Comment l’IESEG a amélioré sa gestion des vulnérabilités

L’IESEG est une importante école de management, deux campus, à Lille et à la Défense, pour plus de 6 000 étudiants, 740 salariés, et 1 300 ordinateurs. Et aujourd’hui, l’IESEG surveille la posture de sécurité de 96 serveurs et équipements à l’aide de F-Secure Radar.

Ce n’est pas un hasard. L’initiative remonte à 2016, alors qu’est conduit un premier audit de sécurité informatique. Là, il est demandé à l’auditeur de conduire une recherche de vulnérabilités. Mais l’opération n’était que ponctuelle. Sandy Rosada, responsable infrastructure et RSSI de l’IESEG a commencé à entendre parler de F-Secure Radar en 2018. Et fort de l’expérience de l’audit précédent il a immédiatement vu l’intérêt d’un tel outil : faire de la recherche de vulnérabilités plus fréquente, planifiée, et ainsi « avoir une photographie, chaque semaine, de la posture de sécurité de l’environnement, du point de vue des vulnérabilités et de l’application des correctifs ».

Du coup, en 2019, un second audit de sécurité a pu être « recentré sur différents paramètres », et notamment de lancer « une campagne de phishing auprès de nos milliers d’utilisateurs, ou encore de vérifier nos DNS », explique Sandy Rosada.

Deux éléments ont joué en la faveur de la solution de F-Secure : le prix, mais aussi et surtout la simplicité. De déploiement, tout d’abord : « c’est très rapide ; en l’espace d’une journée et demie de travail, tout est prêt ». À condition, bien sûr, d’avoir une bonne connaissance du plan d’adressage IP de son environnement et sa connectivité externe. Car la plateforme Radar de F-Secure permet d’analyser régulièrement les deux, en interne donc, comme dans la perspective d’un éventuel assaillant extérieur.

« Dans un environnement où les ressources sont limitées, des outils qui nous simplifient la tâche, au quotidien, sont indispensables. »

Mais la simplicité a joué un rôle clé dans le choix. « Je suis responsable infrastructure et RSSI. Dans un environnement où les ressources sont limitées, des outils qui nous simplifient la tâche, au quotidien, sont indispensables ». Et pour lui, qui « peut manipuler jusqu’à une dizaine de tableaux de bord par jour, la simplicité d’un dashboard est vraiment importante ».

Dès les premiers temps de l’installation, les résultats n’ont pas manqué d’apparaître. Et cela a commencé par la découverte d’un vieil équipement vidéo, qui n’avait même pas été déployé par l’informatique de l’école, mais était accessible publiquement sur Internet et présentait plusieurs dizaines de vulnérabilités majeures. Il était tellement ancien qu’il était impossible de corriger ces vulnérabilités. « L’équipement a été identifié et remplacé », explique Sandy Rosada. Mais ce n’est pas la seule surprise que la solution lui a réservée, à l’instar d’un service SMTP – non vulnérable, mais inutile – sur une plateforme infogérée ; service qui a été arrêté pour réduire la surface d’exposition de manière préventive.

Aujourd’hui, Sandy Rosada estime que F-Secure Radar lui a permis d’avancer dans une nouvelle direction : « l’analyse des risques, en tenant compte des équipements affectés et de l’endroit où ils se trouvent ». Car bien sûr, « nous allons nous attacher à corriger au plus vite une vulnérabilité exploitable de l’extérieur ».

La solution de F-Secure aide d’ailleurs dans la hiérarchisation de ces opérations en signalant les vulnérabilités les plus sévères (score CVSS 8 et plus) pour lesquelles des codes d’exploitation sont publiquement disponibles.