Nutrition & Santé est un acteur majeur sur le marché de l'alimentation biologique, avec des marques phares telles que Gerblé, Céréal Isostar, distribuées dans les réseaux spécialisés la Grande Distribution, en en e-commerce. Pour renforcer la cybersécurité de l'entreprise face à l'augmentation des attaques ciblées et opportunistes, l'entreprise s'est engagée dans la mise en place d'un service SOC et a choisi IMS Networks comme partenaire de services managés.
Afin de recueillir les bonnes pratiques pour la mise en place d’un service de détection d’incidents, nous sommes allés à la rencontre d’Antony Gonçalvés, CISO du groupe.
Q1. Comment définir votre métier et votre rôle chez Nutrition & Santé ?
En tant que CISO chez Nutrition & Santé depuis maintenant 4 ans et demi, mon rôle consiste à assurer la sécurité des données et des systèmes d'information de l'entreprise sur un périmètre étendu comprenant l'Europe, la France, le Benelux, l'Espagne et l'Italie. Avant cela, j'ai travaillé comme RSSI dans le secteur des Télécoms PME.
Nutrition & Santé est un acteur majeur sur le marché de l'alimentation biologique, avec des marques phares telles que Gerblé, Céréal Isostar, distribuées dans les réseaux spécialisés et la Grande Distribution, ainsi qu'en ligne grâce à notre site e-commerce, ou sur les sites de la Grande Distribution.
Au sein de la communauté des RSSI, je suis membre du comité opérationnel du club de RSSI national, le CLUSIF, et plus particulièrement actif au niveau du groupe de travail sur la sécurisation des API. Mon rôle en tant que CISO chez Nutrition & Santé est de m'assurer que nos données et nos systèmes d'information sont sécurisés et conformes aux réglementations en vigueur, tout en travaillant activement avec la communauté des RSSI pour améliorer continuellement notre approche en matière de sécurité.
Q2- Quel est le contexte du projet et quels sont vos grands défis dans votre activité ?
Le projet dans lequel nous sommes engagés est celui de renforcer la cybersécurité de l'entreprise face à l'augmentation des attaques ciblées et opportunistes. En effet, la cybersécurité est un enjeu majeur pour notre entreprise compte tenu des risques encourus, notamment en termes de ransomware et d'attaques via des campagnes de phishing ou de vol de login et mot de passe.
Le marché
Notre activité se déroule dans un marché concurrentiel où maintenir nos positions et nos marges est primordial. Cependant, nous sommes confrontés à une augmentation des prix des matières premières. En accord avec nos valeurs, nous cherchons à ancrer notre activité localement et nationalement en privilégiant les filières locales et les agriculteurs du territoire.
La Transformation IT
La transformation IT est un autre défi majeur pour notre entreprise. Notre direction générale est très à l'écoute de ces enjeux-là, et le groupe nous soutient dans nos choix stratégiques et nous apporte une vision de partenariat à long terme. Nous avons ainsi lancé un projet de migration vers le cloud en nous posant les bonnes questions au niveau financier, des risques et mesures de sécurité, et des niveaux de services souhaités. Nous restons propriétaires du risque vis-à-vis des parties prenantes, et nous procédons à des diligences avant contractualisation de chaque nouveau prestataire SaaS sur le volet technique et sécurité.
La règlementation
Nous avons également mis en place une gouvernance et une politique de sécurité ainsi que des mesures de sécurité avant même les obligations imposées par la directive NIS2. Toutefois, si nous sommes considérés comme un opérateur essentiel selon cette directive, nous procéderons à un réglage des mesures de sécurité.
Les risques cyber
Enfin, les risques cyber et les menaces constituent un défi majeur pour notre activité. Nous redoutons notamment les attaques de ransomware ainsi que les attaques opportunistes via des campagnes de phishing ou de vol de login et mot de passe. Une interruption de notre réseau impacterait directement notre service d'expédition et de facturation, ainsi que notre capacité à payer nos fournisseurs et à être payés. Nous risquons également de perdre la traçabilité et l'intégrité de nos données personnelles, ce qui pourrait avoir des conséquences réglementaires importantes sur notre activité. La disponibilité de notre réseau et l’intégrité de nos données sont est donc primordiales pour notre entreprise.
Q3. Quel a été le fait déclencheur de votre projet SOC ?
