Oodrive : « La sécurité, c’est avant tout un soutien au business »

Oodrive : « La sécurité, c’est avant tout un soutien au business »

Si vous êtes une entreprise habituée à manipuler des informations sensibles ou confidentielles, ou si les régulations qui s’appliquent vous invitent à la plus grande prudence, vous rechignerez peut-être à passer par un acteur comme Microsoft ou AWS pour vos usages cloud. C’est précisément sur ce créneau qu’Oodrive entend se positionner : la société se présente comme un acteur spécialisé dans le cloud sécurisé, à destination d’entreprises soucieuses de garder la maîtrise de leurs données.

La sécurité est donc un sujet de premier ordre pour Oodrive. Ce qui se traduit notamment dans l’organigramme et dans le positionnement du RSSI, François-Xavier Vincent, directement rattaché à la direction : « c’est un positionnement qui me convient tout à fait, et qui fait du RSSI le pair de la DSI et de l’engineering. Nous ne sommes pas de la même taille en termes d’effectif, mais on parle d’égal à égal et s’il y a débat, on peut le faire arbitrer à un niveau supérieur ». Un rôle qui permet au RSSI d’être plus impliqué sur les aspects gouvernance et contrôle que dans l’implémentation pure, même si François-Xavier admet tout de même « mettre les mains dans le cambouis » fréquemment.

Chez Oodrive, une équipe de six personnes est dévouée entièrement aux questions de sécurité, sur un effectif global d’environ 400 employés. « Dans mon équipe, j’ai trois personnes dédiées à notre SOC interne, une personne qui se charge des aspects liés à la documentation et à la gestion des audits, une personne spécialisée dans le RGPD et un dernier profil chargé d’accompagner les équipes et de les aider à implémenter les bonnes pratiques de sécurité », résume François-Xavier.

Le travail de l’équipe se repartit entre la gestion au jour le jour des incidents de sécurité touchant l’entreprise et ses clients, la documentation, la mise en place de bonnes pratiques de security by design pour les offres et les produits proposés par Oodrive, et la gestion des nombreux audits de sécurité. « On doit aussi répondre aux questions des clients sur les sujets de sécurité, mais sur ce plan, les certifications et qualifications qu’on a obtenues permettent déjà de faciliter la tâche ». Oodrive est en effet l’un des premiers acteurs ayant obtenu la qualification SecnumCloud, mais aussi la certification HDS, pour l’hébergement des données de santé, ainsi que la certification ISO 27001.

publicité

Mais qui en veut à Oodrive ?

Pour son RSSI, les menaces qui visent Oodrive ne sont pas différentes de celles visant le reste des entreprises : « Oodrive en tant que tel n’est pas forcément une cible. On est victimes comme tout le monde des attaques Emotet par exemple, mais pour l’instant on est relativement bien protégés. En revanche, nos clients peuvent être visés. » Oodrive est un acteur fournissant des services cloud à des entreprises du CAC 40 ou à des opérateurs d’importance vitale, des cibles bien plus attrayantes pour les cybercriminels. Dans ce contexte, Oodrive est donc une cible pour d’éventuelles attaques par rebond, où les cybercriminels s’attaquent à un fournisseur de service d’une entreprise ciblée pour parvenir plus facilement à l’attaquer.

Pour François-Xavier Vincent, les incidents qui ont le plus mobilisé ses équipes au cours des derniers mois restent les attaques menées par les opérateurs d’Emotet. « La première alerte nous a donné beaucoup de travail, parce qu’on n’avait pas les bons outils pour y répondre. Nous avons été obligés de réinstaller des postes à la main, de faire de la maintenance informatique de base. Mais il ne faut jamais gâcher une bonne crise : c’est cet incident qui nous a permis de gagner en maturité sur ces sujets », explique le RSSI.

Séparer les réseaux

Pour répondre à ces problématiques, Oodrive a fait le choix de scinder complètement le réseau d’entreprise de celui réservé aux clients : les réseaux sont séparés et administrés par des équipes différentes. « Les gens qui s’occupent de la production ont aussi de la bureautique, mais ils ont un poste séparé pour faire de l’administration sur le réseau client. C’était une exigence de Secnumcloud d’ailleurs », indique le RSSI.

Sur le réseau interne, les incidents Emotet ont été l’occasion de mieux outiller les équipes : « on a déployé un filtre e-mail assez pointu avec Proofpoint, et un EDR Crowdstrike. Ce n’est évidemment pas qu’une question d’outils, mais avant on avait les process qui nous permettaient de réagir, et maintenant on a les outils qui permettent de prévenir. Et les alertes Emotet sont bien moins inquiétantes pour nous ». François-Xavier Vincent note que des alternatives plus « souveraines » pourraient à l’avenir venir les remplacer, mais Oodrive était en phase de test avec Proofpoint lors des incidents Emotet, et le RSSI a préféré rester sur une solution déjà en place sur son système d’information.

« On utilise aussi PingCastle pour la sécurisation de l’Active Directory, c’est top. Il y a une version gratuite et les éditeurs de l’outil sont hyper réactifs, ils ont par exemple pris en compte la faille ZeroLogon en moins d’une semaine », explique le RSSI. La sécurisation de l’Active Directory est l’un des gros chantiers à venir pour Oodrive, Active Directory restant la clef de voûte de la sécurité réseaux dans de nombreuses entreprises. « Aujourd’hui, on a des scans hebdomadaires PingCastle et les gens de mon équipe sont en mesure de les analyser pour conseiller le département IT sur les améliorations à apporter », indique François Xavier Vincent.

« Sur le choix des produits, je compte beaucoup sur les échanges avec les autres RSSI pour connaître les solutions qui fonctionnent bien, et leurs prix. J’avais par exemple pu profiter d’un confrère qui avait fait un comparatif poussé des différentes solutions et qui m’avait conseillé. Ca permet de savoir combien les autres ont payé, ce qui permet ensuite d’aller voir le fournisseur en lui disant “écoutez, ça, c’est votre prix public, mais je pense que vous pouvez faire un peu mieux”. C’est tout l’intérêt d’avoir un réseau d’affinités avec les collègues. Ca fait partie des outils qui ne coûtent rien, mais qui sont essentiels pour un RSSI. »

Ne pas perdre le marché de vue

Mais plus que la sécurité de l’entreprise elle-même, c’est la sécurité des produits qui occupera la majorité du temps de l’équipe sécurité de la société. « On souhaite travailler sur les aspects security by design, parce que c’est un sujet particulièrement important chez nous. Et bien évidemment, les différents audits et certifications qui sont au programme en 2021 : EIDAS, ISO 27001 et ISO 27701, une certification qui porte sur la protection de la vie privée, mais reconnue à l’international. Il n’y a pour l’instant pas de certification qui assure de la conformité RGPD, mais ISO 27701 offre quelque chose d’assez similaire. » L’objectif reste avant tout de répondre aux demandes des clients, qui demandent des validations et des garanties sur les volets sécurité et conformité.

C’est tout l’objet de la réflexion sur la prise en compte du volet “Diffusion Restreinte” par SecNumcloud, sujet que le RSSI a notamment abordé lors d’un atelier aux Assises de la sécurité : « c’est intéressant intellectuellement de se questionner sur ces sujets, mais c’est aussi parce que l’on constate une vraie demande de la part du marché à pouvoir utiliser des informations de niveau diffusion restreinte dans le cloud. Et donc, forcément, on cherche à y répondre, parce que c’est à la fois intéressant et que ça répond à un besoin business ».

Leave a Reply

Your email address will not be published. Required fields are marked *