Sarpi Veolia sécurise sa bascule dans le cloud

Filiale du groupe Veolia, Sarpi Veolia (Sarp Industries) revendique la première place européenne dans le traitement et la valorisation des déchets dangereux et des sites pollués. Elle s’occupe de tous les déchets dangereux à l’exception des produits radioactifs. Implantée sur une dizaine de pays en Europe avec 110 sites industriels et 3800 collaborateurs, la société a plus de dix mille clients, de la TPE (garages, pharmacies…) à la multinationale en passant par les déchetteries qui collectent les déchets dangereux des particuliers. Les sites sont regroupés en « régions » et au sein d’une division dédiée à l’enfouissement des déchets ultimes. Depuis une dizaine d’années, le système d’information a connu plusieurs phases d’évolution et la sécurisation de la bascule dans le cloud devait, notamment, être revue et outillée, d’autant que Sarpi Veolia a été particulièrement concernée par le rapprochement avec des entités de l’ancien groupe Suez.

« Il y a une dizaine d’années, chaque région/division était dotée de sa DSI indépendante, chaque site avait ses propres réseaux et serveurs, etc. » se souvient Eddy Edouard, responsable cybersécurité et réseau chez Sarpi Veolia. Le groupe a alors commencé une rationalisation pour, à la fois, réduire les coûts et harmoniser autant les solutions que les pratiques. Les SI locaux ont été remplacés par un datacenter hébergé chez Equinix avec un accès aux applications via une virtualisation avec Citrix. Les équipes IT ont été, à l’occasion, réorganisées. Les sites, dans cette étape, ne devaient plus assurer qu’un réseau local et une connexion aux applications hébergées dans le datacenter, ainsi, bien sûr, que l’entretien des terminaux. Mais plus aucun site ne disposait plus de serveurs. Concernant la bureautique collaborative, le groupe Véolia a déployé Google Workspace pour toutes ses filiales, y compris Sarpi Veolia.

Du SI centralisé à la bascule Cloud

En dehors de cette bureautique, Sarpi Veolia a, pour sa part, commencé sa migration vers le cloud il y a trois ans. Eddy Edouard précise : « l’objectif était clairement de se passer du datacenter. Aujourd’hui, nous sommes pratiquement full AWS (hors bureautique), avec les dernières applications sur quelques serveurs résiduels dans le datacenter. » La logique adoptée, dès lors, pour chaque domaine applicatif, était soit d’adopter un SaaS soit de basculer vers le cloud l’application concernée. La bascule cloud a notamment concerné l’ERP développé en interne par Sarpi Veolia. « Nous avons un métier très particulier et il n’existe pas d’ERP qui nous soit adapté dans le commerce » justifie Eddy Edouard.

Mais ces applications devaient pouvoir être accessibles, selon les cas, autant par les collaborateurs, y compris en mobilité, qu’aux clients. Le SI est donc globalement exposé sur Internet. Eddy Edouard observe : « à cause de cette exposition du SI sur Internet, nous avions un travail de veille important à réaliser car, plus on expose, plus, évidemment, on accroît sa surface d’attaque. ». Or le SI est composé d’un patchwork de solutions du commerce comme réalisées en interne auxquelles s’ajoutent des sites web institutionnels. « Nos sites web ont déjà été attaqués par le passé, certains ont été défacés, d’autres convertis en relais de spams ou autres » soupire Eddy Edouard.

Un besoin de sécurisation et de visibilité des attaques

Le CISO devait mettre en place une sécurisation de toutes les ressources exposées sur Internet, notamment face à des failles inconnues ou aux correctifs pas encore disponibles. Il devait également être en mesure d’avoir une réelle visibilité sur les cyber-attaques subies. Au delà des cyber-attaques à proprement parler, l’entreprise devait enfin pouvoir aisément limiter ou permettre des accès à des ressources applicatives sensibles, y compris en tenant compte du contexte (collaborateur en mobilité par exemple), avec un contrôle effectif du respect des règles posées. La situation s’est notamment compliquée lors du rachat d’activités du groupe Suez : certaines ressources devaient être ouvertes à des collaborateurs des sites destinés à rejoindre Sarpi Veolia avant que l’intégration ne soit achevée.

En 2021, l’entreprise a donc testé plusieurs solutions du marché comme celles de Cloudflare et de Barracuda Networks. Eddy Edouard relève : « depuis une dizaine d’années, nos sites sont interconnectés en SD-WAN avec des firewalls de Barracuda Networks et nous en étions contents. » Le WAF (web application firewall) de Barracuda Networks, Barracuda Application Protection, proposé en SaaS, a finalement été choisi. « Nous avons réalisé des démonstrateurs avec les solutions testées grâce à des licences de test, durant environ deux mois, et nous avons constaté que la solution Barracuda Application Protection était particulièrement simple à paramétrer et à prendre en main, sans nécessité de lourde formation » indique Eddy Edouard. Le démonstrateur a ainsi pu être créé en moins d’une journée avec une simple modification des champs DNS pour que tout le trafic provenant d’Internet passe d’abord par le WAF avant de pouvoir accéder aux applications.

Une grande satisfaction

Ce WAF protège d’un grand nombre de types d’attaques : force brute, injection SQL, DDoS, exploitation de failles, etc. Une intelligence artificielle analyse le trafic suspect et l’outil s’assure que seul le trafic autorisé accède effectivement au SI. A ce jour, le projet n’est pas totalement achevé car de nouveaux sites sont à intégrer et de nouveaux périmètres applicatifs sont à ajouter au fur et à mesure des migrations. Ce qui reste du datacenter propre, également protégé par cette solution, devrait fermer courant 2024. Eddy Edouard se réjouit : « cette solution nous a aussi permis de basculer dans le cloud des applications Legacy dont la cybersécurité native n’était pas extraordinaire et, sans ce WAF, cette bascule aurait été singulièrement risquée. »

Le modèle tarifaire de Barracuda Application Protection tient compte de deux paramètres : le nombre de ressources protégées et la bande passante allouée. Pour une dizaine de ressources protégées et une bande passante de 100 Mo/s, le coût pour Sarpi Veolia est de cinquante mille euros pour trois ans.

Sur le même sujet

- 3 novembre 2023 : Robert Amatu (Veolia) : « notre approche est à la fois mutualisée et locale ». 

- 31 mars 2023 : Didier Bove (Veolia) : « le numérique accompagne notre transformation écologique ». 

- 5 septembre 2023 : Alain Larousse (Suez) : « nous gardons la capacité d’écouter le terrain tout en globalisant ».