Témoignage SNCF Connect

Simuler une intrusion ciblée et réaliste

SNCF Connect permet à des utilisateurs, via des outils technologiques intelligents, de réserver leur voyage en associant différents modes de transport, avec des combinaisons personnalisées et des modèles de paiement sur mesure. À cette intelligence technologique s’associent des volumes de données personnelles gigantesques.

SNCF Connect doit par conséquent s’astreindre à un niveau de sécurité informatique très élevé, à la hauteur de la confiance de ses clients finaux.

Les technologies utilisées sont nombreuses et les enjeux de sécurité toujours plus élevés. L’équipe en charge de ces problématiques, dispose déjà d’un excellent niveau de maturité et s’est dotée d’outils automatisés qui permettent un contrôle continu. Par ailleurs, des audits classiques sont réalisés régulièrement.

Cette philosophie d’entretien permet de remonter des vulnérabilités mais nécessite d’aller un cran plus loin pour s’adapter à certaines mises en situation.

La volonté de SNCF Connect était d’être beaucoup plus pragmatique, pour voir comment une attaque peut combiner des failles (critiques ou mineures ; technique ou humaine) et tester en situation réelle les processus de détection et de remédiation.

À PROPOS

SNCF Connect, 1er site de e-tourisme français, fait partie d’e.Voyageurs SNCF, filiale de SNCF Voyageurs, en charge du digital au service du client.

sncf connect redteam

Pourquoi avoir choisi Digitemis comme partenaire RedTeam ?

Il faut un partenaire de confiance, le RedTeam étant amené à challenger et mettre en défaut des pratiques installées chez les collaborateurs. Le niveau de confiance requis est supérieur à ce dont on a besoin sur un audit classique.

Les critères de choix :

  1. La confiance
  2. L’éthique
  3. L’expertise

 

La suite ?

Une restitution de la mission a eu lieu avec l’ensemble de l’équipe sécurité, informatique interne et réseaux, afin d’assurer un excellent niveau de sensibilisation. Sur la base du volontariat, l’ensemble de l’entreprise peut également être informée des résultats, afin d’assurer une couverture maximale des collaborateurs en matière de sensibilisation.

Le sujet et les résultats ont été présentés au CODIR et remontés auprès du DG, afin de faire avancer les discussions stratégiques (notamment sur le choix de partenaires informatiques).

La mission a notamment débouché sur la construction d’un plan d’action 360° touchant aussi bien les aspects techniques qu’organisationnels et de sensibilisation.

« Ce type de mission, c’est l’occasion de montrer qu’en très peu de temps, et malgré un bon niveau de sécurité initial, le business de l’entreprise peut être touché par des attaques spécifiques, et de faire ainsi passer des messages forts pour continuer d’investir significativement dans la cybersécurité »

Bien entendu, SNCF Connect est plus que satisfait de la mission RedTeam menée par les équipes Digitemis et recommande fortement ce type de service !

Les objectifs du RedTeam étaient :

• Identifier de nouveaux parcours d’attaque et décloisonner

• Être en capacité de détecter des attaques ciblées

• Identifier et reprioriser la gestion des vulnérabilités

• Tester la capacité à comprendre ce qu’il s’est passé et à se défendre

operation RedTeam Pentest pour sncf connect

Les avantages de l’approche DIGITEMIS
selon SNCF Connect

Le Red Team a permis d’identifier de nouvelles failles, mais surtout de reprioriser le traitement de failles initialement identifiées comme mineures, qui s’avèrent finalement critiques. Pointer la « petite exception », « le process mal calé ou non terminé », c’est mettre en avant les fenêtres par lesquelles un attaquant peut entrer quand la porte est bien protégée.

La mission a permis de réorienter certains efforts, de se concentrer sur des pans de SI spécifiques ou sur des partenaires plus que d’autres.

 

Ont pu ainsi être justifiés, budgétisés et planifiés :

  • des audits plus thématiques
  • des renforcements sur les outils existants
  • l’achat d’outils complémentaires
  • le renforcement de la sensibilisation

 

En conclusion, on remet le focus sur les maillons les plus faibles, au lieu de consolider les maillons forts déjà bien connus.