Gecina micro-segmente son SI avec Illumio

Afin de renforcer la sécurité de son informatique interne, le groupe immobilier Gecina a fait le choix de la solution de micro-segmentation d’Illumio pour aller vers un modèle « zero trust ». Un choix initialement destiné à ses serveurs et qui va s’étendre en 2024 à l’ensemble des endpoints de l’entreprise.

Soucieuse d’accroître le niveau de sécurité de ses serveurs, la société d’investissement immobilier Gecina a cherché à mettre en place, en 2023, une solution de micro-segmentation. « Notre volonté était de contrer les mouvements latéraux des attaquants et de réduire notre risque face à ces mouvements est-ouest potentiels », explique Joël Robin, directeur infrastructure et production informatique.

Cette initiative s’inscrit dans une démarche zero trust de la DSI. Le parc serveurs de Gecina se compose d’environ 300 machines virtuelles sous Windows et Linux avec des serveurs dédiés aux applicatifs, aux bases de données et à l’infrastructure. L’entreprise avait remplacé son infrastructure interne VMware par la solution hyperconvergente de Nutanix il y a six ans. Ne trouvant pas de solution de micro-segmentation satisfaisante au catalogue de Nutanix, le responsable s’est intéressé à la solution d’Illumio. Son absence d’impact sur les performances des machines et sa simplicité de gestion avec une bonne stratégie de labelling l’ont convaincu lors d’un POC.

Pour le directeur des infrastructures, la grande force de l’approche de micro-segmentation mise au point par Illumio est de s’appuyer sur un agent logiciel qui assure la segmentation de l’ensemble des accès à la machine sans se placer en coupure sur le trafic réseau. Le logiciel se contente de piloter le firewall natif du serveur. Cette approche ne vient pas ajouter de surcharge de traitement ou de latence réseau aux serveurs et toutes les règles générées automatiquement par l’agent sont aussi remontées au niveau d’un portail. « Cette centralisation nous permet d’avoir une visibilité complète sur l’ensemble des règles déployées sur tous les serveurs. Lorsqu’on gère un parc de 300 serveurs, cela peut rapidement être compliqué de voir quelles machines dialoguent avec tel serveur. Les flux partent généralement dans tous les sens. Avec ce portail, on peut visualiser l’ensemble des liens entre machines, les regrouper par labels et effectuer un drill down jusqu’au niveau d’un serveur précis pour accéder à sa liste de règles de filtrage. »

Cotée sur Euronext Paris, Gecina compte près de 500 personnes. Composé de 300 serveurs, son système d’information est 100 % on-premise.

Pour chaque serveur, une matrice de tous les flux légitimes est donc établie, puis directement implémentée dans l’outil Illumio. « Cette approche correspond bien aux concepts du zero trust puisque chaque machine ne peut faire plus que ce que l’on a défini au départ. Tous les ports inutilisés sont bloqués par défaut, commente Joël Robin, C’est un préalable indispensable pour ensuite aller vers le modèle zero trust. »

Un déploiement mené en interne

Le projet a été mené en direct avec Illumio, l’intégrateur pressenti pour le déploiement n’ayant pas encore formé son personnel sur cette solution encore récente dans l’Hexagone. Le déploiement a été initié au premier trimestre 2023 en exploitant au maximum la notion de label afin de regrouper les VM selon leur environnement et leur nature. L’agent Illumio a rapidement été déployé sur tous les serveurs en mode « visibility ».
Dans ce mode, l’agent se contente de remonter à la console d’administration les informations relatives aux flux réseaux qu’il voit, mais ne bloque rien. L’équipe a pu s’appuyer sur les matrices de flux existantes et vérifier que ce que l’outil détectait était bien conforme.

Pour les applications plus anciennes, l’outil a permis de mettre à jour, voire de créer ces matrices et enrichir la documentation. « Nous avons travaillé avec les chefs de projet métiers de la DSI pour valider les flux légitimes. Ce n’est que dans un second temps que les agents ont été basculés dans le mode “full enforcement” qui permet de filtrer les flux inconnus. »
L’équipe projet a démarré par les environnements de recette et vérifié qu’il n’y avait pas d’effet de bord. Une fois le bon fonctionnement validé sur ces environnements, la même approche a été appliquée aux serveurs de production. « Nous l’avons fait du coup avec une certaine sérénité. De plus, nous avions la capacité de repasser en mode “visibility” d’un seul clic si une anomalie était remontée par les utilisateurs. »

L’importance de bien catégoriser les machines

Toute la difficulté du déploiement de la micro-segmentation via un agent de type Illumio porte sur le choix des labels les plus pertinents qui sont affectés aux serveurs. Ces labels permettent ensuite de regrouper les VM et donc de réduire le nombre d’actions à réaliser lorsqu’on souhaite modifier les accès ou la micro-segmentation du parc. « Un label environnement, par exemple, sépare nos machines de recette des machines de production, explique Joël Robin. Cela permet ensuite de créer une règle générale et de définir un comportement par défaut pour toutes les machines dont le label est recette, qui ne peuvent pas communiquer avec les machines classées en production. »
Cette règle s’applique à toutes les VM, ce qui évite d’avoir à écrire une règle pour chaque machine.

L’équipe projet a ajouté un label baptisé Normal qui indique que l’environnement d’exécution est normal. Si un jour l’entreprise venait à être attaquée par un ransomware, retirer ce label entraînera immédiatement l’isolation de toutes les machines. « Les serveurs resteront en fonctionnement, ce qui permettra aux équipes forensic d’analyser la menace. Par contre, plus aucun échange de données ne sera possible. »

Une micro-segmentation jusqu’au poste de travail

Cet usage des labels a permis à Joël Robin de doter le système d’information d’un bouton d’urgence pour isoler instantanément toutes les machines en cas d’attaque. Ce principe sera répliqué sur les stations de travail, car l’agent va être désormais déployé sur tous les postes utilisateurs de l’entreprise. En effet, le succès du déploiement sur les serveurs, achevé fin 2023, a poussé Gecina à acheter de nouvelles licences pour élargir la micro-segmentation à l’ensemble de ses endpoints. Tous les collaborateurs sont équipés d’ordinateurs portables et peuvent potentiellement se connecter au bureau, chez eux ou sur des points Wi-Fi publics. L’idée est de protéger au maximum ces laptops et de ne laisser circuler que les flux légitimes. « L’agent Illumio va piloter le firewall avec un jeu de règles lorsque le poste est connecté sur le réseau interne et un autre jeu plus restrictif lorsque le poste se connecte de l’extérieur. »

Sur ces postes, la micro-segmentation se pose en complément de l’agent EDR dont le traitement des nombreuses alertes peut s’avérer extrêmement chronophage. En bloquant les flux en amont, Illumio va réduire le nombre d’alertes et éliminer de nombreux faux positifs. Un premier test a été mené sur une quinzaine de machines afin de détecter d’éventuels effets de bord, et cette mesure sera élargie dans le courant de l’année 2024.

Le projet en Chiffres

300 serveurs disposent d’un agent logiciel

500 postes clients prévus en 2024

L’entreprise Gecina

Activité : Société immobilière
Effectif : 478 collaborateurs
CA (loyers bruts) : 626 M€ (2022)

À LIRE AUSSI :

Secu

Strong Network sécurise le développement collaboratif

Marie Varandat

5 Fév

À LIRE AUSSI :

Green IT

La société de la Tour Eiffel fait confiance à Sextant pour optimiser son efficacité énergétique

Marie Varandat

22 Juin

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !