Sarpi Veolia sécurise sa bascule dans le cloud avec Barracuda

La transformation numérique des grandes entreprises industrielles pose d’importants défis en termes de connectivité et de cybersécurité. Sarpi Veolia a réussi cette bascule en maîtrisant les risques liés à cette période de transition.

La migration vers le cloud est une période sensible, car elle expose les entreprises à un ensemble de risques accrus, à la fois sur le plan technique, organisationnel et sécuritaire. Ce moment charnière, qui implique une transformation des infrastructures et des processus, représente une fenêtre d’opportunités idéale pour les cybercriminels, mais aussi un défi interne en matière de gouvernance et de gestion du changement. Ceci est en particulier vrai pour les entreprises opérant dans des secteurs critiques : la transition de Sarpi Veolia, une filiale de Veolia spécialisée dans la gestion des déchets dangereux, vers une architecture « zero datacenter » en est un exemple.

Avant sa migration, Sarpi Veolia s’appuyait sur une infrastructure MPLS. « On était, un peu comme toutes les grandes entreprises, connectés en MPLS, ce qui impliquait une dépendance à un opérateur unique pour l’interconnexion des sites », explique Eddy Édouard, responsable cybersécurité et réseau chez Sarpi Veolia. Cette contrainte devenait problématique pour connecter 110 sites répartis en France et en Europe, souvent isolés du fait de la nature même de l’activité. « La transition du MPLS vers le SD-WAN n’était pas seulement motivée par un besoin de connectivité plus flexible, mais aussi par des exigences de sécurité accrues, permettant une meilleure isolation des sites en cas d’incident. »
En clair, l’entreprise ne pouvait se contenter d’une simple évolution technologique : il lui fallait une véritable refonte de son architecture globale.

Les hackers visent les fragilités inhérentes aux migrations

L’abandon progressif de ses centres de données physiques a donc traduit la dynamique globale de transformation numérique de l’entreprise. Mais elle a aussi ouvert une période de vulnérabilité accrue, avec des infrastructures et des applications en pleine reconfiguration. Les équipes informatiques devaient sans cesse arbitrer entre la continuité des opérations et la sécurisation d’environnements hybrides encore en construction.
Sarpi Veolia, en exposant davantage de services en ligne, a vu une recrudescence d’attaques, notamment des tentatives de force brute, des attaques DDoS et des injections SQL. Les cybercriminels sont en effet tout à fait conscients des fragilités inhérentes aux migrations, qui ouvrent des fenêtres d’opportunités pour mener des campagnes offensives ciblées.

La filiale Sarpi du groupe Veolia dispose de plus de cent sites industriels. Lors de leur migration vers une architecture SDWan, elle a dû faire face à de nombreuses attaques et se protéger dans cette période avec une stratégie cyber adaptée.

Du fait de son activité, Sarpi Veolia est soumise à des normes environnementales strictes. L’entreprise évolue dans un contexte industriel où la sécurité physique (contrôle des accès aux sites, dispositifs de confinement, procédures de traçabilité) constitue une obligation historique. Elle gère des équipements toujours plus automatisés : capteurs connectés, automates programmables, systèmes de supervision (SCADA). Or, ces dispositifs, indispensables au respect des normes écologiques et sanitaires, n’avaient pas été initialement conçus pour faire face à des menaces informatiques complexes. L’essor de la connectivité et la convergence des technologies opérationnelles (OT) et informatiques (IT) ont considérablement augmenté la surface d’attaque potentielle.

Le choix de Sarpi Veolia de s’appuyer dès le début de ses migrations sur la solution Barracuda Application Protection, un pare-feu en mode SaaS, a heureusement permis non seulement de filtrer et de bloquer les tentatives d’intrusion, mais aussi d’apporter une visibilité sur l’état des menaces. Cette approche montre qu’une stratégie de sécurité anticipée permet de minimiser les risques. « Elle illustre les défis et les opportunités liés à la cybersécurité dans un tel projet », explique Eddy Édouard.

Historiquement reconnue pour la sécurisation de la messagerie d’entreprise, Barracuda s’est diversifiée pour couvrir l’ensemble du périmètre cybersécuritaire : pare-feu de nouvelle génération, protection dans le cloud, filtrage d’applications, etc. Lorsque Sarpi Veolia a décidé de moderniser son dispositif de protection, l’éditeur l’a d’abord accompagné dans l’analyse des risques et des vulnérabilités de son réseau.

L’une des priorités a été la segmentation des réseaux industriels et bureautiques : cette barrière évite qu’un incident sur ce second réseau ne se propage vers les automates industriels. En parallèle, l’entreprise a revu sa politique de messagerie, sachant que 90 % des attaques commencent par un courriel piégé. Pour renforcer sa résilience, une stratégie de sauvegarde externalisée a été déployée sur des solutions hébergées dans le cloud pour disposer de copies délocalisées des données. Enfin, une composante essentielle a été la formation du personnel afin de « réduire significativement le nombre de clics sur des liens malveillants » et de sensibiliser chacun aux bonnes pratiques.

Un accompagnement de bout en bout

De fait, l’architecture mise en place repose d’abord sur la protection de la messagerie électronique. Un pare-feu de nouvelle génération assure ensuite la segmentation réseau (IT, OT, sites distants). Enfin, une solution de sauvegarde automatisée permet de limiter l’impact d’un rançongiciel et de garantir une reprise rapide de l’activité.

Pour des entreprises industrielles comparables, l’exemple de Sarpi Veolia apporte des enseignements. D’abord, que le choix d’une approche « zero datacenter » doit être adapté au contexte et progressif. Ensuite, l’intérêt d’un accompagnement de bout en bout par un fournisseur de sécurité. Ce partenariat facilite l’ajustement permanent des règles de protection et la réaction rapide en cas d’incident. Enfin, qu’il faut impliquer le top management dans la démarche, afin que la cybersécurité ne soit plus considérée comme un poste de coût, mais comme un investissement stratégique.

Environ un an après sa migration, Sarpi Veolia a observé « un net recul des tentatives d’hameçonnage ciblé », et un meilleur filtrage des menaces via le parefeu. « Nous restons conscients qu’aucune sécurité n’est infaillible, mais nous avons énormément gagné en résilience et en rapidité de reprise d’activité », souligne Eddy Édouard. Sarpi Veolia évoque le chiffre de 400 000 tentatives d’attaque bloquées par le WAF Barracuda, dont 70 000 ciblaient l’extranet client.

Le projet en Chiffres

110 sites redéployés sur le SD-Wan

400 000 attaques bloquées par le WAF

L’entreprise Sarpi Veolia

Activité : Traitement et valorisation des déchets
Effectif : 4 000 collaborateurs
CA : NC

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !