D'une entreprise familiale spécialisée dans le recyclage, née dans les années 90 de la reprise d'une PME à La Courneuve, Paprec est aujourd'hui devenu un groupe de 13 000 personnes, réalisant plus de 2,5 Md€ de chiffre d'affaires. Une croissance, notamment marquée par des rachats, que Pierre Salavera, le responsable sécurité et architecture des systèmes d'information de Paprec présent dans l'entreprise depuis 2012, a pu vivre et qui s'est accompagnée, plus récemment, d'un renforcement de la priorité accordée à la cybersécurité. « Les budgets cybersécurité sont en augmentation depuis trois ans », explique celui qui est devenu RSSI du groupe depuis environ 5 ans. Cette mise à niveau permet aussi au spécialiste du recyclage de préparer l'entrée en vigueur de NIS2, une directive européenne qui doit être transposée en droit français au plus tard en octobre 2024 et qui étend la liste des organisations visées par des obligations en matière de cybersécurité, du fait de leur activité jugée clef pour le fonctionnement de la société. Une extension de périmètre dans lequel tombe Paprec.

« Cette directive ne changera pas tant de choses que cela pour nous, car de nombreux sujets ont déjà été couverts dans le cadre de notre approche par les risques », indique Pierre Salavera. Dont celui des identités et de la gestion des comptes à privilège. C'est d'ailleurs par ce dernier volet que le groupe a choisi de démarrer ce chantier de la sécurisation des accès aux systèmes d'information, en déployant en trois mois la solution dédiée de l'éditeur américain Delinea, couplée à la mise en place d'une authentification multifacteurs (MFA). « Sur l'IT, soit environ 120 personnes, la mise à niveau est presque terminée, explique Pierre Salavera, rencontré lors des Assises de la sécurité 2023 (Monaco, du 11 au 13 octobre). C'est un peu plus difficile avec les développeurs, qui ont des besoins très spécifiques. » Ce galop d'essai doit ensuite servir à la généralisation du MFA à tous les utilisateurs, prévue pour fin 2023 ou début 2024. « Car les retours d'expérience montrent que les assaillants commencent par récupérer les droits d'un compte mineur avant de tenter une élévation de privilèges », observe le RSSI.

Comptes de services, là où résident les complexités

Aujourd'hui déployée en SaaS, la gouvernance des comptes à privilèges va prochainement être doublée par une petite infrastructure on-premise, couvrant le risque d'une perte du lien réseau vers le cloud. Elle couvre pour l'heure les collaborateurs internes à la DSI, mais doit prochainement s'étendre aux prestataires et aux comptes de services, émanant de machines. « Les prestataires sont peu nombreux et bénéficient de faibles privilèges chez nous, balaie Pierre Salavera. Concernant les comptes de services, s'ils sont en nombre restreint - moins de 50 -, ils sont aussi largement utilisés et embarquent un certain nombre de complexités. Nous estimons qu'il faudra un an à 18 mois pour traiter la question. »


Pierre Salavera, le responsable sécurité et architecture des systèmes d'information de Paprec : « les assaillants commencent par récupérer les droits d'un compte mineur avant de tenter une élévation de privilèges ». (Photo : R.F.)

Choisie pour sa rapidité de déploiement, mais aussi pour son ergonomie, la solution de PAM permet aux administrateurs de travailler comme auparavant, une fois passée la phase d'authentification (dans un navigateur ou via un client lourd, au choix). Côté administration, le PAM permet d'enregistrer toutes les actions sur les serveurs sous forme de vidéo, ce qui facilite les investigations sur les éventuels incidents. « Mais, attention, ce type de fonctionnalités doit servir uniquement à la remédiation et à la pédagogie, et ne pas devenir un outil de répression ou de chasse aux sorcières, prévient Pierre Salavera. Faute de quoi, on perdra l'adhésion de tout le monde. »

Suivre la classification des informations dans Office 365

Si le RSSI prévoit de consacrer encore beaucoup d'efforts à la gestion des identités en 2024 - « pour avoir la garantie de qui fait quoi en permanence » -, il entend également ouvrir le chantier du contrôle de la donnée. « À l'occasion de notre passage à Office 365, nous voulons améliorer la visibilité sur les données qui entrent et qui sortent de notre système d'information », indique Pierre Salavera. Le groupe Paprec a déjà classifié ses documents et informations, avec des labels matérialisant leur niveau de confidentialité. Ce sont ces labels que le RSSI entend suivre et contrôler dans la suite bureautique, pour empêcher la sortie de données sensibles. « Un audit d'Office 365 dans sa version préparamétrée laisse entrevoir 65 points à remédier pour parvenir à mettre en place ce niveau de contrôle. Ce sont souvent de petites choses, comme le paramétrage par défaut des documents partagés », indique le responsable sécurité et architecture des systèmes d'information de Paprec. Sans oublier que ce type de projet nécessite une réelle implication des métiers, car ces droits sont intimement liés aux pratiques des opérationnels.