Gilles Lorrain, AVIV Group
Composé d’entités de cultures et de tailles différentes à travers le monde, le champion européen de la proptech Aviv Group présente un parc applicatif de sécurité très hétérogène. Gilles Lorrain, RSSI du groupe, nous raconte comment il a réussi à gérer cet environnement au travers d’une relation client-fournisseur plutôt innovante.
Pouvez-vous nous expliquer votre problématique ?
Nous sommes en pleine période de transformation et d’optimisation au sein d’un écosystème très varié. AVIV est l’une des plus grandes entreprises technologiques mondiales de l’immobilier numérique avec SeLoger, LogicImmo, MeilleursAgents en France, Immoweb en Belgique, Immowelt en Allemagne, Yad2 en Israël, Housell en Espagne. Ce sont également des investissements minoritaires aux UK et aux États-Unis. Mais le corollaire de cette richesse est l’hétérogénéité qu’elle génère et qui est l’un de nos principaux challenges. Nous nous retrouvons, en effet, avec des entités composées de dix collaborateurs et d’autres de 2 000, avec un ou vingt ans d’ancienneté. Résultat, en termes de sécurité, que ce soit en raison de la taille de l’entreprise, de son historique ou du budget alloué dans le passé, il n’y a ni le même niveau de maturité dans la profondeur de la protection, ni dans la culture. De l’autre côté, nous sommes face à un marché de la sécurité qui change à une vitesse délirante, notamment du fait d’une informatique qui change tout aussi rapidement. Sans parler des attaques que nous savons en croissance tant par leur nombre que par leur impact.
Quelles difficultés rencontrez-vous ?
Nous avons, de par cette hétérogénéité, énormément de solutions différentes et des problèmes d’incompatibilité entre fournisseurs. Beaucoup d’outils ont été développés à l’époque des écosystèmes virtualisés type VMware/ESX, voire sur du bare metal, et ne fonctionnent pas en synergie avec les principaux fournisseurs Cloud du marché. Le manque d’intégration avec les API de ces derniers rend peu optimale voire complexe leur installation et leur maintenance. Malheureusement, même certaines nouvelles solutions ne dérogent toujours pas à cette règle et n’exploitent pas pleinement les possibilités offertes. De plus, les modèles de tarification qui se basent sur le pic mensuel de machines utilisées ne sont pas très équitables. Dans un environnement full Cloud où nous déployons quotidiennement un grand nombre de machines en quelques minutes, que ce soit pour ajouter des nouvelles fonctionnalités à nos clients ou pour absorber une brève montée en charge, pourquoi devrais-je payer une licence mensuelle pour une machine qui ne sera parfois active que 5 minutes ?
Quelles particularités techniques avez-vous rencontrées ?
Installer manuellement un outil de sécurité sur une machine dans le Cloud va à l’encontre des bonnes pratiques. Il doit, en effet, être inclus “by design” dans l’image déployée. Ce qui change tout en termes de méthodes de développement ou de déploiement, mais aussi quant à l’approche des éditeurs. Par exemple, les premières versions de l’EDR Singularity Complete que nous avions testées avec SentinelOne nécessitaient de redémarrer la machine après installation. Or, sur AWS, redémarrage signifie destruction et recréation d’une nouvelle machine. Et les petits besoins d’adaptations de ce genre à prendre en compte sont nombreux ! Heureusement, nous avons pu les effectuer en collaborant avec de véritables responsables produits qui font évoluer la solution en fonction des contraintes de leurs clients. Avec SentinelOne nous avons su mettre en place cette synergie. Un phénomène aussi nouveau que rare à trouver pour l’instant.
Y a-t-il eu des mauvaises surprises ?
Des mauvaises non, mais une bonne, oui ! Une fonctionnalité du nom de Cloud Funnel chez SentinelOne, qui permet d’extraire toutes les informations, logs et alertes en temps réel. Idéale pour démarrer ou enrichir un SIEM. Malgré une volumétrie extrême (plusieurs dizaines de milliards d’évènements par mois) nous avons pu, à moindre coût (deux jours d’intégration pour l’ensemble de nos entreprises), les collecter. Comment ? Là encore, le besoin de synergie s’est fait ressentir : SentinelOne a joué le jeu et collaboré avec l’éditeur de notre SIEM (Sekoia. io) pour co-développer un injecteur clé en main. C’est un vrai confort de ne pas être dans une situation de “vendor lock-in” que nous ne rencontrons que trop souvent. C’est pour ces raisons que je ne cherche plus aujourd’hui un produit parfait “day 0”, mais plutôt synergie, collaboration et adaptation réactive avec mes fournisseurs.
