Projets

Stéphane Rousseau (DSI, Eiffage) : « aujourd'hui, l'approche Sase est indispensable »

Stéphane Rousseau, DSI du groupe Eiffage, doit assurer la cybersécurité de multiples sites très dispersés.

Retrouvez cet article dans le CIO FOCUS n°198 !

Le cloud n'est pas la panacée !

A lire de nombreux témoignages, on aurait tendance à croire qu'il suffit de migrer son système d'information dans le cloud public et tous les ennuis disparaissent comme par enchantement. Bien entendu, la magie n'existe pas. Certes, le cloud est utile. Certes, il résoud un certain nombre de...

Découvrir

Le groupe Eiffage a adopté l'approche Sase pour sa cybersécurité en s'appuyant sur la solution Netskope. Son DSI, Stéphane Rousseau, s'en explique. Il sera le Grand Témoin de la CIO.expériences « La cybersécurité à l'heure du SASE » du 15 février 2022.

PublicitéCIO : Comment le groupe Eiffage est-il organisé, opérationnellement mais aussi sur le plan informatique ?

Stéphane Rousseau : Nous sommes un groupe très décentralisé, comme toutes les entreprises de notre secteur, le BTP. Cependant, l'informatique est, elle, centralisée, toutes branches et métiers confondus. Nous avons également la possibilité de déployer ou de fournir des services IT au bénéfice de filiales à l'étranger comme, notamment, la bureautique Microsoft 365, notre ERP ou des outils pour gérer les chantiers [A propos du groupe Eiffage : voir encadré ci-dessous, NDLR].
En particulier, la politique de cybersécurité est gérée centralement et les outils sont communs. Nous disposons de plus de 1500 sites connectés à notre réseau interne avec des sorties Internet centralisées, évidemment très contrôlées avec les outils classiques (firewalls, etc.).
Mais, bien entendu, dans le BTP, beaucoup d'activités ont lieu à l'extérieur de nos locaux. Sur les chantiers importants, il existe des bases-vie avec des routeurs gérés par l'entreprise. Parfois, les bases-vie peuvent être partagées avec nos partenaires de chantier. Sur les petits chantiers ou en télétravail, évidemment, les collaborateurs se connectent comme ils peuvent, souvent avec un réseau grand public.
Avoir confiance dans le réseau interne est donc très insuffisant. Pour se connecter à certaines ressources internes, on peut bien sûr imposer de recourir à un VPN. Mais il faut aussi prendre en compte les ressources sur le Cloud (notamment SaaS).

CIO : Du coup, quelle solution avez-vous adopté ?

Stéphane Rousseau : L'approche Sase (Secure Access Service Edge) offre une grande visibilité et permet des réactions rapides en cas d'incident. Le concept du Sase a été proposé par le cabinet Gartner en 2019. Il consiste à faire converger les fonctions réseaux et sécurité au sein d'un service cloud natif et unifié. Il cumule donc l'approche Zero Trust avec le SD-WAN, les firewalls périmétriques et les proxys, l'inspection SSL et l'optimisation DNS.
Juste avant le premier confinement, nous avons choisi de déployer Netskope qui nous apporte une sorte de firewall virtuel. Evidemment, ce choix nous a été très utile lors de la crise sanitaire et de la généralisation du télétravail. Et, lorsque les bases-vie de chantiers sont partagées avec d'autres entreprises, y compris au niveau de l'accès Internet, notre approche permet de garder la maîtrise des accès à notre système d'information.

CIO : Concrètement, comment se déroule un tel déploiement ?

Stéphane Rousseau : Nous avons déployé sur chaque PC du groupe l'agent Netskope, la configuration du PC lui-même (y compris firewall, anti-virus, etc.) relevant de la responsabilité de la filiale.
En adoptant cette stratégie, nous avons pu régler rapidement un soucis dans une de nos filiales. Le lien VPN entre le réseau local et notre système central était hors service. Y déployer Netskope nous a suffi pour rouvrir l'accès à Internet et à notre SI.
Il est certain que nous ne mettrons plus en place, désormais, de VPN de réseau à réseau, de MPLS international, etc. Déployer sur des milliers de postes ne pose véritablement aucun problème. Netskope permet un pilotage très fort. A l'inverse, déployer un SD-Wan seul n'est pas si simple.
Actuellement, nous sommes en train de travailler sur une refonte de notre MPLS et, du coup, nous envisageons d'adopter du multi-opérateur et même des opérateurs locaux dans des pays étrangers. La couche de transport, l'infrastructure télécom elle-même, deviendra en effet secondaire et un tel choix ne remettra pas en cause l'efficacité de notre pilotage.

PublicitéCIO : Le Sase vient s'ajouter à de multiples approches et outils qui sédimentent depuis des années. Comment assurez-vous l'harmonie et la comptabilité de tout cela ?

