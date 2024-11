La deuxième ligne de TGV du Royaume-Uni, le Grand Paris Express, ou le tunnel entre l’Allemagne et le Danemark, la division Grands Projets du groupe Vinci mène 42 projets à travers le monde de plus de 200 millions d’euros en cours, sur un portefeuille de 170 projets.

Son système d’information se répartit entre le siège et tous ces chantiers, entre de l’IT classique et des systèmes OT très spécialisés. Pour s’assurer du niveau de sécurité des infrastructures en place, Christophe Denis, RSSI de la division des Grands Projets de Vinci Construction, cherchait le moyen de mener des tests d’intrusion en permanence sans affecter, les machines en production.

« Ma contrainte majeure est qu’il ne fallait surtout pas que la solution ait un impact sur les chantiers et nos actifs ». Christophe DenisRSSI de la division des Grands Projets, Vinci Construction

Son équipe mène des tests d’intrusion, mais ces opérations restent ponctuelles et le responsable souhaite avoir une vision temps réel de la vulnérabilité de son SI : « la cybersécurité est un enjeu stratégique pour nous, c’est une priorité, avec un besoin d’avoir une visibilité sur les outils et actifs critiques, sur les failles et la priorisation des remédiations. Ma contrainte majeure est qu’il ne fallait surtout pas que la solution ait un impact sur les chantiers et nos actifs ».

Il y a 2 ans, Christophe Denis rencontre l’éditeur XM Cyber sur les Assises de la sécurité. La solution implémente le Framework CTEM (Continuous Threat Exposure Management) défini par le Gartner. À l’aide de capteurs judicieusement placés dans le système d’information, la solution donne une « photographique » du SI et une visibilité sur les chemins d’attaque sans impact sur les actifs.

Le logiciel identifie les vecteurs d’attaque potentiellement exploitables par un attaquant et délivre des mesures correctives guidées : « dès qu’une compromission possible est trouvée, XM Cyber donne des indications afin de la corriger. Cela donne une capacité à réagir aux changements. Nous sommes notifiés lorsque des modifications sont opérées sur le SI chantier, lorsque de nouveaux postes ou de nouveaux programmes apparaissent. Tout est remonté sur la console centrale en moins de 24 heures ».

En outre, la solution permet d’assurer un suivi à destination du comité des risques : la console délivre une notation à l’instant t, avec la liste des principaux actifs critiques à corriger en priorité.

Un scénario d’attaque du siège vers les chantiers particulièrement éloquent Christophe Denis a ainsi fait tourner un scénario d’attaque sur le chantier d’Abdelmoumen, à 70 km d’Agadir au Maroc, un contrat de 284 millions d’euros. Le groupe construit une station de transfert d’énergie par pompage (STEP) avec 2 bassins, l’un situé à une altitude supérieure au second, et une usine de production électrique et de pompage placée entre les deux. « Le scénario de départ consistait à partir d’un poste compromis au siège, afin de viser une cinquantaine de chantiers. Nous voulions savoir jusqu’à quel niveau l’attaquant pouvait aller vers nos chantiers. » Christophe DenisRSSI de la division des Grands Projets, Vinci Construction Trois entreprises collaborent sur ce projet : Vinci Construction Grands Projets, Vinci Construction Terrassement et Andritz Hydro, en charge de l’usine de production. L’infrastructure compte 100 postes informatiques déployés en local, une dizaine de serveurs déployés dans deux datacenters. Cela représente 400 comptes Active Directory, avec un technicien informatique en permanence sur site. Christophe Denis a installé les capteurs XM Cyber sur ce SI et créé un scénario pour vérifier s’il était possible d’attaquer le SI d’un chantier à partir d’un poste compromis au siège. L’outil a découvert deux chemins possibles pour l’attaquant : soit direct, sur le chantier, soit indirect, en provenance du siège. L’attaquant pouvait réaliser une élévation de privilèges dans un groupe de l’Active Directory, récupérer un compte à privilèges sur une machine de l’AD pour passer à une machine critique d’un serveur : « le scénario de départ consistait à partir d’un poste compromis au siège, afin de viser une cinquantaine de chantiers. Nous voulions savoir jusqu’à quel niveau l’attaquant pouvait aller vers nos chantiers. Ce scénario a montré qu’il était possible d’y parvenir ». Possible, mais complexe puisqu’il ne fallait pas moins de 15 étapes pour atteindre un chantier. Dans le scénario généré par l’outil, l’attaquant virtuel a exploité 3 techniques de compromission, ce qui lui permettait de compromettre jusqu’à 1 638 postes sur l’ensemble du parc informatique et l’ensemble des chantiers. Quatorze comptes étaient potentiellement compromis lors de cette attaque, ce qui permettait à un assaillant d’aller beaucoup plus loin dans le SI de l’entreprise. Sur un autre scénario testé, en passant par le serveur compromis, un attaquant pouvait accéder à un poste de la direction technique au moyen de… 12 techniques différentes. L’exécution de ce scénario en virtuel a permis de trouver un fichier Excel infecté, ce que l’EDR en place n’avait pas repéré.