LMi-MAG 8 Juillet 2021 - Flipbook - Page 21
RSSI de Pro BTP, Zakaria Hadj a aussi pris la parole pour
un retour d'expérience sur la détection d'intrusion et les
mesures à prendre pour faire face à un ransomware ou à
des tentatives sophistiquées de cybermenaces. Pro BTP,
un groupe de protection sociale gérée conjointement par
les entreprises et les salariés du BTP, a organisé sa sécurité
autour de deux piliers : stratégie et opérationnel. Pour détecter les intrusions et lutter contre les cybermenaces, qui
montent en puissance, l'association mise sur une défense
préventive passant notamment sur du WAF mais aussi un
SIEM pour collecter des journaux d'événements et en ressortir des alertes pertinentes liées à différents cas d'usage.
« Nous avons été attaqués mais nous sommes tous attaqués. La plupart du temps, on a réagi de manière très
très rapide : si une machine est affectée par un virus ou
un ransomware, des mécanismes d'automatisation sont
mis en place avec du confinement machine. C'est extrêmement important pour ne pas que cela se propage », a
indiqué Zakaria Hadj.
Détecter les cybermenaces : EDR, SIEM
et SOC externalisés au programme
Un autre volet des émissions a concerné la détection et
l’outillage. « Comme beaucoup de structures, nous avons
été dans le passé en mode bastion pour une protection
périmétrique, aujourd'hui on est en phase transitoire
avec le déploiement d'un outil d'UBA pour de l'analyse
comportementale au niveau des utilisateurs et un SIEM
pour gérer les événements et indicateurs de sécurité ce
qui a été très utile en phase de télétravail », a relaté Olivier
Gosselin, DSSI du conseil départemental du Vaucluse. En
ligne de mire : aller vers un outil d’EDR, voire XDR, et
un SOC externalisé avec un prestataire dédié, sans pour
autant se délester de toutes les compétences cyber. Parmi les autres retours d'expérience, il y a eu aussi celui
de Yohann Bauzil, RSSI d’Airbus OneWeb Satellites, qui
est intervenu sur plusieurs points cyber du groupe dont
l'ensemble du SI a été calqué sur le modèle d'Airbus Defence & Space. « Utilisé depuis deux ans, l'EDR devient
indispensable au regard de la complexité de la menace ;
il est désormais une brique essentielle de cybersécurité,
au même titre que l'antivirus », a rappelé le RSSI. « On
a intégré cette surveillance de l'EDR dans les tâches récurrentes d'une personne dédiée 100% à la sécurité. » En
plus, la société s'appuie sur un SOC, couplé à une solution
Darktrace, avec Airbus Cybersecurity qui propose son
propre centre opérationnel de sécurité, piloté par cette
filiale. A l'occasion de sa prise de parole, Yohann Bauzil a
mis en avant les bonnes pratiques liées à ses exercices de
gestion de crise réalisées à titre personnel mais dont les
apports pour ses missions sont des plus pertinentes. « Il
faut agir de façon structurée sinon on est vite submergé.
En gestion de crise, on a énormément d'informations qui
arrivent et il faut de la structuration », a souligné le RSSI.
Espace Cybersécurité Digital
Trois mois d’expertises,
de témoignages et d’analyses
sur les approches en cybersécurité.
Vidéos, livres blancs,
interviews, articles…
sur LMI.
cutt.ly/cybersecurite-digital
De son côté Fabrice Cartron, RSSI du groupe Cahors, a
témoigné sur la mise en place de la sécurité de ses liens
réseaux à l'international et la mise en place d'un SOC.
« Il y a trois ans, compte tenu des contraintes, on a fait le
choix d'abandonner Orange, qui n'apportait pas complètement satisfaction sur les liens avec l’Asie, pour passer
chez Tata Communications », a raconté Fabrice Cartron.
Avec des plus grosses usines en Inde et en Chine, il était
primordial pour le groupe d'avoir des liens réseaux de
qualité. Avec pour corollaire en termes de gestion, la
bascule d'un SOC d'Orange vers Tata. « D'un point de vue
purement technique et cyber, c'est plutôt positif. On n'a
pas eu d'incident sur les deux dernières années. » Pour
autant si d'un point de vue métier et rapprochement des
équipes ce choix se justifie, il peut poser question en
termes de sécurité. « Le déploiement de la 27001 a été
mené par Orange Cyberdéfense. Le SOC va monitorer le
MPLS mais on a la capacité d'intervenir sur le firewall, le
proxy HTTPS et on se réfère au RGPD et autres normes
de sécurité. »
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
cutt.ly/pod-cybermatinees-secu
LIRE EN LIGNE
Article
cutt.ly/art-cybermatinees-secu
21