Flowbird est une société française, acteur de la mobilité urbaine et de la Smart City. Elle offre des solutions de gestion du stationnement et des solutions de billettiques pour les transports publics. Avec plus de 100 millions d’utilisateurs par semaine, 90% des parts de marché et plus de 1700 collaborateurs dans le monde, le groupe Flowbird est leader de son marché.
Nous nous entretenons avec Yohann Guiot, RSSI et DPO Groupe, pour comprendre sa motivation à faire de la Cyber Threat Intelligence un axe stratégique chez Flowbird.
Une transformation digitale : de l’industrie vers l’usine digitale
Depuis 1923, le groupe a su évoluer avec son temps. Le groupe digitalise son offre de service auprès de ses clients. En accompagnant le nouvel enjeu des villes et des agglomérations : la gestion digitale des transports en ville.
Le constat : la cybersécurité est plus efficace quand elle est implémentée dès le début.
L’entreprise existe depuis près d’un siècle, les normes de sécurité appliquées lorsqu’ils ont créé les premiers parcmètres ne sont plus celles d’aujourd’hui.
Répondre aux menaces et aux évolutions normatives et législatives et au besoin d’accompagnement des métiers, de nos clients… “la cybersécurité est plus efficace quand elle est implémentée dès le début.” Nous faisons en sorte que nos produits soient conçus de manière efficace en matière de protection des données et services.
Les enjeux ont également évolué : il y a quelques années, le principal problème était le vol dans les horodateurs ou encore les cartons dans les boîtes de restitution. Aujourd’hui, le paiement par pièce de monnaie disparaît au profit du paiement numérique.
La protection des données bancaires ou des interfaces des mairies représentent également des demandes et besoins de plus en plus importants.
L’objectif : protéger ce qu’on ne connaît pas
Pour Yohann, c’était simple :
“Il est difficile de protéger ce qu’on ne connaît pas. Notre activité nous impose une exposition sur internet. Nous ne pouvons pas nous mettre dans un bunker. Ce serait contraire à nos services de Smart City et services aux usagers.”
L’une des pistes envisagées était donc d’améliorer leur connaissance des interfaces exposées et de leur configuration.
Il nous fallait une solution qui nous permet de “surveiller notre exposition, mettre en exergue tout ce qu’on ne connaissait pas, connaître nos principales menaces et avoir une connaissance de ce qui est exposé et comment”.
Découvrez dans ce webinar de 30 minutes, comment réduire ses risques sur internet.
Pourquoi avoir choisi Serenety ?
“J’ai déjà fait appel à XMCO dans une entreprise précédente, je la savais efficace. De plus, XMCO est le QSA qui nous accompagne dans la certification PCI DSS. C’était pertinent de faire appel à des consultants que l’on sait efficaces, réactifs, dans l’air du temps vis-à-vis des menaces. On a donc décidé de tester Serenety.”
Ce que Serenety apporte
Un test qui a convaincu en interne
Réaliser un test permet de démontrer en quoi la solution répond à un besoin. Le test gratuit de Serenety a démontré aux équipes de Flowbrid pourquoi il était important de surveiller ses assets connus et de découvrir ses assets inconnus.
“Je n’ai jamais travaillé dans une société qui pouvait se targuer de connaître l’ensemble de ses assets.” Ne pas connaître ses assets peut mener à des interrogations : sont-ils toujours utiles ? À jour ? Est-ce que la configuration répond aux configurations actuelles ?
Des propositions de remédiation pertinentes
Yohann apprécie les recommandations car elles permettent un gain de temps pour son équipe. En effet, il explique “Des outils qui alertent, il y en a plein sur le marché. La journée d’un RSSI est remplie d’alertes, c’est donc le quotidien.”
Il ajoute : “On a tendance à traiter ce qu’on sait traiter. Lorsqu’il y a la remédiation, on gagne un temps précieux.” Ces propositions permettent donc un taux de réponse qui est plus important.
Une meilleure connaissance de sa surface d’attaque et sa surface d’exposition
Il est très difficile de connaître sa surface d’attaque et sa surface d’exposition. Les métiers eux-mêmes n’ont pas connaissance de tout, notamment à cause du “legacy”. De ce fait, les projets abandonnés ou qui ne sont pas passés en production restent des fantômes dans les assets des clients, mais de potentielles portes d’entrées vers leur SI.