en place d’un
IT
Bastion (Wallix), des évolutions
Cahier des charges
de la solution EDR de F-Secure,
le SOC externalisé pour capitaliser dessus. Sans compter aussi
des améliorations au niveau du
cœur de réseau et une relation
accrue avec l’Anssi.
cutt.ly/PRA-PCA
La Ville de Marseille ne compte pas s’arrêter en si bon
chemin pour étoffer ses moyens cyber, avec le recours à
un centre de sécurité opérationnelle dans un futur proche.
« On va avoir un appel d’offres sur un SOC externalisé,
c’est quelque chose de nécessaire. On n’a pas les moyens
et le temps, on a beau avoir des gens très bons techniquement à la Ville de Marseille, au vu du marché, recruter est
extrêmement compliqué donc on fait appel à de la prestation externe », explique Jérôme Poggi. Pour autant, il ne
s’agit pas de basculer à terme totalement vers de l’externalisation. « Le 14 mars, ce qui nous a sauvés, c’est la réactivité de nos équipes et quand on a de l’externalisé, c’est
plus compliqué. En période de crise, le temps se compte
en minutes. Il suffit qu’on loupe l’information et le ticket
et c’est trop tard. » L’expertise humaine en cybersécurité
apparaît donc essentielle aux yeux de la Ville de Marseille
avec une bonne répartition de charge avec l’outillage. « La
technique doit être au service de l’humain, lui permettre
de faire moins de tâches répétitives et perdre moins de
temps », analyse Jérôme Poggi. « C’est ce que doit faire un
EDR qui va faire de l’analyse comportementale et remonter des alertes à l’humain. » Avec plus de 2 000 événe-
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
cutt.ly/podcast-Marseille
LIRE EN LIGNE
Article
cutt.ly/article-Marseille
29