L’approche "All inclusive" du Club Med dans la gestion des vulnérabilités
Comment traiter les vulnérabilités qui apparaissent sans cesse dans les applications et les briques d’infrastructure sans être en situation d’urgence permanente ? C’est le pari du RSSI du Club Med qui mise sur la proactivité avec toutes les équipes IT.
Avec 6 000 postes de travail, plusieurs centaines de serveurs et quatre principaux partenaires Cloud, le Club Med est, comme toutes les entreprises, confronté à la problématique de la gestion, au quotidien, des vulnérabilités de son infrastructure et de ses applications.
L’équipe IT du Club Med compte 200 personnes, mais l’effectif dédié à la cybersécurité est très limité. Cédric Baillet, RSSI du Club Med depuis 8 ans, a choisi de s’appuyer sur la plateforme Rapid7 pour porter son approche : « la gestion des vulnérabilités n’est pas un sujet neuf. Il a été labouré de nombreuses fois depuis des années, mais cela reste un sujet d’actualité quand on voit les volumes qui augmentent et les difficultés qui se posent à nous ».
Les agents Rapid7 sont déployés sur les postes de travail et sur les serveurs pour avoir des remontées de configuration précises et ce sans impact réseau, à la différence des scans. Le RSSI mène aussi un travail sur les configurations, avec le CSPM, l’Active Directory, et le scan Web. La plateforme Rapid7 a été interfacée avec les SIEM et SOAR du SOC afin d’enrichir les alertes avec ces données de configuration.
Néanmoins, avec une équipe de sécurité de trois personnes seulement, impossible de travailler directement à la remédiation de ces vulnérabilités : « nous travaillons beaucoup en transverse avec toutes les équipes IT en déléguant », explique le RSSI : « cela n’empêche pas le contrôle et le travail commun, mais la seule façon de passer à l’échelle est d’utiliser toutes les ressources, tous nos collègues ». L’équipe de sécurité et l’équipe SOC profitent des remontées d'informations de la plateforme Rapid7, mais aussi les équipes IT et les DevOps.
Le processus mis en place reste assez simple : un reporting automatisé, des réunions régulières ; la formule fonctionne dans cette organisation IT relativement légère. L’objectif du RSSI est de gérer les vulnérabilités dans un mode « all inclusive », depuis la base, le réseau, jusqu'au sommet, les applications.
Des scans réseau sont menés tous les mois sur les IP publiques de la marque afin de s’assurer qu’il n’y a pas eu de changement d'une configuration : « la démarche a permis d’améliorer les plans d’adressage IP et l’IPAM Open Source que nous mettons en œuvre est désormais connecté au SIEM. L’équipe SOC dispose de toutes les informations et descriptions des assets ». Ainsi, la gestion des vulnérabilités a permis d’avancer sur d’autres projets IT.
Si le Club Med patche ses postes de travail et ses serveurs, encore faut-il disposer d’un reporting fiable sur l’avancée des campagnes de mise à jour. « A partir des données de scoring, je prends la liste des pires serveurs et je vais voir les équipes pour faire un nettoyage en commençant par le bas. C’est un processus très macro, mais globalement il nous permet de qualifier les choses et éviter d'être dans une situation d'urgence permanente », explique Cédric Baillet.
Autre fonctionnalité de la plateforme Rapid7 mise en œuvre par le RSSI, le CSPM (Cloud Security Posture Management). Le Club Med exploite GCP, Azure, AWS, AliCloud et l’outil permet au RSSI de récupérer les configurations de toutes ces ressources pour les analyser et repérer d’éventuels problèmes : « nous le faisions en on-premise et la logique est qu'on le fasse aussi au niveau du Cloud. C'est un travail ingrat, qui ne suscite pas forcément à un enthousiasme colossal de la part des équipes, mais c'est un travail qu'on peut réussir à faire ».
Place à une automatisation accrue du processus
Après avoir lancé ce processus de traitement des vulnérabilités de manière essentiellement manuelle et mené un premier grand nettoyage pour aboutir à une situation plus maîtrisée, le RSSI a entamé une automatisation Les tickets sont envoyés directement vers les bonnes équipes quand des alertes sont déclenchées : « nous en sommes à cette phase d'automatisation au travers de l'ITSM. La dernière étape est sans doute pour moi la plus importante, car c'est avec elle que nous arriverons à entrer dans une démarche proactive. Aujourd'hui, toutes nos configurations sont gérées en Terraform et sont poussées par notre chaîne CI/CD. Or, si on arrive à analyser nos configurations Terraform, on pourra bloquer des vulnérabilités avant qu'elles soient envoyées sur les Cloud ».
