La Brink’s gère sa sécurité et sa conformité SOX via le Cloud Stéphane GUYODO – Responsable Projets Innovation - Brink’s France
Agenda Présentation de la Brink’s Contexte Groupe et France Critères de sélection Approche pragmatique Résultats concrets Quelques recommandations Prochaines étapes
Brinks Spécialiste de la sécurité des biens précieux au sens large, des coffres forts, du traitement des chèques et même de la sécurité aérienne Groupe de 70,000 employés Présence dans plus de 100 pays Siège du groupe aux Etats-Unis De nombreuses filiales dans le monde Filiale en France de 6,000 employés Une informatique très décentralisée Exigences de conformité SOX
Contexte Groupe et France Règles de sécurité édictées par le Groupe et qui s’appliquent strictement à chaque filiale Audits Groupe identifiant des vulnérabilités non corrigées FRANCE Utilisation d’outils d’analyse des vulnérabilités Open Source Pas de regard extérieur et indépendant sur la posture sécurité Peu de processus industrialisés et formalisés
Critères de Sélection S’équiper d’une solution de gestion de vulnérabilités et de conformité propre pour : Anticiper les audits du Groupe Disposer d’un regard extérieur sur nos vulnérabilités Disposer de plus de temps pour corriger les vulnérabilités Eviter de rentrer dans le processus de remédiation du Groupe Respecter les engagements pris par le DSI et la DG France auprès du Groupe Etre exemplaire et conforme aux exigences du Groupe
Approche Pragmatique Engagement fort du DSI et DG de la Brinks France Choix de facto des solutions QualysGuard Vulnerability Management & Policy Compliance, solution reconnue, utilisée par le Groupe et les auditeurs externes Même barème d’évaluation que celui du Groupe Mise à disposition des auditeurs externes de rapports « faisant foi », indépendants et fiables Premiers tests sur un périmètre externe Utilisation des solutions Qualys comme un outil de communication afin de sensibiliser les Métiers et équipes informatiques
Résultats Concrets Prise en main rapide par les équipes informatiques Déploiement de la solution instantanée Suppression des vulnérabilités externes critiques de niveaux 5, 4 ou 3 Analyse automatisée des serveurs internes et des nouveaux postes de travail mastérisés Pertinence des résultats fournis par QualysGuard Mise en place de procédures de remédiation Priorisation des actions de remédiation « Les vulnérabilités découvertes sont toujours acceptées et non discutées par les équipes de production interne et externe»
Quelques Recommandations S’appuyer sur la puissance des solutions en mode SaaS Se concentrer sur l’organisation et les processus Définir des objectifs de performance sur le niveau de risque acceptable et la remédiation Ne pas négliger la conduite du changement auprès des équipes de production informatique
Prochaines Etapes Etendre l’usage des solutions QualysGuard à l’analyse des configurations des machines Capitaliser sur les historiques des analyses effectuées Identifier en priorité les actifs informatiques soumis à SOX par le « tagging » et les remédier au plus vite
Questions ?