Stéphane Rousseau : Historiquement, nous avions évidemment déployé des anti-virus, des firewalls, du VPN... Puis nous avons déployé l'approche Sase et enfin les EDR sur les postes de travail et divers outils de sécurisation propre à tel ou tel environnement ou plate-forme comme Proofpoint sur la messagerie par exemple.
Le poste de travail peut être attaqué autrement que par une intrusion gérée par l'approche Sase : du phishing, une clé USB infectée, etc. Et si une intrusion a déjà eu lieu, un outil Sase ne détecterait pas nécessairement un déplacement latéral (d'un poste ou d'un serveur à l'autre). Donc il faut d'autres outils, comme les EDR. On peut considérer qu'il y a des recouvrements mais chaque outils avance à des rythmes différents et chacun est en fait complémentaire aux autres. Et c'est aussi la raison pour laquelle les outils traditionnels (antivirus, firewalls, etc.) gardent tout à fait leur intérêt et ne doivent surtout pas être décommissionnés.

CIO : L'approche Sase vous a-t-elle aidé dans la sécurisation face au shadow IT ou dans des cas comme la faille affectant la bibliothèque Java de journalisation Log4J ?

Stéphane Rousseau : Oui. L'approche Sase facilite la réaction aux vulnérabilités et aux incidents car un outil comme Netskope offre une parfaite visibilité sur ce qui se passe. Or, comme vous le savez, on peut trouver des appels malveillants exploitant la vulnérabilité Log4j absolument partout dans le patrimoine applicatif.
De la même façon, on a pu tout de suite, lors du déploiement, repérer le shadow IT. Selon les cas, nous avons choisi soit de bloquer immédiatement soit de contrôler préalablement la sécurité des outils utilisés.

CIO : Quelles bonnes pratiques recommanderiez-vous pour mettre en oeuvre l'approche Sase ? Quelles erreurs sont à éviter ?

Stéphane Rousseau : Déployer cette approche avec un outil tel que Netskope est réellement une extrême simplicité. Il y a donc assez peu de recommandations à donner.
S'il y a une erreur à ne pas commettre, c'est sans doute de laisser des trous dans la raquette. Le déploiement doit impérativement avoir lieu sur l'ensemble du parc faut de quoi des failles demeurent béantes (permettant des déplacements latéraux à partir de points où une intrusion a déjà eu lieu) tant que le déploiement n'est pas achevé.
Si ce n'est pas compliqué de déployer, il faut cependant commencer par réaliser des POC et laisser vivre quelques temps le sujet pour bien vérifier les éventuels impacts sur la performance des postes. Ensuite, il faut déployer par configurations homogènes. Chez Eiffage, nous avons commencé par la DSI où l'on trouve des utilisateurs intensifs et des utilisateurs ordinaires. Ensuite, nous avons déployé sur les masters des nouveaux postes, là où, par définition, l'environnement est facile à maîtriser. Enfin, nous avons déployé sur le reste du parc par vagues successives sur des configurations similaires.

CIO : Quel bilan tirez-vous du déploiement de l'approche Sase et comment voyez-vous ses perspectives ?

Stéphane Rousseau : Une telle approche est rassurante et va dans le sens de l'histoire, avec la croissance du cloud, le reporting très bien fait, l'administration et le pilotage aisés, etc. Nous avons choisi la solution Netskope qui nous a semblé bien correspondre à notre contexte mais il existe d'autres offres très intéressantes.
Demain, il y aura évidement d'autres approches, d'autres outils. Mais, aujourd'hui, l'approche Sase me semble indispensable.

Sur le même sujet

- La CIO.expériences La cybersécurité à l'heure du Sase organisée par CIO sera diffusée le 15 février 2022 (200 crédits offerts aux participants inscrits avec un compte CIO).
- Répondre à l'enquête Quelle cybersécurité à l'heure de la convergence dans le cloud ? (50 crédits offerts aux répondants connectés avec un compte CIO).
- Février 2021 sur Le Monde Informatique : dossier « Sase, une approche indispensable pour la sécurité des entreprises ? »

A propos du Groupe Eiffage

Avec un chiffre d'affaires de près de 19 milliards d'euros et un effectif global d'environ 70 000 personnes, Eiffage est présent dans 70 pays. Il a été créé en 1993 par fusion de Fougerolle et de SAE, deux groupes de BTP. SAE s'était rapproché de Eiffel, spécialiste de la construction métallique, en 1990. Le nom Eiffage est issu de la contraction des noms de Eiffel, SAE et Fougerolle. Ses racines sont issues d'entreprises ayant le plus souvent plus d'un siècle : les entreprises de bâtiment et travaux publics Fougerolle (fondation en 1844), Quillery (1863), Ballot (1903) et SAE (1924) ; les industriels de la route SCR (1928) et Gerland (1948) ; les électriciens Clemessy (1908), Forclum (1922) et Norelec (1959) ; et enfin le spécialiste de la construction métallique Eiffel (1866).
Le groupe a de ce fait des activités très variées. Côté BTP, il opère de la construction de logements comme de locaux tertiaires, pour des tiers ou dans le cadre de ses activités de promotion immobilière. Il réalise de la construction métallique (ponts, ferroviaire...) avec des réalisations prestigieuses telles que le Viaduc de Millau, la charpente du Musée Louis Vuitton. Ses compétences en énergies et systèmes l'amène à travailler sur l'énergie thermique, l'électricité mais aussi la smart-city (signalisation, éclairage public, ville connectée...). Enfin, il a, à l'instar de ses concurrents directs (Vinci et Bouygues), une importante activité dans les concessions et les Partenariats Public-Privé : autoroutes (société APRR), Stade Pierre Mauroy à Villeneuve d'Asq, hôpitaux et collèges, ligne TGV Bretagne-Pays-de-Loire...