Pour le reporting lié aux vulnérabilités et à l’avancement dans leur traitement par les équipes IT, le RSSI a retenu trois approches : « la première approche est axée sur le risque. On est dans le concret, dans le dur. Le message qui est passé aux équipes, c'est que celui-ci doit être à zéro ».
Vient ensuite le volet conformité. Cédric Baillet a privilégié le CIS Control du Centre pour la sécurité Internet : « selon le profil de votre société, vous déciderez d'aller chercher le 100 % ou être un petit peu modeste et de rester sur des chiffres un peu plus bas. Nous n’allons pas aller chercher le 100 %, mais je demande de supprimer tout ce qui est critique, le statut High serait bien aussi, mais quand je vois tout ce qui sort en Médian et en Low dans ce référentiel, cela me paraît très ambitieux pour notre structure ».
Les difficultés posées par les vulnérabilités dans les applications
Le RSSI reconnaît que gérer les vulnérabilités découvertes dans les applications et dans les librairies applicatives reste une difficulté majeure : « pour moi, la première étape, c’est la veille. Je suis LinkedIn, j’ai un abonnement à un CERT, mais tout cela est très manuel et demande beaucoup de temps. On ne peut faire de la veille et être RSSI en même temps ».
Il s’appuie notamment sur le service Patrowl sur lequel il a enregistré toutes les applications du système d’information du Club Med. Chaque matin, le service lui envoie un email avec les nouvelles vulnérabilités, les campagnes qui sont en cours sur les vulnérabilités ou les mises à jour qui n'ont pu avoir lieu : « c'est austère, mais ça fait quand même gagner beaucoup de temps. La veille, pour moi, est un point essentiel et réussir à l'automatiser pour gagner en efficacité est intéressant ».
Autre caillou dans la chaussure du RSSI, Docker et la multitude de librairies embarquées par les développeurs dans les infrastructures de conteneurs. Sur ce plan, la crise Log4J a joué le rôle d’électrochoc et a poussé le RSSI à réagir : « nous n’étions pas équipés pour y faire face. C'est comme ça qu'on a installé un logiciel open source qui s'appelle Dependency Track, qui nous a permis d'avoir une vision claire de la situation et mettre les composants concernés à jour ». Cette crise a permis au Club de progresser dans sa gestion des vulnérabilités applicatives.
Enjeu n°1 : Par où commencer ?
Si le processus de gestion des vulnérabilités mis en place par le Club Med est très simple, l’enjeu numéro 1 reste à savoir quelles sont les vulnérabilités à corriger en priorité : « il n’y a pas de recette extraordinaire. Il faut faire le tri de ce qui est le plus impactant chez nous. Les recettes sont classiques. Quelles sont les applications critiques ? Les accès distants étaient très vulnérables et ont été très largement exploités ces dernières années. De même, il serait gênant que les EDR, les gestionnaires de mots de passe présentent des vulnérabilités. Viennent aussi les applications métiers ».
Dans cette hiérarchisation des vulnérabilités à traiter en priorité, le RSSI dispose évidemment du score CVSS de la vulnérabilité, mais pas seulement. Rapid7 lui délivre l’Active Risk Score qui mesure la popularité de la faille chez les attaquants, le fait qu'elle soit exploitée et sa facilité à l'être.
Ce score plus synthétique que le CVSS permet au Club Med de définir ses priorités et de faire passer une vulnérabilité dans les exceptions à traiter d’urgence ou laisser les équipes travailler normalement : « le Risk Score est un risque lié à ce qui se passe dans le monde extérieur alors que le CVSS est un score absolu. Il est intéressant d’avoir les deux parce que finalement, c'est quand même là où on a les risques d'exploitation ».
Autre KPI fétiche pour le RSSI, le MTTR (Mean Time to Remediate). Un MTTR qui augmente n’est pas forcément lié à une mauvaise performance des équipes IT, mais peut être le signe positif que celles-ci s’attaquent à de vieilles vulnérabilités et qu’elles sont en train de réduire leur stock de vulnérabilités…
Cédric Baillet conclut : « pour nous, il est réellement important de ne pas être en cellule de crise permanente pour pouvoir faire d'autres choses à côté. Avoir un outil qui nous permet de cerner facilement tous les aspect de la vulnérabilité pour prendre des décisions rapidement, a une vraie valeur ».
Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)
-
![]()
Le hackathon, outil d’accélération de l’IA générative au Club Med
Par: Christophe Auffray
-
![]()
Cyberattaques : la dernière vulnérabilité d’Atlassian Confluence largement exploitée
Par: Arielle Waldman
-
![]()
Adobe ColdFusion : plusieurs vulnérabilités effectivement exploitées
Par: Alexander Culafi
-
![]()
Étude : selon Rapid7, l’exploitation des vulnérabilités ne ralentit pas
Par: Arielle Waldman
