Mettre en place une stratégie de détection des vulnérabilités au sein d'un SI complexe, dans une structure coopérative où des infrastructures physiques sont réparties au sein de multiples magasins ou entrepôts. C'est à cette feuille de route ardue que s'est attaqué Vincent Lefret, le RSSI de U Tech, la DSI de Coopérative U, regroupant plus de 1700 magasins et employant plus de 75 000 personnes. « Une des approches possibles aurait consisté à mettre en place une micro-segmentation, mais cela nécessite de très bien connaître les flux applicatifs. Nous n'avions alors pas la maturité nécessaire », reconnaît le RSSI, qui s'exprimait lors des Assises de la sécurité (Monaco, du 9 au 11 octobre dernier). « Sans oublier la charge d'exploitation que cette solution engendre et le fait que nous nous inscrivions dans une perspective de migration cloud », reprend le responsable.

Après un prototype sans lendemain sur la micro-segmentation, U Tech se tourne alors vers une solution de NDR (network detection and response). Avec un cahier des charges précis. Notamment le besoin de contextualiser et prioriser les alertes, de limiter la charge des équipes en matière de maintien en conditions opérationnelles et, surtout, de ne créer aucun risque sur la continuité de la production. Une liste de prérequis qui conduit le distributeur à retenir la solution de détection comportementale de Vectra, testée lors d'un prototype en août 2021. L'approche de l'éditeur californien, basée sur l'analyse d'une copie des flux réseau, offre notamment des garanties quant à l'absence d'impact sur la production.

L'importance de la primo-détection

Dès janvier 2022, la solution est déployée d'abord sur les environnements centralisés de U Tech, représentant environ 10 000 adresses IP. « Cette étape nous a permis d'améliorer notre compréhension de la solution », indique Vincent Lefret. Le groupe de distribution prend alors environ deux mois pour bien déployer les sondes surveillant les flux réseau de ses systèmes centralisés. En juillet 2023, Vectra s'étend aux points de vente, soit quelque 37 000 adresses IP. Ce qui permet à la DSI d'améliorer sa connaissance des environnements IT déployés en magasins. Puis, en juillet dernier, l'entreprise migre sa console Vectra vers le cloud, une option qu'il avait écartée dans un premier temps. Enfin, dès novembre 2024, le NDR doit également couvrir les entrepôts U, portant le total des adresses IP couvertes à 50 000.

« La solution nous offre une meilleure visibilité sur les comportements malveillants, assure Vincent Lefret. Sur des cas d'intrusion avérée, c'est de Vectra qu'a émané la primo-détection. Idem lors des tests d'intrusion de notre Red Team. Or, la rapidité de détection est une problématique majeure dans les entreprises », souligne le RSSI. Les alertes issues de Vectra sont d'ailleurs intégrées au SOC managé qui surveille les environnements du retailer.

S'adapter au move-to-cloud

Selon le RSSI, l'installation du NDR a également permis d'apporter davantage de visibilité sur le shadow IT ou les équipements exotiques parfois déployés en magasin ou en entrepôt. Ou encore de détecter des erreurs de configuration passées jusqu'alors inaperçues. « C'est un complément indispensable à l'EDR, la corrélation entre les deux fonctionne très bien », relève Vincent Lefret.

Comme nombre de ses concurrents, le distributeur a entamé un virage vers le cloud (GCP en l'occurrence). « L'enjeu concernant le NDR consistera à conserver la même capacité de détection avec cette évolution », souligne le RSSI. Ce dernier envisage aussi d'exporter les metadonnées stockées dans le cloud de Vectra, pour les corréler et produire des analyses plus poussées. « La consolidation des métadonnées est un réel enjeu pour les RSSI », prévient-il.