EIFFAGE est un groupe de 70000 personnes. Gwénaël Rouillec est RSSI du groupe (boss de la cybersécurité), Officier Central de Sécurité et patron de la sûreté. Gwénaël Rouillec est attaché au DSI et au PDG, cette organisation procure une importante flexibilité et réactivité en cas d’urgence.
EIFFAGE travaille en collaboration avec l’ANSSI et met en place des solutions saines, déjà orientées pour répondre aux contraintes de la GDPR prévue par l’Union Européenne.
Les différentes filiales d’EIFFAGE doivent protéger leurs données de la concurrence. Les ordinateurs sortent de l’entreprise, le cloud est devenu incontournable. Il faut protéger les données sans suspendre le business.
Podcast de Gwénaël Rouillec, EIFFAGE
Data Leak Prevention
Gwénaël Rouillec n’a pas abordé le sujet de la protection des données sous l’angle du besoin de chiffrement. L’angle du DLP, de la fuite d’information a été judicieusement exposé afin montrer et mesurer les risques pour l’entreprise et les personnes. Le travail en open space et les échanges, voire les pertes de clés USB, peuvent constituer des pertes de données importantes. BitLocker sur Windows et FileVault en environnement Mac fonctionnent très bien mais ne suffisent pas.
Les équipes techniques du groupe on fait des tests avec les solutions de chiffrement du marché. Pas simple d’homogénéiser une politique de sécurité sur parc hétérogène et parfois obsolète. Tous les postes de travail ne disposent pas de puces par exemple. Gwénaël Rouillec aurait pu utiliser la brique chiffrement de l’antivirus en place sur les postes de travail mais Gwénaël prône la rupture technologique. Le chiffrement ne se faisait pas de la bonne façon, le groupe a donc choisi d’appliquer une couche supplémentaire de sécurité.
Proof Of Concept
Il fallait absolument rendre le chiffrement transparent pour laisser aux gens la possibilité de faire leur métier.
Afin de bien mesurer les besoins du terrain, Gwénaël Rouillec a organisé un POC (Proof Of Concept) avec des utilisateurs représentatifs. La solution retenue est Sophos SafeGuard Encryption pour sa granularité et sa flexibilité. A partir d’une console unique on peut gérer tout le parc. Les logs analysés par la SIEM afin de faire de l’analyse comportementale. Il est possible d’affiner les politiques de chiffrement en fonction des groupes et des projets tout en appliquant une politique standard à tout le monde comme par exemple interdire le déchiffrement.
La MOA avait une crainte importante que le chiffrement soit une “usine à gaz”. Il fallait absolument rendre le chiffrement transparent pour laisser aux gens la possibilité de faire leur métier. Un exemple simple est l’authentification pre-boot avec le client Sophos sans avoir besoin de retaper son mot de passe pour entrer dans Windows.
Question de l’audience
Est-ce que la solution Sophos pose des problèmes en environnement international déconnecté ? La réponse de Gwénaël Rouillec est sans appel : NON ! Les détails sont abordés dans le podcast.
Classification des données
Personne ne sait classifier les données. De plus elles changent en fonction des métiers, du contexte, du cadre. Alors toutes les données disponibles aux utilisateurs sont sensibles et peuvent porter atteinte à l’image du groupe EIFFAGE en cas de fuite. Gwénaël Rouillec rappelle les préceptes du délit d’initié afin d’illustrer que même des données qui finiront par être rendues publiques restent hyper sensibles jusqu’à ce qu’elles soient publiques.
Qu’en pensez-vous ? Laissez un commentaire.