Fondée en 1957, l'INSEAD est une école de commerce international de niveau troisième cycle dont les campus se trouvent en France, à Singapour et à Abu Dhabi, et qui s'installera bientôt à San Francisco. L'école se classe régulièrement parmi les meilleurs programmes d'études commerciales au monde, et on compte 166 nationalités parmi ses 60 000 anciens élèves venus de 175 pays.
Avant qu'elle ne s'engage dans un partenariat avec Cloudflare, il manquait à l'INSEAD un pare-feu d'applications Web (WAF) pour protéger à la fois ses sites Web WordPress et ses applications externes telles que sa passerelle de paiement. « Nous avions un WAF sur site pour les applications hébergées sur site, et pour les applications externes, nous comptions sur les paramètres de sécurité de nos fournisseurs d'applications », explique Ar Kar Oo, directeur principal de la cybersécurité. « Nous étions confrontés à des menaces malveillantes qui essayaient d'exécuter des programmes d'attaque JavaScript, et nous savions que nous avions besoin d'un WAF pour nous protéger contre ces menaces. »
L'accès aux applications en interne était également un casse-tête. L'INSEAD avait recours à une combinaison de VPN et de listes d'autorisations pour permettre aux développeurs d'accéder à ces applications ; la gestion d'un tel système était complexe et prenait beaucoup de temps. L'INSEAD avait besoin de plus de flexibilité que le VPN ne pouvait en offrir, il lui fallait notamment la possibilité de déployer une authentification unique (SSO) pour simplifier les connexions lorsque les développeurs disposaient de différents identifiants pour différents environnements.
L'INSEAD s'est associée à Cloudflare au début de l'année 2020 et a déployé le WAF de Cloudflare d'abord à petite échelle, pour en démontrer la faisabilité. L'expérience s'étant avérée positive, l'INSEAD a progressivement mis en œuvre le WAF de Cloudflare au sein de l'ensemble de ses sites Web et applications.
« Nous utilisons essentiellement les règles préconfigurées du WAF », précise Ar Kar Oo. « La configuration et la mise en œuvre n'ont pas posé la moindre difficulté. Nous n'avons eu à contacter Cloudflare qu'à de rares reprises pour obtenir des conseils sur la configuration des règles et la vérification des journaux. Nous apprécions le fait qu'une fois la configuration réalisée pour un site ou une application, la même peut être utilisée pour les autres sites et applications. »
Ce sont désormais environ 100 000 menaces par mois que le WAF de Cloudflare bloque avant qu'elles n'atteignent les propriétés et les applications Web de l'INSEAD, et l'école bénéficie de la visibilité accrue que le WAF lui procure. « Avant, nous ne disposions pas d'informations détaillées concernant le niveau de cybermenaces et de trafic. Désormais, nous pouvons voir exactement de quelle manière les cybercriminels essaient d'accéder à nos sites », poursuit Ar Kar Oo. « Dès qu'une règle de WAF est déclenchée, nous savons que nous devons approfondir la question. En outre, les attaques DDoS reprennent de plus belle, et la protection de nos sites par Cloudflare constitue un avantage efficace. »
L'INSEAD a décidé de déployer Cloudflare Access, qui garantit un contrôle d'accès pour les applications cloud et sur site sans avoir besoin d'un VPN, alors que la démonstration de faisabilité du WAF était toujours en cours. « Nous disposons d'un très vaste portefeuille d'applications pour l'ensemble desquelles la sécurité et la flexibilité accrues proposées par Cloudflare Access seraient un avantage considérable », explique Alexandre Papadopoulos, directeur de la cybersécurité.
« Nous étudions également la possibilité d'élargir la manière dont nous utilisons notre environnement », ajoute Ar Kar Oo. « La plupart de nos utilisateurs se connectent depuis un portable et nous voulons utiliser Access pour eux aussi. »
Alexandre Papadopoulos et Ar Kar Oo ont tous deux trouvé la mise en œuvre du WAF et du RDC de Cloudflare assez facile. L'équipe s'inquiétait d'une éventuelle baisse des performances pour les utilisateurs en Chine, mais ces craintes se sont révélées infondées. « Nos sites sont très complexes, nous sommes donc très prudents dès lors qu'il s'agit de mettre en place de nouvelles solutions », explique M. Papadopoulos. Access a également amélioré l'efficacité en interne. Avant de mettre en œuvre Access, les administrateurs de l'INSEAD devaient établir de nombreuses listes d'autorisations basées sur la localisation, et s'ils voulaient apporter des modifications à une application, ils devaient demander des autorisations, ce qui créait des goulots d'étranglement. « Access nous permet de mettre en place des politiques personnalisées, et nous avons pu réduire notre dépendance aux VPN et aux listes d'autorisations d'IP pour les environnements de développement. De plus, nos développeurs et testeurs ne sont pas tenus de se connecter à partir d'emplacements spécifiques, et nous avons pu déployer une solution SSO qui simplifie le processus de connexion », rappelle Alexandre Papadopoulos.
Et il ajoute : « Access est plus facile à gérer que les VPN et autres solutions d'accès à distance, ce qui soulage la pression exercée sur nos équipes informatiques. Elles peuvent se concentrer sur des projets internes au lieu de passer du temps à gérer l'accès à distance. »
En plus d'Access et du WAF de Cloudflare, l'INSEAD est également en train de mettre en place le RDC de Cloudflare. Actuellement, l'INSEAD sert environ 1,5 téraoctet de trafic par mois via le RDC.
« Je recommanderais sans la moindre hésitation Cloudflare à mes collègues », déclare Ar Kar Oo. « J'avais déjà utilisé Cloudflare auparavant, mais c'était la première fois que j'utilisais Access, et j'ai apprécié. »
« Tout s'est passé comme sur des roulettes », ajoute Alexandre Papadopoulos. « Les solutions de Cloudflare sont faciles à déployer, elles sont conviviales et elles créent de la valeur de manière immédiate. » Inciter les développeurs à adhérer à des produits de sécurité n'est pas chose facile. Les développeurs ont tendance à considérer une nouvelle solution de sécurité comme une charge supplémentaire dans leur travail, mais en ce qui concerne Cloudflare il n'y a eu ni résistance ni plainte. Access et le WAF de Cloudflare leur ont simplifié la tâche. »
Chaque mois le WAF de Cloudflare bloque 100 000 menaces visant les sites et applications de l'INSEAD.
Cloudflare Access a permis à l'INSEAD de déployer une solution de SSO et de réduire au minimum sa dépendance aux VPN et aux listes d'autorisations.
Le RDC de Cloudflare sert environ 1,5 téraoctet de trafic par mois pour l'INSEAD.
“Les solutions de Cloudflare sont faciles à déployer, elles sont conviviales et elles créent de la valeur de manière immédiate. Inciter les développeurs à adhérer à des produits de sécurité n'est pas chose facile. Les développeurs ont tendance à considérer une nouvelle solution de sécurité comme une charge supplémentaire dans leur travail, mais en ce qui concerne Cloudflare il n'y a eu ni résistance ni plainte. Access et le WAF de Cloudflare leur ont simplifié la tâche.”
Alexandre Papadopoulos
Directeur de la cybersécurité