De una empresa familiar especializada en el reciclaje, nacida en los años 90 de la adquisición de una PYME en La Courneuve, Paprec se ha convertido hoy en un grupo de 13.000 personas, que genera más de 2.500 millones de euros de facturación. 'negocio. Crecimiento, particularmente marcado por las adquisiciones, que pudo experimentar Pierre Salavera, director de seguridad y arquitectura de sistemas de información de Paprec, en la empresa desde 2012, y que fue acompañado, más recientemente, por un fortalecimiento de la prioridad otorgada a la ciberseguridad. . “Los presupuestos para ciberseguridad llevan tres años aumentando”, explica el hombre que se convirtió en CISO del grupo hace unos cinco años. Esta actualización también permite al especialista en reciclaje prepararse para la entrada en vigor de NIS2, una directiva europea que debe transponerse a la legislación francesa a más tardar en octubre de 2024 y que amplía la lista de organizaciones cubiertas por obligaciones en materia de ciberseguridad, debido a su actividad considerada clave para el funcionamiento de la sociedad. Una ampliación del perímetro en el que cae Paprec.

"Esta directiva no cambiará mucho para nosotros, porque muchos temas ya han sido tratados como parte de nuestro enfoque basado en el riesgo", afirma Pierre Salavera. Incluido el de identidades y la gestión de cuentas privilegiadas. También a través de este último componente el grupo decidió iniciar este proyecto de seguridad del acceso a los sistemas de información, implementando en tres meses la solución específica de la editorial estadounidense Delinea, junto con la implementación de la autenticación multifactor (MFA). “En TI, unas 120 personas, la actualización está casi completa”, explica Pierre Salavera, reunido durante la Conferencia de Seguridad 2023 (Mónaco, del 11 al 13 de octubre). Es un poco más difícil con los desarrolladores, que tienen necesidades muy específicas. » Esta prueba debe utilizarse para generalizar MFA a todos los usuarios, prevista para finales de 2023 o principios de 2024. “Porque los comentarios muestran que los atacantes comienzan recuperando los derechos de una cuenta menor antes de intentar aumentar los privilegios”. observa el CISO.

Índice
  1. Cuentas de servicios, donde residen las complejidades
  2. Seguimiento de la clasificación de la información en Office 365

Cuentas de servicios, donde residen las complejidades

Actualmente implementada en SaaS, la gobernanza de las cuentas privilegiadas pronto se duplicará mediante una pequeña infraestructura local, que cubrirá el riesgo de pérdida del enlace de red a la nube. Actualmente cubre a los empleados internos del departamento de TI, pero pronto se extenderá a los proveedores de servicios y a las cuentas de servicios que se originan en las máquinas. “Los proveedores de servicios son pocos y disfrutan de pocos privilegios con nosotros”, afirma Pierre Salavera. En cuanto a las cuentas de servicios, aunque su número es limitado (menos de 50), también se utilizan ampliamente y conllevan un cierto número de complejidades. Estimamos que tomará entre un año y 18 meses abordar el problema. »


Pierre Salavera, responsable de seguridad y arquitectura de sistemas de información de Paprec: “los atacantes empiezan recuperando los derechos de una cuenta menor antes de intentar una elevación de privilegios”. (Foto: RF)

Elegida por su velocidad de implementación, pero también por su ergonomía, la solución PAM permite a los administradores trabajar como antes, una vez superada la fase de autenticación (en un navegador o mediante un cliente pesado, según su elección). Desde el punto de vista de la administración, PAM permite grabar en vídeo todas las acciones en los servidores, lo que facilita la investigación de posibles incidencias. “Pero cuidado, este tipo de funcionalidad sólo debe utilizarse con fines de remediación y educación, y no convertirse en una herramienta de represión o de caza de brujas”, advierte Pierre Salavera. De lo contrario, perderemos el apoyo de todos. »

Seguimiento de la clasificación de la información en Office 365

Si el CISO tiene previsto seguir dedicando muchos esfuerzos a la gestión de la identidad en 2024 - "para tener la garantía de quién hace qué en todo momento" - también tiene intención de abrir el proyecto de control de datos. "A medida que pasamos a Office 365, queremos mejorar la visibilidad de los datos que entran y salen de nuestro sistema de información", afirma Pierre Salavera. El grupo Paprec ya ha clasificado sus documentos e informaciones, con etiquetas que materializan su nivel de confidencialidad. Estas son las etiquetas que el CISO pretende monitorear y controlar en la suite ofimática, para evitar la divulgación de datos sensibles. “Una auditoría de Office 365 en su versión preconfigurada revela 65 puntos a abordar para alcanzar este nivel de control. A menudo se trata de cosas pequeñas, como la configuración predeterminada para documentos compartidos”, afirma el director de arquitectura y seguridad de sistemas de información de Paprec. Sin olvidar que este tipo de proyectos requiere una implicación real de las profesiones, porque estos derechos están estrechamente vinculados a las prácticas operativas.