Nous n'avions pas une vision globale sur le monitoring des évènements de sécurité sur nos équipements, Active Directory, Firewall et infrastructures. Avant la mise en place de ce nouveau service SOC, nous ne disposions pas d'un système de détection et de réponse aux incidents efficace. Nous avons donc décidé de mettre en place un service SOC pour surveiller en temps réel l'ensemble de notre Système d’Information sur les évènements les plus critiques.
Notre objectif est de détecter très tôt toute intrusion et de limiter son impact en réagissant rapidement. Nous avons ajouté les endpoint detection and response EDR connectés au SOC pour détecter, analyser, contenir, isoler, corriger et faire repartir le système d’information en cas d'incident. Constatant que les antivirus basés sur les signatures n’étaient plus efficaces dans la détection des attaques, notamment face à un ransomware, nous avons migré vers des technologies EDR sur les postes de travail et les serveurs. Nous sommes convaincus que cette approche nous permettra de répondre en temps réel à toute attaque qui pourrait se produire.
Nous souhaitons également être proactifs dans la détection de tout évènement qui pourrait être un incident tout en conservant les preuves.
Nous nous sommes posé la question d'internaliser le service SOC, mais compte tenu de son caractère très coûteux et des enjeux de ressources humaines pour capter des compétences, nous avons préféré faire appel à des prestataires spécialisés dont c’est le métier.
Q4. Quels étaient vos critères de choix et pourquoi avez-vous choisi IMS ?
Lorsque nous avons cherché un partenaire de services managés de sécurité, nous avions six critères de sélection en tête. Tout d'abord, nous voulions travailler avec une entreprise spécialisée à taille humaine afin de garantir une interaction humaine de qualité.
Ensuite, il était important que le partenaire ait des références solides en matière de cybersécurité. Le fait qu'IMS Networks accompagne déjà le groupe Pierre Fabre a donc joué en leur faveur.
Une attention particulière a été portée sur le personnel de l'entreprise, notamment à leurs certifications techniques et leur implication dans le projet. La réactivité et la proximité des équipes étaient également des critères importants pour nous.
Nous avons également pris en compte l'assise financière d'IMS Networks et leur certification ISO 27001, qui démontre leur maturité en matière de sécurité des données. Enfin, l'ancrage local faisait également partie de nos valeurs et a été un critère de sélection important.
Lors de ma première rencontre avec Alexis Oppeel aux Assises de la sécurité à Monaco, j'ai pu apprécier la qualité de la relation. En tant que membre du club national de cybersécurité, j'ai également eu de bons retours de mes pairs, ce qui m'a encouragé à interroger IMS networks. Nous avons sélectionné IMS Networks comme partenaire de services managés de sécurité car ils remplissaient tous nos critères de sélection et nous avons été convaincus par leur expertise et leur engagement en matière de cybersécurité.
Q5. Que retenez-vous de la phase de co-construction du service SOC ?
La phase de co-construction du service de détection et réponse à incident est essentielle pour réussir la mise en place d'un SOC efficace. Plus on partage d'informations de contexte, plus nous avons des alertes pertinentes et moins nous avons de faux positifs.
Cependant, notre délai pour mettre en place le SOC était assez court, ce qui a rendu difficile la fourniture de cas d’usages précis pendant cette phase. Néanmoins, au fil de l'évolution du projet et la mise en place de nouveaux services à surveiller tels que la partie web browsing Zscaler ou cloud app security, nous avons pris le temps de nous poser les bonnes questions en rapport avec le risque. Nous avons également effectué une analyse de risque à posteriori pour faire évoluer notre politique de détection.
Afin de réussir la mise en place d'un SOC, je recommande vivement de réaliser une analyse de risque dès le départ pour identifier les actifs critiques et mettre en place une surveillance ciblée sur ces actifs. Cette approche nous a permis d'adapter notre stratégie de surveillance pour protéger au mieux nos actifs les plus critiques.
Q6. Quel est le résultat après la mise en place du service de détection ?
Depuis la mise en place du service de détection, nous avons pu constater une nette amélioration de la visibilité de notre système d'information et de nos équipements. Le SOC s'est révélé être indispensable pour détecter très tôt et de manière proactive tout événement qui pourrait être qualifié comme un incident.
Grâce au SOC, nous avons désormais une meilleure connaissance des IP, des schémas d'attaques et nous sommes en mesure de conserver les données importantes comme preuves. Nous constatons quotidiennement que des attaquants scannent tout le web et, en cas de détection d'une IP faiblement sécurisée, ils lancent une attaque opportuniste. Pour se préparer à une crise majeure, nous avons mis en place une cellule de réponse cyber. Le SOC fait partie intégrante de notre stratégie de gestion de crise pour nous aider à détecter au plus tôt tout incident majeur et à y répondre pour en limiter les impacts.
