Rubrik, l’assurance cybersécurité de Verspieren

Le courtier en assurance Verspieren a renforcé sa résilience en modernisant sa protection des données. La plateforme Rubrik Security Cloud a été choisie pour assurer la sauvegarde des données on-premise et cloud de l’entreprise, notamment pour ses capacités cyber avancées.

Comme pour de nombreuses entreprises, la crise du Covid et l’essor du télétravail sont venus rebattre les cartes en termes de cybersécurité chez le courtier en assurances. La multiplication des attaques de ransomwares lors de cette période a alors poussé Steve Hocque, récemment nommé RSSI, à remettre la cybersécurité de Verspieren à plat : « Le télétravail a introduit de nouveaux risques et, en 2021, je me suis penché sur les forces et faiblesses de notre SI. Il est rapidement apparu que le risque d’attaque par ransomware était le plus élevé. Nous devions absolument nous mettre en conditions pour pouvoir continuer à délivrer nos services même si notre SI était immobilisé par un cryptolocker. »

Créé en 1880, le courtier en assurance est aujourd’hui l’un des principaux acteurs du marché, avec la particularité d’être un groupe à capital familial. De manière assez classique dans le secteur, le système d’information repose à 80 % sur un mainframe propriétaire autour duquel gravitent des progiciels qui sont venus s’ajouter au fil des années. « Nous travaillons aujourd’hui à la plateformisation de ce SI monolithique afin d’aller vers plus d’interopérabilité et d’ouverture dans un cadre sécurisé », résume Pascal Wronski, recruté en tant que DOSI en mai 2020.
Sa mission était alors de regrouper sous un comité de direction unique la DSI, le digital et la data. « Nous sommes passés de directions silotées à une organisation plus transverse. »
Un schéma directeur a été élaboré en 2021 afin d’établir une vision stratégique et définir une architecture cible.

La sauvegarde, une composante cyber trop souvent négligée

La démarche cyber est venue se greffer assez naturellement à cet effort de modernisation. Plusieurs initiatives ont été lancées, notamment vers une meilleure sécurisation du poste de travail, mais aussi sur un axe souvent négligé, celui de la sauvegarde et la restauration des données. « Nous disposions d’une solution de sauvegarde fiable pour faire face aux risques physiques classiques comme la perte de fichiers, d’un serveur ou même d’un datacenter. Cette solution était sécurisée de manière périmétrique, mais ne constituait pas une solution de sécurité en tant que telle. »

Le responsable lance alors une large consultation pour trouver une réponse intégrant pleinement cette dimension cyber. Quatre exigences sont fixées par le RSSI : la solution doit être insensible aux ransomwares grâce à l’immuabilité des données, toutes les données doivent être chiffrées pour éviter toute exfiltration, la solution doit respecter la règle des 3 2 1 et celle-ci doit se conformer à l’approche zero trust ; l’authentification forte est la règle et toute action critique doit être réalisée à quatre mains.

Courtier en assurance, le groupe Verspieren est présent dans la couverture des risques d’entreprise, les assurances de personnes, professionnels ou particuliers.

Parmi la dizaine d’offres reçues, trois sont sélectionnées et testées : une évolution de la solution Veeam déjà en place avec des baies de stockage Huawei, la solution Cyber Recovery de Dell et enfin Rubrik présentée par son partenaire Scasicomp.

« L’avantage de l’offre Rubrik était d’être bien packagée, avec une console unique pour les sauvegardes de nos données on-premise, les données cloud et une gestion de la cyber intégrée » justifie le responsable.

La première approche impliquait l’installation de serveurs, donc laissait la charge du MCO et du maintien en conditions de sécurité à l’entreprise. La seconde, portée par un OS, était par nature vulnérable aux attaques sur cet OS.

Au contraire, « avec une solution packagée telle que Rubrik, nous assurons le MCO, mais c’est le fournisseur qui est responsable du MCS. »

Un sanctuaire de données à trois niveaux

Baptisée Sanctuaire, la plateforme assure la protection des bases de données, des fichiers bureautiques et des serveurs du groupe. « Nous avons profité du projet pour nous questionner quant à la criticité des données et rédiger des SLA très simples, avec des engagements sur les cycles de sauvegarde et les périodes de détention, et des durées de rétention différentes selon la nature des données. »

« Si nous faisons tout pour éviter une cyberattaque, on ne peut jamais être sûr à 100 % d’y parvenir, et nous devions nous assurer d’assurer notre résilience si jamais celle-ci survient un jour. »
Pascal Wronski
Directeur de l’organisation et des systèmes d’information

Ce sanctuaire est architecturé en trois niveaux et, en fonction de la criticité de la donnée, celle-ci est sauvée sur le niveau 1, puis dupliquée sur un niveau 2 qui n’est pas directement connecté au réseau interne. À l’issue de sa période de rétention, les données passent ensuite au niveau 3 du sanctuaire qui est off line, isolé par un « air gap ». Cette isolation physique empêche toute tentative d’accès par un éventuel attaquant. « La sauvegarde quotidienne est réalisée sur le premier niveau, précise Steve Hocque. Elle permet aux équipes support d’effectuer facilement et rapidement des restaurations de données. Une fois que ces données ne sont plus utiles, elles basculent au niveau 2 qui correspond à un usage de type disaster recovery. Enfin, lorsque la période de rétention est atteinte, elles basculent dans le sanctuaire dédié à l’archivage. »

Outre les données on-premise, celles de la plateforme bureautique du groupe, Microsoft 365, sont elles aussi sauvegardées dans le sanctuaire Rubrik, de même que celles de la plateforme Jira des équipes DevOps et celles de Salesforce.com.

« Même si, à la base, il s’agit d’une solution on-premise, l’interface d’administration RSC (Rubrik Security Cloud) est capable de gérer autant des ressources on-premise que des services cloud. Dans une seule console, nous disposons de la visibilité de l’intégralité de nos ressources sauvegardées et donc de la capacité à les restaurer, même si notre SI est immobilisé par une attaque. »

La console délivre aussi des éléments de cybersécurité comme la détection d’éventuels mouvements anormaux sur les données, des données sensibles avec des droits d’accès incohérents ou encore des activités potentiellement malveillantes sur certaines d’entre elles. « Tout est centralisé dans un même outil dont l’accès est partagé entre les équipes opérationnelles, les équipes de support et l’équipe cyber afin que chacun soit partie prenante dans la protection de nos données », ajoute le RSSI.

La sécurité de la plateforme a été éprouvée d’une part avec un prestataire spécialisé dans la simulation d’attaques par ransomware. D’autre part, la plateforme Rubrik a été intégrée dans les tests d’intrusion annuels menés sur le SI Verspieren. « Jusqu’à présent, les pentesters qui participent à ce test ne sont jamais parvenus à atteindre notre sanctuaire, et c’est une grande fierté pour nous ! » conclut Steve Hocque.

---

Le projet en Chiffres

400 serveurs virtuels

100 To de données on-premise à sauvegarder

40 To de données dans Microsoft 365

3 niveaux de sauvegarde

À LIRE AUSSI :

@Work

Verspieren assure sur la relation client

Patrick Brébion

24 Sep

À LIRE AUSSI :

Data / IA

« Le rôle de Rubrik est de s’assurer de délivrer les bonnes données au bon utilisateur, au bon moment, sur la bonne plateforme et sur la bonne durée. »

La rédaction

12 Mar