Projets

SNCF, France Télévisions, Michelin : pour se transformer, ils repensent la sécurité IT

De gauche à droite, Michel Van Den Berghe, président du Campus Cyber, Henri Pidault, DSI Groupe SNCF, Louis-Cyrille Trebuchet, DSI France Télévisions et Etienne Bonhomme, VP et DG France de Palo Alto Networks.

À l'occasion de la conférence Palo Alto Networks Ignite, organisée le 28 mars à Paris, plusieurs grands groupes français ont expliqué comment les impératifs de leur transformation numérique les obligent à repenser leur approche de la cybersécurité et de la résilience.

PublicitéLe 28 mars, l'éditeur Palo Alto Networks organisait au Pavillon Dauphine à Paris sa conférence utilisateurs Ignite. À cette occasion, des porte-parole de grands groupes français bien engagés dans leur transformation numérique, tels SNCF, France Télévisions et Michelin, ont évoqué les enjeux de cybersécurité et de résilience associés à la transition.

Lorsque le groupe France Télévisions a démarré sa transformation numérique, les équipes IT ont abordé la cybersécurité de façon très humble, relate Louis-Cyrille Trebuchet, DSI du groupe. La poussée du numérique s'est en effet traduite par une accélération des mises à jour de sécurité et des vulnérabilités à corriger, obligeant les équipes d'infrastructure à se mobiliser en mode commando. « Quand il faut patcher sans cesse, les plans de transformation bien établis volent en éclat, met en garde le DSI. Cela révèle la dette technique de nos infrastructures. » Partant de ce constat, le groupe a considéré la cybersécurité comme un accélérateur de la modernisation de ses infrastructures, elle-même basée sur deux grands axes de travail : « le décommissionnement, afin de faire le ménage parmi l'existant, et le move-to-cloud pour réduire la dette technique. »

Un move-to-cloud qui va continuer

Le DSI de France Télévisions perçoit plusieurs avantages à basculer vers le cloud, y compris sur le volet applicatif, via le recours au SaaS. « Il y a quelques années, nous développions encore nous-même la plupart de nos applications métiers. Aujourd'hui, nous essayons d'éviter le lift & shift. Nous regardons s'il existe des équivalents sur le marché, en fonction des opportunités ou pour un périmètre donné », explique Louis-Cyrille Trebuchet. Il pointe notamment la capacité d'innovation accrue et l'agilité des grands hyperscalers, mais voit aussi des intérêts à plus long terme. « En termes d'empreinte carbone, le cloud me semble intuitivement plus efficient. Par ailleurs, la difficulté à provisionner le hardware peut mettre à risque nos projets autour du cloud privé. Cette crise d'approvisionnement, les problématiques autour des métaux rares nous poussent aussi à accélérer le move-to-cloud. »

Pour le groupe SNCF, le move-to-cloud a démarré il y a environ cinq ans. « Nous avons commencé en mode lift & shift. Ce n'est pas magique, car la dette technique demeure », confie Henri Pidault, DSI du Groupe SNCF. L'entreprise a vu dans cette transformation l'opportunité de revisiter ses infrastructures et ses applications, en allant vers le PaaS. « Aujourd'hui, nous avons migré près de 60% de nos environnements, en gardant un cloud interne pour les applications sensibles », indique le DSI. Pour le groupe, la résilience est un enjeu majeur. Afin de se préparer aux grandes échéances sportives qui arrivent, d'abord la Coupe du monde de rugby puis les Jeux olympiques, la SNCF a lancé un gros programme sur le sujet et renforce également ses cellules de crise. Pour Henri Pidault, cette hyper-résilience répond à un impératif : faire en sorte que le service continue d'être rendu, même si n'importe quel élément tombe en panne. « Cependant, il faut tout de même pouvoir détecter très rapidement les pannes », précise-t-il.

PublicitéLa résilience se décline aussi au niveau des réseaux

Cet enjeu de résilience se retrouve dans le monde de la radio et de la télévision, « où le risque d'écran noir est inacceptable », rappelle de son côté Louis-Cyrille Trebuchet. « Dans la culture du broadcast, tout est conçu pour sécuriser les antennes au maximum, la redondance est ancrée dans les pratiques. Mais dans l'IT, nous avions davantage tendance à faire confiance aux machines. » Après avoir vécu le crash à quelques jours d'intervalle de deux baies SAN, les équipes ont repensé cette notion de résilience, en s'inspirant du monde du cloud. « Chez les grands acteurs, tout est conçu en partant de l'hypothèse que n'importe quel composant peut connaître une défaillance. C'est ce qu'on appelle le design to fail », souligne le DSI de France Télévisions.

La transformation numérique entraîne aussi des impacts importants sur les réseaux. « Le passage à des réseaux ouverts représente un changement de paradigme en matière de cybersécurité », souligne ainsi Henri Pidault. Le DSI du groupe SNCF considère aujourd'hui son réseau comme une réplique d'Internet, avec le même type de services et les mêmes exigences en termes de résilience. Et pour le sécuriser, la SNCF a lancé il y a trois ans un programme de Zero Trust Network (ZTN)*. Le principe de ce modèle est de n'accorder aucun accès par défaut, mais de regarder qui se connecte, à quelles applications /services, depuis quel endroit et quel appareil avant d'autoriser, ou pas, l'accès à une ressource de l'entreprise (et ceci, où que celle-ci soit hébergée). Cette approche a également été adoptée chez Michelin, comme en ont témoigné un peu plus tard dans la matinée Paul Renard, directeur réseau global chez Michelin, et Christophe Albertoli, architecte infrastructure réseau chez Michelin.

