Lagardere Travel Retail : Centraliser pour mieux détecter
Si le groupe Lagardere est bien connu, l’activité de sa filiale Travel Retail l’est peut-être moins. Cette société se spécialise dans les surfaces de vente situées dans les gares et les aéroports. C’est notamment cette société qui opère les magasins Relay, présents dans de nombreuses gares françaises. Mais Lagardere Travel Retail travaille aussi avec d’autres types d’établissements (Fnac, Burger King, etc.) sous licence, pour le compte de partenaires.
Et vendre des journaux et des livres dans les gares, ou des sandwichs, ne dispense pas de se préoccuper de sécurité informatique. Comme l’explique le RSSI Vincent Gapaillard, la fonction est « encore récente ». Son poste a été créé en 2018 et il doit compter sur une équipe de trois personnes, ainsi qu’une équipe supplémentaire chargée de la région américaine, pour un total de cinq personnes.
« On opère une vingtaine de systèmes d’information différents, sur une quarantaine de pays avec autant d’équipes et de DSI différentes. Culturellement chaque entité est indépendante et gère son propre budget sécurité. Je me positionne de manière transverse, en donnant les grandes lignes et les sujets obligatoires à prendre en compte, mais chaque entité défend son propre budget », explique le responsable, qui concède que travailler sur une vingtaine de SI différents et décentralisés peut parfois se révéler « complexe. » Outre ce rôle de supervision stratégique, le RSSI et son équipe sont aussi amenés à faire de la réponse à incident pour accompagner les entités qui auraient besoin de soutien pour faire face à un souci particulier.
Mais qui en veut à Lagardere Travel Retail ?
Quels sont les incidents qui inquiètent l’équipe du RSSI chez Lagardere Travel Retail ? « Je pense qu’on n’est pas une cible spécifique, on est une cible comme les autres. Quand on a un incident, on est plus souvent un effet collatéral qu’une cible bien définie » explique Vincent Gapaillard. Parmi les menaces qui ont occupé l’équipe, les outils ont permis de détecter que l’entreprise avait été ciblée par Revil, un groupe connu pour des attaques au rançongiciel, ainsi que par Emotet dont plusieurs attaques ont été bloquées par les dispositifs du groupe.
Outre ces incidents, Vincent Gapaillard mentionne les fuites d’identifiants et de mots de passe, qui ont occupé son équipe au cours de l’année passée. « On passe par un service de veille sur le dark web qui nous permet, sur la base de mots clefs, de voir tout ce qui fuite et qui se dit sur nous. Ça nous a permis de détecter une fuite de mot de passe importante et de réagir. »
Comment faire face ?
Pour répondre, l’entreprise peut compter sur différents services et chantiers mis en œuvre par l’équipe sécurité. Dans un premier temps, le RSSI s’attache à revenir sur les « fondamentaux » : protection des postes de travail, des messageries, de l’Active Directory et de lignes directrices sur la gestion des mots de passe. Vincent Gapaillard détaille : « On travaille avec Cybelangel pour le service de veille, avec Proofpoint pour la sécurisation des messageries. Mais notre grand chantier de 2020 c’était le déploiement d’un EDR avec SentinelOne, qui vise à protéger à la fois nos postes de travail, mais aussi nos systèmes d’encaissement et nos serveurs. »
En effet, la gestion d’espace de vente suppose de sécuriser aussi bien les postes informatiques que les terminaux de paiement utilisés en magasin. C’est dans cette logique que Lagardere Travel Retail a fait le choix de s’appuyer sur un EDR (Endpoint Detection and Response), celui de SentinelOne, pour offrir de meilleures capacités de détection et passer d’un modèle basé sur les signatures, jugé peu fiable et contraignant, à un modèle de détection comportementale.
L’idée est de le déployer sur l’ensemble des appareils du groupe de façon centralisée, un chantier pour 10 000 machines que la société aimerait boucler « avant la fin de l’année ». « En recentralisant au travers d’une solution groupe, on veut en profiter pour passer sur une solution EDR qui nous permet de faire de l’analyse comportementale et de voir ce qu’il se passe sur le poste de travail et si la menace est un peu trop litigieux, bloquer directement la menace. Le but est de gagner en capacité de traitement des alertes et de tout remonter sur une seule et même console, ce qui nous offrira une véritable visibilité sur l’ensemble de nos terminaux» explique Vincent Gapaillard.
Pour accompagner les différentes entités, le RSSI a mis en place un service de support en lien avec un partenaire, Securiview, qui se charge de surveiller les consoles et d’alerter les équipes de sécurité en cas d’incident. Et pour l’avenir, il espère pouvoir travailler sur la gestion de vulnérabilité, afin de « l’automatiser et de mieux l’intégrer dans notre travail quotidien. »
