Fêtant ses 170 ans cette année, Lesaffre International est un groupe industriel français basé à Marcq-en-Baroeul. Il conçoit et produit des levures et de nombreux dérivés issus de la fermentation et compte plus de 11 000 employés dans le monde. Pour renforcer la sécurité de ses postes de travail et smartphones, le groupe a décidé en 2019 de se doter d'une solution unifiée et centralisée d'EDR (endpoint detection & response), retenant la plateforme Check Point Harmony. Lors de l'événement CPX 360 Check Point organisé par l'éditeur le 15 mars 223, le CISO du groupe, Didier Stucki, a partagé son expérience autour de la solution, aujourd'hui déployée sur près de 6 500 ordinateurs portables et 3 500 smartphones.

Avec 77 sites de production dans une cinquantaine de pays et des produits distribués dans 185 pays, Lesaffre International se caractérise par une forte présence internationale, couplée à une organisation très décentralisée. Historiquement, le groupe accorde une grande autonomie à ses filiales, y compris au niveau du choix des solutions IT. Pour l'entreprise, le passage à Microsoft Office 365 en 2018, afin de remplacer une soixantaine de systèmes de messagerie existants, a donc constitué un changement de paradigme.

Profitant de l'occasion, le groupe a décidé l'année suivante d'enclencher une démarche similaire autour de la protection des postes de travail, en déployant une solution d'EDR en complément des outils de protection des endpoints existants (un parc lui aussi assez hétérogène). « Nous avions la volonté d'être pragmatiques, en adoptant une approche best-of-breed », a expliqué Didier Stucki. Le groupe recherchait en particulier une protection renforcée face aux ransomwares et à l'hameçonnage, mais il voulait également disposer d'une vision centralisée des événements de sécurité détectés, afin d'être en mesure de remonter ces éléments à son SOC (security operations center).

Vision centralisée et traitement local des incidents

Le déploiement de la plateforme Harmony sur l'ensemble du parc s'est achevé en 2020. Toutefois, celle-ci a continué d'évoluer au fil des années. En 2021, Lesaffre a ainsi migré vers l'offre cloud de Check Point et a intégré les logs fournis par la solution à l'outil du SOC, qui provient d'un autre éditeur. En 2022, le groupe a activé les fonctionnalités de délégation, afin de permettre aux différents départements IT de gérer eux-mêmes leur propre périmètre. Ainsi, les équipes locales peuvent traiter elles-mêmes les incidents, mais le groupe dispose d'une vision centralisée grâce à la remontée des logs au SOC. Enfin, cette année, l'équipe de sécurité travaille sur la protection des serveurs - un sujet un peu plus complexe, notamment sur les serveurs applicatifs - ; ainsi que sur le remplacement des outils de protection des endpoints existants.

« Nous avons vu l'outil en action face à des ransomwares, et nous avons également constaté un bon niveau de détection des mails et SMS de phishing », souligne le CISO, qui rappelle que sur les smartphones, l'anti-phishing est la première ligne de défense face aux messages contenant des liens malveillants. Lorsque les équipes détectent des tentatives de phishing, celles-ci laissent parfois l'attaque se dérouler dans un environnement contrôlé, afin de vérifier si la solution est capable de la bloquer. « Il faut travailler la protection, plus encore que la détection, en envisageant différents scénarios de compromission », explique le RSSI. Dans cette optique, le groupe a aussi déployé les outils de prévention et d'auto-remédiation, avec des résultats plutôt probants, selon Didier Stucki.

Prévenir plutôt que guérir

Les capacités de threat hunting (détection proactive de menaces avancées), déployées plus récemment, sont également très appréciées par les équipes de cybersécurité lorsque celles-ci mènent des investigations en profondeur sur certains incidents, de même que les rapports forensic, corrélés avec la matrice Mitre Att&ck. Le groupe a aussi mis en oeuvre les fonctionnalités d'émulation de menaces de la plateforme, qui analysent dans une sandbox les fichiers avant d'autoriser le téléchargement, ainsi que les outils d'extraction de menaces, qui suppriment les liens suspects, macros et autres éléments à risques. Si de l'aveu du CISO, ces fonctionnalités ne plaisent pas toujours aux utilisateurs, elles contribuent à sécuriser les téléchargements sur les postes de travail. « Quand nous expliquons le pourquoi, ces outils sont perçus de façon positive », pointe Didier Stucki.

Pour 2024, la feuille de route est d'ores et déjà bien tracée, avec la poursuite de la consolidation des solutions et un renforcement des protections sur le trafic est-ouest. « Sécuriser les systèmes d'information, c'est aussi faire de la sécurité de bout-en-bout », souligne le CISO. Et pour éviter les silos d'information, « il y a un intérêt à consolider les solutions. »