Sodexo adopte une approche qualitative de la sécurité
Grâce à des appliances et un service en ligne d'audit des vulnérabilités, Sodexo CCS analyse en continu le niveau de la sécurité dans ses 30 filiales. Les reportings sont exploités pour la politique de conformité.
Le géant français Sodexo aux 350 000 salariés dans 80 pays se partage entre deux métiers que sont les services de restauration et de facilities management, et les Chèques et Cartes de Services (CCS). Cette seconde activité est exercée dans 30 pays et représente un volume global d'émission de plus de sept milliards d'euros, 20,2 millions d'utilisateurs et plus d'un million de partenaires affiliés.
Chacune des 30 filiales assure en toute autonomie la gestion de son activité, notamment en matière d'infrastructure informatique. Cette indépendance se traduit par des systèmes d'information marqués par l'hétérogénéité. Pour évaluer et améliorer la sécurité de ces infrastructures, des audits techniques et organisationnels de chaque filiale sont conduits. Ceux-ci consistent en deux missions : des tests d'intrusion à distance depuis l'externe et des audits sur site à l'aide de consultants spécialisés.
"Les équipes locales, concentrées en priorité sur les opérations et la gestion quotidienne, ont toujours apprécié ce mode de fonctionnement. Le point négatif de cette organisation était en revanche que le coût financier de ces audits en limitait la fréquence, soit en moyenne tous les 2 à 3 ans. Avec l'évolution du métier et des infrastructures, chaque audit revenait à repartir de zéro. Nous avions besoin d'une solution permettant un audit continu et à distance afin de disposer d'une image "en temps réel" de l'état de nos infrastructures", se souvient Abdellah Cherkaoui, DSSI de l'activité CCS du groupe.
Pour des questions de coût et d'indépendance des audits, Sodexo écarte en effet la possibilité d'établir des cellules sécurité au sein des filiales. Accaparées par le quotidien, les équipes informatiques ne peuvent guère être sollicitées pour maintenir et administrer une solution. En outre, elles ne disposent pas toujours des compétences requises en sécurité. Enfin, l'hétérogénéité des SI interdit le déploiement d'une application unique à base d'agents logiciels.
22 boîtiers déployés et des milliers d'adresses IP scannées
Le service d'audit de vulnérabilités à la demande QualysGuard Enterprise fait l'objet d'un pilote en fin d'année 2003. S'avérant concluant, des licences sont achetées afin de réaliser des scans illimités sur un périmètre initial de 128 adresses IP. La sécurité se concentre en effet alors sur la défense périmétrique. Aujourd'hui, ce sont désormais plus d'un millier d'IP critiques de l'activité qui sont soumises à des audits grâce à l'offre SaaS de Qualys.
"QualysGuard Enterprise nous intéressait pour plusieurs raisons. Déjà la déployabilité puisque rien n'était à installer, ni donc à maintenir. Le service était également idéal car nous pouvions grâce à une interface Web et une administration centralisée, organiser nos 'assets', disposer d'un reporting détaillé et automatiser un grand nombre d'opérations. Les résultats des scans fournissaient ensuite aux équipes locales, elles-mêmes ayant accès, la liste des vulnérabilités, et pour chacune un niveau de priorité et la solution corrective à appliquer", apprécie Abdellah Cherkaoui.
Fin 2004, Sodexo décide d'étendre encore le périmètre des audits afin de disposer cette fois d'une vue sur la sécurité interne de ses infrastructures. Grâce à l'installation de 22 boîtiers plug-and-play déployés dans les filiales, l'entreprise bénéficie d'une photo de l'organisation et de la gestion de la qualité en interne. Celle-ci lui permet d'évaluer notamment la qualité de service apportée par les prestataires auprès desquels certaines filiales externalisent leur informatique.
"Nous avons installé des appliances chez plusieurs hébergeurs et nous sommes par exemple aperçu que sur nos VLAN en principe dédiés, d'autres clients étaient visibles. Nous avions également une vue sur le niveau des patchs, parfois en retard de plusieurs années. Mais des découvertes comparables ont aussi été faites en interne. De fil en aiguille, le boîtier Qualys nous donnait une idée très proche et réelle de la gestion de la qualité et non juste de l'état des vulnérabilités", détaille le DSSI.
Les appliances sont toutefois plus ou moins bien acceptées par certaines filiales. Compte tenu des informations communiquées par l'application, et selon les cultures, le boîtier a pu être perçu comme un mouchard. Le déploiement est donc progressif et jamais imposé aux filiales. La politique est en outre pragmatique en matière de correction des vulnérabilités afin de ne pas contraindre à de fréquentes et lourdes opérations d'exploitation.
Enfin, Sodexo apprécie les enrichissements fonctionnels, dont la gestion de la conformité, apportés par Qualys et dont elle peut bénéficier automatiquement sans le déploiement de mises à jour. Ainsi en 2005, un des premiers groupes à devoir se mettre en conformité avec Sarbanes-Oxley, Sodexo s'appuie sur les informations collectées par Qualys. Les rapports ont également pu être mutualisés grâce à leur prise en compte dans les audits internes. Grâce à l'automatisation de contrôles préalablement exécutés manuellement, cette mutualisation génère une réduction de la charge de travail lors des audits.
| Le projet en bref | |
|---|---|
| Source : JDN Solutions | |
| Société | Sodexo CCS |
| Editeur | Qualys |
| Date du projet | 2003 |