Migrer d'une solution on-premise vers Elements Cloud

Julien C. : Bonjour Patrick Royer, pouvez-vous vous présenter ?

Patrick R. : Bonjour Julien, Je m’appelle Patrick Royer, Responsable du Service Informatique Régional de l'Enseignement Catholique de Bretagne, autrement dit, le CAEC SI. Nous sommes présents dans les quatre départements bretons, à savoir les départements 22, 29, 35 et 56. L’Enseignement Catholique de Bretagne représente un vaste réseau de 1 000 établissements, dont environ 800 écoles. 42% des élèves de ses départements sont scolarisés dans notre réseau d’établissements.

Julien C. : Quel est le rôle du CAEC SI ?

Patrick R. : Notre rôle est principalement un rôle d’accompagnement et d’aide à la mise en place d’outils partagés entre les établissements, auprès des directions des établissements. Nous intervenons sur l’administration d’une plateforme Microsoft 365 et nous veillons également à la sécurité des outils et des accès qui vont être mis en place pour accéder à cette plateforme.
Un de nos autres rôles est de trouver, proposer ou prescrire des solutions auprès des établissements pour qu’ils renforcent leur posture de sécurité. Tout ça dans un contexte qui est, aujourd’hui, de plus en plus sensible dû à une croissance significative des cyberattaques.

Julien C. : Vous avez changé votre solution de protection endpoint en 2023, c'est bien cela ?

Patrick R. : Nous avons été contraints de changer de solution à cause notamment de l’actualité internationale. L’éditeur que nous avions déjà en place a été écarté de tous les appels d'offres et de tous les contrats ministériels. Nous avons donc dû anticiper cet abandon et ce passage à un nouveau produit avec une problématique qui est spécifique à notre fonctionnement. En effet, nous n'administrons pas directement les établissements, mais nous les accompagnons.

Nous avions la volonté d'abandonner les solutions on-premise ou de type serveur virtualisé pour des solutions cloud, du fait de la taille de notre service informatique. Nous recherchions une solution si possible européenne, conforme au Règlement Général sur la Protection des Données (RGPD), facile à administrer et permettant de gérer les correctifs, c’est d’ailleurs ce dernier critère qui a été déterminant dans le choix final. 

Le Patch Management, autrement dit la gestion des correctifs, permet de déployer les mises à jour logicielles et systèmes, directement sur les postes des usagers. Cela est pour nous, indispensable. Si nous avions gardé un anti-virus classique, nous ne disposerions pas de cette fonctionnalité.

La sécurité ce n’est pas à un simple antivirus ! C'est tout un ensemble de bonnes pratiques qui commencent par la mise à jour de son poste de travail, de ses périphériques et des appareils mobiles (smartphones et tablettes). 

Julien C. : Vous avez donc cherché des fonctionnalités typiques d'un EPP et pas uniquement un simple antivirus, c'est bien cela ?

Patrick R. : Tout à fait et la notion de prix a aussi été déterminante. Bien que la migration représente une étape critique en termes de sécurité, nous savions que nous amenions un produit à forte valeur ajoutée.

Julien C. : Si je résume vos critères de sélection hormis le prix, il y avait cet aspect de console full cloud et des fonctionnalités plus riche qu'un simple anti-malware, avec du Patch Management et d'autres fonctionnalités supplémentaires. L'aspect délégation multi-établissements a-t-il aussi fait partie de vos critères ?

Patrick R. : Nous l'avions déjà avec le précédent éditeur. Nous avions construit toute une machinerie nous-mêmes avec nos serveurs centraux. Cela n’a donc pas été apporté par la migration, mais la solution de WithSecure est nativement conçue pour. 

Aujourd’hui, nous disposons d’une console régionale avec une entrée régionale pour le CAEC SI et une entrée indépendante pour chaque établissement qui peut gérer seul ou avec un prestataire. L’administration se fait en bonne intelligence. Ce mode de fonctionnement nous permet d’apporter notre aide quand il y a le feu. Cela permet de pallier le manque d’expertise ou de ressources de certains établissements.

Nous n’avons pas la volonté hégémonique de tout contrôler. Notre but est plutôt d'aider les établissements disposant de peu de moyens ou de peu de compétences. Le métier de RSSI est, aujourd’hui, de plus en plus complexe.

