L'assureur April optimise son monitoring réseau

Afin de pouvoir cartographier son système d'information et prévenir les intrusions, April a opté pour l'IPS Sourcefire. Des informations sensibles sont ainsi protégées.

Le système d'information de l'assureur April contient de nombreuses informations sensibles, notamment sur ses clients. De plus, son périmètre s'est considérablement élargi et ses multiples agrégations ont compliqué sa sécurisation. Aujourd'hui 2 500 salariés, répartis sur 10 sites principaux et 250 points de vente, y ont accès.

 

Cartographier le système

 

Afin de mieux surveiller les flux entre le datacenter et les différents sites distants, il devenait donc assez impérieux de se doter d'un outil capable de cartographier avec précision le réseau. "Auparavant, cette tâche était fastidieuses et les outils utilisés basiques", se souvient Nicolas Rousset, responsable réseau d'April Technologies (soit le GIE en charge du SI d'April). "Le but était de se doter d'un outil qui puisse nous alerter en cas de non respect des politiques de sécurité". Une éventualité dont la probabilité a augmenté avec la croissance de la société.

 

"La solution IPS de SourceFire évite les faux positifs"

La société de conseil en sécurité alors employée par April est BT Cyber Networks (devenue aujourd'hui BT) , qui avait alors convaincu de son savoir faire le responsable réseau d'April. C'est cette société de consiel qui va pousser la solution de SourceFire, et convaincre de sa pertinence.

 

"Nous avons aussi évidemment regardé la liste des divers prix et récompenses obtenues par la solution, et, bien classée dans le Magic Quadrant de Gartner, nous en avons conclu que nous ne pouvions pas nous tromper. " Le budget n'était cependant pas encore fixé. Il atteindra finalement près 125 0000 euros, dont 25 000 pour être assisté de manière durable par BT Cyber NetWork qui se révèlera être "un accompagnateur parfait".

 

Détecter les intrusions

"En outre ce choix nous a aussi permis de faire d'une pierre deux coups", ajoute Nicolas Rousset. "Car la solution nous permettait de réaliser une cartographie précise en temps réel, mais aussi de mieux détecter, plus facilement les éventuelles intrusions".

 

L'objectif premier était néanmoins de pouvoir cerner la typologie des terminaux se connectant au réseau. Avec la croissance de la société et son  fonctionnement décentralisé, de nombreux postes "inhabituels" avaient en effet pu accéder au réseau.

Après la mise en place de la maquette de test, la solution de SourceFire se révèle en effet capable de dresser rapidement la liste des OS et navigateurs, y compris de leur version (et même du Service Pack en cours pour Windows par exemple), communicant avec le réseau de l'entreprise. A l'issue d'un scan, "leur conformité avec une liste préétablie est rapide et facile à vérifier, en temps réel", explique Nicolas Rousset

 

Alertes paramétrables et test de pénétration

 

La maquette ayant fait ses preuves, et permis de définir l'architecture réseau idoine, elle a aussi facilité le déploiement final de la solution. Plusieurs niveaux d'alertes sont paramétrables : les équipes sécurité de l'assureur décident de se faire alerter par mail lors des alertes de niveaux critique. "La solution évite les faux positifs", fait valoir Nicolas Rousset, qui précise aussi réaliser une veille régulière sur les tableaux de bords fournis par la solution.

 

Quant à la prévention des intrusions, "les audits black box régulièrement réalisés ont confirmé que la détection fonctionnait bien", affirme Nicolas Rousset. La solution a cependant nécessité "un peu de temps pour être bien maîtrisée" et fait encore l'objet, un an et demi après avoir été déployée, d'un "apprentissage constant" notamment pour saisir les subtilités de la "philosophie de son administration". Mais elle a jusqu'à présent fourni une "excellente visibilité" toujours selon les termes de Nicolas Rousset, et a fait preuve, un an et demi après son déploiement ,d'une "stabilité sans faille".

Virus