Spécialisé dans les services immobiliers, l'administration de biens, les transactions immobilières et la gestion locative, Emeria (ex Groupe Foncia) n'échappe pas aux multiples cyberattaques qui empoisonnent la vie de très nombreuses entreprises françaises. Pour réduire la surface d'attaque, la société a mis en place tout un arsenal de mesures et de solutions de sécurité, mêlant à la fois de la sauvegarde-restauration, de la containerisation que de la gestion des habilitations. « Les risques cyber sont variés et les attaques informatiques sont permanentes », nous a expliqué Franck Perillier, directeur cybersécurité d'Emeria lors d'un entretien aux Assises de la Sécurité 2022. 

Parmi les nombreuses attaques essuyées, on trouve du déni de service en masse opéré par d'innombrables réseaux de botnets, du phishing, de l'exploit de failles d'applications système... Pour les contrer, le groupe a déployé un bataillon d'outils de protection. « C'est la première ligne de défense », poursuit Franck Perillier. Bien sûr, l'outillage ne suffit pas, et la sensibilisation aux bonnes pratiques d'hygiène informatique a aussi été montée d'un cran pour se mettre à la page des risques et des techniques de piratage de plus en plus affûtées. « Ce n'est pas si simple de faire changer les habitudes, par exemple faire changer le mot de passe d'utilisateurs qui ne le faisaient jamais », fait savoir le RSSI. 

MFA et approche CASBE

Les armes d'Emeria pour lutter contre les cybermenaces sont variées, mais une en particulier manquait encore à l'appel : « Il fallait aussi avoir de l'observabilité, on a donc mis un SIEM pour renforcer, unifier et corréler la visibilité à côté de nos autres solutions spécialisées », se souvient Franck Perillier. Un gros coup d'accélérateur a ainsi été fait en 2018-2019 pour homogénéiser les différents outils de pare-feux, éparpillés entre différents fournisseurs. Avec à la clé du décommissionnement et la volonté de reprendre le contrôle sur la topologie réseau. Côté WAF, l'application de Rohde & Schwarz (aka Ubika) a toutefois été conservée après avoir subi quelques améliorations.

Un autre chantier structurant a aussi été mené pour contrer deux menaces fondamentales que sont le phishing et l'usurpation d'identités. Pour répondre à cet enjeu, le groupe s'est alors rapproché de Proofpoint dont les briques sont considérées comme « très efficaces » par le RSSI, non seulement sur la question de la messagerie mais aussi sur les modules de sensibilisation pour faire de la prise de conscience en masse. Outre IBM QRadar pour des logs sécurité intégrés, Emeria s'est aussi tourné vers Okta pour fédérer l'authentification des applications SAML, OpenID couplée à du déploiement MFA et de l'intégration de la protection des accès cloud. Pour muscler l'authentification, la solution de protection d'identité Preempt (Falcon Identity Protection) de Crowdstrike est aussi utilisée avec comme bénéfice par exemple de pousser le MFA sur des protocoles anciens comme Kerberos, NTLM ou LDAP.

La détection comportementale en renfort

Bien sûr, Emeria n'a pas oublié ses fondamentaux et a aussi mis le paquet pour sécuriser aussi bien les postes de travail que les serveurs. Pour ce faire, le groupe s'est alors tourné vers Sophos dont l'expertise en termes d'anti-virus a été particulièrement appréciée. Et ce aussi bien pour ce qui est de sa fonction traditionnelle de passage au crible des systèmes de fichiers et pour son approche déterministe, mais aussi sa capacité d'analyse comportementale des vulnérabilités au niveau du navigateur et de la mémoire pour détecter des comportements système anormaux. « Nous avons préféré rester adosser à un acteur historique bien implanté et qui ne trahit pas sa feuille de route », explique Franck Perillier. « Sophos Intercept X apporte une protection rapide full cloud ». Et le RSSI de poursuivre : « on ne cherchait pas un outil pour du forensic, monter un SOC ou faire du business de la sécurité mais pour éviter de se faire détruire ». 

Les bénéfices sont satisfaisants, et pour l'heure la solution a montré son efficacité pour lutter contre un ransomware, même si certaines situations ont quelque peu été rocambolesques. « En début de Covid nous avons pu détecter des postes attaqués sur des protocole netbios, car derrière des box perso mal configurées et permissives, le poste doit être protégé où qu'il soit », raconte Franck Perillier. Une pierre de plus dans le jardin de la sensibilisation utilisateur... Considérant son budget sécurité dans la moyenne d'autres groupes, le RSSI d'Emeria est satisfait de pouvoir compter sur une direction très sensible à cet enjeu. 5 collaborateurs ont aussi pu être recrutés sur des profils variés (offensif, défensif, contrôle permanent et développement) avec comme point commun la nécessité d'avoir la fibre technique. La finalité de la démarche n'est toutefois pas d'internaliser tous les aspects de la cybersécurité, loin de là. « Il faut rester humble », confie Franck Perillier.