Julien C. : Cet aspect de console multi-tenant qui vous permet d'assister les autres établissements, c'est quelque chose que vous avez retrouvé en passant de Kaspersky à WithSecure dans une console full SaaS. Du coup, vous avez arrêtez toute votre infrastructure liée à Kaspersky ?

Patrick R. : Oui, clairement. Nous avons fait une énorme économie d'hébergement serveur dans Microsoft Azure, pour ne pas le cacher. C'est donc aussi un élément important dans la décision de prendre ce produit.

Julien C. : En démantelant cette infrastructure on-premise, vous avez donc réalisé des économies.

Patrick R. : Ce que nous avons pu économiser, nous ne l'avons pas forcément réinvesti dans le même sujet, mais je garde ce budget en tête. Je pense effectivement qu'il y a d'autres actions que nous pourrions mener, à l’image de ce que nous avons pu apporter avec le patch management. Une solution Endpoint Detection & Response (EDR) ou une action de sensibilisation sont des exemples d’actions que nous pourrions mettre en place à l’avenir.

Julien C. : Une autre façon de déployer le budget pour aller toucher les utilisateurs au plus près.

Patrick R. : Oui, tout à fait. Encore une fois, la sécurité ne se résume pas à un antivirus. L'antivirus seul, ne sert pas à grand chose.

Julien C. : Vous aviez une solution on-premise, c'est-à-dire avec plusieurs campagnes de mise à jour par an. Vous rappelez-vous, à peu près, combien de campagnes de mise à jour vous faisiez ?

Patrick R. : De mémoire, c'était certainement une dizaine ou une douzaine à l'année.

Julien C. : Cela représente un coût caché. Dans une solution SaaS, la solution et le portail est auto-maintenu par l'éditeur.  Les mises à jour sont aussi poussées par l'éditeur, y voyez-vous un bénéfice aujourd'hui ?

Patrick R. : Effectivement, auparavant le temps d’administration de la console était important. Pousser des nouvelles versions auprès des endpoints, représentait une opération lourde. Ce n’était pas une opération dangereuse mais quand même sensible, il ne fallait pas faire n’importe quoi. De plus, il faut une équipe technique ayant les compétences de faire ça, mais ce n'est pas notre job.

Julien C. : Cela fait un peu plus d'un an que CAEC SI est client de WithSecure, qu'attendez-vous de WithSecure ?

Patrick R. : Cela a déjà été initié mais la proximité est un atout majeur de WithSecure. Avoir un interlocuteur physique qui peut répondre à vos questions est très important pour nous. WithSecure dispose d’une équipe régionale qui travaille en étroite collaboration avec des grands comptes et des grandes administrations, comme la nôtre. Cette notion de proximité à consolidé notre choix. Je serais preneur d'un nouveau service ou d'un complément d’aide avec des indicateurs.

Julien C. : Si je comprends bien, vous souhaiteriez être un peu plus prédictif et capable d'anticiper une crise potentielle.

Patrick R. : Oui, tout à fait. Avec cette console, nous pouvons clairement identifier tous les serveurs Exchange qui ne sont pas à jour. Nous sommes donc capables de créer une alerte assez rapidement qui permette de déclencher une action. 

Julien C. : De quoi faire une sorte de CERT au-dessus de votre infrastructure orientée client ?

Patrick R. : On va dire un mini CERT, à notre portée. Il ne s'agit pas de créer une cellule de cybersécurité à l'échelle de ce qu'on peut voir dans certaines grandes administrations. 

Julien C. : J'ai une bonne nouvelle pour vous, car tout ce que vous me demandez, arrivera très prochainement, cela s'appelle la gestion de la surface d'exposition (Exposure Management). 

Avec cette solution vous pourrez identifier vos utilisateurs, les utilisateurs qui potentiellement pourraient être administrateurs, les utilisateurs qui ont potentiellement un MFA désactivé. On sait potentiellement les applications qui sont installées sur vos postes, vos noms de domaine, vos plages d'adresse IP publique. Avec tout cela, on est capable de prendre la position du CERT, qui va faire une veille, mais aussi potentiellement la position d'un attaquant. La question est de savoir ce qu’un attaquant peut voir de vous et comment vous pouvez vous en prémunir.