Paul Renard, directeur réseau global chez Michelin, et Christophe Albertoli, architecte infrastructure réseau chez Michelin, ont partagé leur expérience sur le passage au Zero Trust Network.

Passer au Zero Trust en un an, le pari de Michelin

« Le groupe Michelin représente 120 000 employés dans le monde, avec 123 sites de production dans 26 pays différents. Notre stratégie va au-delà du pneu, avec des services et innovations dans de nombreux domaines », souligne Paul Renard. « Michelin est aussi une data company, avec un enjeu autour de l'exposition et de la sécurisation de ses données, et le groupe effectue de nombreuses fusions et acquisitions, des entreprises qu'il faut faire monter à bord le plus rapidement possible. Nous avons donc besoin d'une grande flexibilité et de résilience. » À ce contexte qui amène d'importants enjeux sur le réseau s'est ajouté l'adoption massive d'Office 365 en full SaaS il y quelques années. « Nous avions de plus en plus de flux sortants sur Internet, qu'il fallait sécuriser. En outre, certains outils de sécurité traditionnels n'étaient pas compatibles avec Office 365 », relate Christophe Albertoli. Enfin, comme la plupart des grandes entreprises, le groupe rencontrait un enjeu de consolidation de ses outils de sécurité réseau. « Nous avions un certain nombre de solutions héritées, mises en place au fil du temps pour répondre à différents cas d'usage. Cet empilement de solutions était devenu très compliqué à gérer, à la fois en termes d'infrastructures et d'opérations », se souvient Christophe Albertoli. Cette complexité empêchait le groupe de contrôler ses flux comme il le souhaitait, entraînant même certains contournements des dispositifs existants. « Il fallait remettre l'ensemble sous contrôle », souligne l'architecte. Ces raisons ont conduit le groupe Michelin à lancer une démarche de Zero Trust / SASE.

Le groupe Michelin a alors lancé une consultation début 2020 en vue de trouver une solution, avec un planning contraint par une échéance précise. « La licence de notre proxy cloud s'arrêtait dans un an. Il fallait que le choix, la contractualisation et le déploiement tiennent dans le délai imparti : nous devions donc être efficaces lors du RFP », confie l'architecte. Si l'équipe savait quels étaient ses besoins sur le plan fonctionnel, le choix n'était pas arrêté en termes de solution technique. « Nous souhaitions une plateforme de management permettant de déployer une politique de sécurité unique sur l'ensemble de nos environnements, qui comportent du cloud public, des environnements hybrides et même on-premise dans quelques contextes spécifiques », résume Paul Renard. Pour aller vite, les équipes ont fourni un gros effort de documentation de l'infrastructure existante. Le groupe a ensuite réalisé des POC avec les solutions retenues, en partant directement de ses cas d'usage et avec ses propres équipes de sécurité. L'offre de Palo Alto Networks a été sélectionnée à l'issue de cette phase. En procédant ainsi, et grâce à l'appui de son partenaire BT durant la mise en oeuvre, Michelin a pu migrer 100 000 utilisateurs sur la plateforme en l'espace de deux mois. Cerise sur le gâteau, « nous avons réussi à consolider nos environnements de cybersécurité, passant de 24 outils de sécurité réseau à un seul », apprécie Christophe Albertoli.

* Pour en savoir plus sur le ZTN, voir le livre écrit par Henri Pidault : « Cybersécurité - Passez au Zero Trust Network dès maintenant ».

Les PME aussi doivent se préoccuper de leur cybersécurité

Durant la conférence organisée par Palo Alto Networks, Michel Van Den Berghe, président du Campus Cyber, a rappelé que les petites et moyennes entreprises, mais aussi les établissements publics qui ont également basculé en masse vers le numérique, sont eux aussi concernés par les problématiques de cybersécurité. « Les patrons de PME ne sont pas forcément conscients de leur dépendance au numérique », a souligné Michel Van Den Berghe, qui a fait sourire le public en comparant les technologies à une drogue douce, dont on ne perçoit pas toujours les risques associés. Il a ensuite attiré l'attention sur un sujet en particulier, la nécessité de séparer l'IT de gestion et de production. « Il faut mettre en place une ségrégation entre IT et OT, car si ces deux environnements ne sont pas isolés, une cyberattaque peut empêcher d'utiliser les machines de production ou, dans le cas des hôpitaux, les appareils médicaux ». Avec des conséquences potentiellement dramatiques.

Michel Van Den Berghe a également souligné la nécessité pour le marché d'apporter des solutions les plus simples possibles à ces acteurs, en particulier pour les PME qui n'ont pas toujours les moyens d'avoir des DSI et RSSI. « On pourrait imaginer par exemple des services de résilience très simples à utiliser », illustre le président du Campus Cyber.