Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le Groupe Rocher adosse la sécurité de ses sites internet aux services de sécurité managés d’Intrinsec

mars 2015 par Marc Jacob

Aujourd’hui intégré au tableau de bord de la DSI, le suivi des vulnérabilités
réalisé par le SOC Intrinsec permet à l’équipe sécurité du Groupe Rocher
d’identifier et de corriger des failles qui auraient pu se révéler critiques.

Un objectif : systématiser et globaliser les tests de vulnérabilités

Avec plus de 55 ans d’existence, le pionnier de la cosmétique végétale compte
aujourd’hui plus d’une centaine de sites web, ainsi qu’une cinquantaine de points
d’accès internet : les sites institutionnels des marques, mais aussi des sites
événementiels, des extranets du Groupe, ainsi que les sites de e-commerce,
particulièrement sensibles.

Un environnement critique et conséquent que le RSSI du Groupe, Eric de Bernouis, a
tenu à soumettre à des tests de vulnérabilités de manière régulière : « nous avions
déjà mis en place quelques tests, mais de manière ponctuelle et pas nécessairement
sur l’ensemble des sites à chaque fois. Nous avons souhaité en 2013 systématiser
cette démarche et mettre en place régulièrement des tests, à une fréquence
périodique », explique-t-il.

L’organisation sécurité du Groupe Rocher au niveau monde, malgré sa taille, ne peut
pas prendre en charge cette mission opérationnelle et doit se concentrer sur la
liaison avec les métiers et les thématiques régionales. Eric de Bernouis décide donc
de faire appel à un prestataire extérieur. Toutefois, bien que le Groupe soit
habitué à externaliser une partie de ses services informatiques, il s’agissait là
d’une mission de sécurité critique, pour laquelle il était fondamental de choisir un
partenaire de confiance et nécessaire de disposer de fortes garanties en termes
d’expertise.

Intrinsec : un choix qui s’est imposé

Après un appel d’offres lancé en 2013, Intrinsec est choisi pour assurer cette
mission. Un choix clair et évident, comme l’explique le RSSI : « dès le début et la
réalisation d’un POC, la solution technique proposée par Intrinsec a été validée.
Quant à leurs capacités à prendre en charge ce type de prestation, avec des
livrables précis et une démarche rodée, nous avons été très rapidement rassurés.

Les
certifications pointues qu’ils ont obtenues en matière de sécurité, ainsi qu’une
totale transparence de leurs activités et de leur manière de fonctionner ont achevé
de nous convaincre ».

La solution mise en place depuis plusieurs mois prévoit des analyses sur tous les
sites internet du Groupe, plusieurs fois par an. Après chaque campagne d’analyse,
Intrinsec livre des synthèses et rapports, mettant en avant les risques et
évolutions, et présentant surtout des recommandations conceptualisées et pertinentes
 : « grâce à cette solution et à leur expertise, Intrinsec nous a permis d’identifier
et de corriger des failles qui auraient pu se révéler critiques », se réjouit Eric
de Bernouis.

Le Groupe Rocher peut accéder en permanence aux résultats via un portail, et
interagir avec son plan d’action pour améliorer le scoring de sécurité et informer
le SOC Intrinsec de l’avancement, informations prises en compte dans les analyses.

« Ce portail et la dimension industrielle de la solution permettent à l’équipe
sécurité d’avoir une visibilité globale et complète de la sécurité de l’ensemble des
sites du Groupe », ajoute Nicolas Loyer, responsable de la mission chez Intrinsec.

Des tests sont également appliqués de manière ponctuelle, à la demande, pour tester
par exemple une évolution avant sa publication.

Evolutions de la démarche : tests d’intrusion et cyber threat intelligence
Aujourd’hui, après seulement quelques mois de mise en place, la gestion des
vulnérabilités a été intégrée au tableau de bord de la DSI comme un indicateur clé
et est devenu un réel attendu par la direction.

« Au-delà de leurs compétences, indéniables, nous apprécions particulièrement la
disponibilité et la réactivité des équipes Intrinsec. Ils ne sont pas bloqués dans
des processus et des cadres de mission immuables. Ils évoluent avec nous et avec nos
besoins, voire même les anticipent. Une vraie confiance s’est aujourd’hui installée
 », conclut Eric de Bernouis.

Cette montée en maturité a également permis d’élargir les perspectives et de
renforcer le dispositif de sécurité par des tests d’intrusion et un service managé
de surveillance des menaces externes via le CERT-Intrinsec (détection de
compromission, de fuites d’informations, …)


Voir les articles précédents

    

Voir les articles suivants