Dans le but de réduire notre surface d'attaque, nous avons également mis en place un outil de scan de vulnérabilités. Cet outil nous aide à avoir une vision claire sur les vulnérabilités présentes sur nos actifs critiques et à piloter l'obsolescence. Nous pouvons ainsi prioriser le patch management en fonction du risque.
Depuis la mise en place du service de détection, nous avons acquis une meilleure connaissance de notre système d'information, nous sommes mieux préparés à faire face aux incidents majeurs et nous avons réussi à réduire notre surface d'attaque grâce à l'outil de scan de vulnérabilités et à la gestion par le risque. Le SOC s'est avéré être un élément clé de notre stratégie de cybersécurité et de gestion de crise.
Q7. Qu’est-ce qui vous plait le plus dans le partenariat ?
Ce qui me plait le plus dans le partenariat mis en place avec les équipes IMS Networks, c'est leur disponibilité et leur flexibilité à travailler avec notre équipe de sécurité pour améliorer le service proposé. Le comité de pilotage trimestriel en phase de RUN, ainsi qu'un cotech hebdo pendant les phases de déploiement, nous permettent d'échanger pour faire les réglages nécessaires et faire évoluer la politique de détection en continu.
Les échanges réguliers avec les équipes techniques d'IMS Networks nous permettent également de prendre conseil auprès d'eux pour nous assurer que nous mettons en place les meilleures pratiques et les technologies les plus efficaces pour protéger notre entreprise contre les menaces de sécurité. Notre collaboration nous permet de travailler de manière agile et réactive pour répondre rapidement à toute menace ou incident de sécurité qui pourrait survenir.
Q8. Quelles sont les bonnes pratiques pour réussir la mise en place d’un SOC externalisé ?
Pour réussir la mise en place d’un SOC externalisé, il est important de suivre certaines bonnes pratiques et processus éprouvés. Tout d'abord, selon mon expérience, la définition d'une politique de détection claire et précise est primordiale. Il ne faut pas chercher à couvrir l'intégralité de la base MITRE ATT&CK, car cela consommerait des ressources inutilement et pourrait même entrainer une baisse de l'attention des équipes en cas d'alertes trop fréquentes. Il est préférable de se concentrer sur les 20 à 30 règles de détection les plus importantes, qui correspondent à des scénarios pragmatiques liés à un véritable risque business pour votre entreprise, comme l'élévation de privilèges ou la réinitialisation d'un mot de passe.
Ensuite, il est crucial de s'assurer de l'expertise de votre partenaire MSSP (Managed Security Services Provider). Vous ne devez pas considérer que l'externalisation signifie que vous n'avez rien à faire. Au contraire, vous devez collaborer étroitement avec votre partenaire pour lui donner une bonne connaissance de votre activité.
Lors de la construction du service SOC, il est important de ne pas négliger la phase d'apprentissage, et de rester très présent pour qualifier les alertes et donner du contexte au SOC pendant la première année afin de limiter les faux positifs. Il est également essentiel d'informer le SOC lors des interventions qui génèrent des coupures ou des remplacements d'équipements ou de serveurs, car cela peut entrainer une absence de logs pendant cette période.
Enfin, une communication régulière avec votre partenaire MSSP est clé, même si cela peut prendre du temps et des ressources.
Si vous n'avez pas la capacité de le faire en interne, il peut être judicieux de mettre en place un service de détection comportemental sur les postes de travail et serveurs EDR et ne pas se lancer dans un projet SOC complet.
Q9. Et si vous deviez résumer votre projet en une phrase ?
En résumé, notre projet consiste à mettre en place un SOC, qui agit comme une tour de contrôle à 360 degrés pour surveiller notre infrastructure informatique. Bien que cela ne permette pas d'éviter tous les incidents, cela nous permet de détecter les signes avant-coureurs suffisamment tôt pour pouvoir guider nos équipes internes et externes et limiter les impacts en cas d’incident majeur.
La comitologie et la définition des processus liés au service sont une partie structurante de ce projet, car ils nous obligent à maintenir un haut niveau d'exigence et à collaborer efficacement. En outre, le retour d'information est également important pour les analystes SOC, afin qu'ils puissent améliorer continuellement la capacité à détecter et à répondre aux incidents.