SASE : tout sur la nouvelle approche du Conseil de l’Europe
L’organisme international est, par nature, très exposé aux attaques, du fait des contenus qu’il publie régulièrement. Pour contrer les campagnes DDoS et les attaques menées sur ses applications Web, l’organisme s’appuie depuis un an sur les services de Cloudflare.
Basé à Strasbourg, le Conseil de l’Europe regroupe 46 pays membres sur le continent européen, depuis le Portugal à l’ouest jusqu’à l’Azerbaïdjan à l’est. La Convention européenne des droits de l’homme, et la Cour européenne des droits de l’homme dépendent de cet organisme, et les décisions et les textes publiés par le Conseil de l’Europe peuvent fortement irriter les dirigeants peu regardants sur les droits de l’homme.
Les attaques sur ses infrastructures sont quotidiennes. « Du fait de notre exposition aux attaques étatiques sur des publications de la Cour européenne des droits de l’homme, notamment, nous subissons des attaques DDoS provenant de pays qui ne sont pas d’accord avec ce qui est en ligne », résume Jean-François Bilger, Head of Infrastructure du Conseil de l’Europe, notamment en charge de la sécurité opérationnelle. « Cela pose un enjeu de sécurité et de maintien de la disponibilité des données que le conseil de l’Europe doit délivrer en interne et en externe ».
Dans un premier temps, l’équipe informatique a cherché à contrer les attaques DDoS en interne, avec notamment le bien connu fail2ban. Si le mécanisme de protection a fonctionné un certain temps, les attaquants l’ont rapidement détecté et contourné.
Le choix d’une solution anti-DDoS dans le cloud a conduit l’équipe projet à faire le choix de la solution Cloudflare, privilégiant notamment la disponibilité du service sur de nombreux points de présence en Europe. « Il est simple de trouver des fournisseurs de service tant que l’on reste sur les 27 pays de la Commission européenne, mais pour des pays comme l’Azerbaïdjan ou la Russie, à l’époque, beaucoup ne peuvent pas répondre ».
En effet, les usages de la plateforme vont bien au-delà de la seule protection anti-DDoS. Elle est exploitée pour la sécurisation des accès distants ou encore du Bot Management, une problématique très importante étant donné l’activité de l’organisation internationale : « toute publication sur nos sites est scrutée de très près. Il ne s’agit pas seulement des bots de Google ou de Yahoo, mais de bots appartenant à des États qui veulent réagir le plus vite possible, s’il y a une publication qui les mentionne, afin de démentir ou… nous faire taire, pour faire simple. Le Bot Management est un point très important de l’offre de Cloudflare ».
La difficulté de protéger des applications non documentées
Un autre besoin clé de la DSI du Conseil de l’Europe qui allait être couvert par la plateforme Cloudflare est la protection des applications de tentatives d’attaque : « comme c’est le cas de nombreuses entreprises, nous comptons de nombreuses applications anciennes dans notre parc applicatif. Si nous ne souhaitons pas remplacer ou mettre à jour toutes ces applications pour des raisons de coût, nous devons les sécuriser de manière efficace ».
« Si nous ne souhaitons pas remplacer ou mettre à jour toutes ces applications pour des raisons de coût, nous devons les sécuriser de manière efficace. »
Jean-François BilgerHead of Infrastructure du Conseil de l’Europe
La solution initialement choisie était d’abriter ces applications potentiellement porteuses de vulnérabilités derrière un WAF, mais un premier projet s’était soldé par un échec. « L’implémentation des WAF nécessitait une interaction forte avec la partie développement ; or notre histoire a fait que les développeurs qui ont développé les applicatifs pour nous n’ont généralement pas documenté leur travail. Nous avons commencé par faire de la rétro-ingénierie des applications pour créer nos règles sur les WAF. Sur de petits applicatifs, c’est une approche possible, mais sur des produits du marché comme Liferay, par exemple, les champs peuvent être réutilisés dans de multiples modules, ce qui a conduit à bloquer la production à plusieurs reprises. Nous avons dû mettre fin au projet ».
Avec Cloudflare, l’approche fut tout autre : la configuration du WAF s’appuie sur une partie apprentissage et une partie catégorisation native. « Tout ce que nous avons essayé de faire manuellement, la solution le fait automatiquement. On se contente d’interagir avec la solution en complétant une white List avec les champs de nos applications. Cela représente un gain de temps énorme dans la mise en place de la protection. Aujourd’hui, les attaques par injection SQL, qui étaient systématiques sur d’anciens applicatifs, apparaissent dans les dashboards de Cloudflare et non plus dans les données de ces applicatifs ! »
Le responsable n’a plus eu à déplorer d’arrêts de production à cause d’un WAF trop restrictif. En outre, la réactivité de l’éditeur permet de faire face beaucoup plus rapidement aux nouvelles menaces : « Log4Shell a été bloqué en natif ; la règle nous a été mise à disposition par Cloudflare et nous n’avons eu qu’à l’activer pour protéger nos applicatifs ».
Cloudflare alimente désormais le SIEM de l’organisation. Outre ce SIEM/SOC interne, le Conseil de l’Europe met en œuvre un SOC externe (Sekoia.io), qui participe lui aussi à l’enrichissement de l’information et donc à la traque des attaquants. Cette intégration est jugée nécessaire, car si l’intégralité des sites Web du Conseil de l’Europe est désormais protégée par Cloudflare, ce n’est pas le cas de toutes les applications internes.
Pouvoir corréler les informations glanées par l’ensemble des briques de sécurité internes et par Cloudflare est donc intéressant pour détecter le plus rapidement possible les attaques simultanées sur de multiples points du SI.
Outre la disponibilité de nombreux points de présence en Europe, l’équipe projet a privilégié la rapidité de mise en œuvre de Cloudflare, la simplicité, mais aussi la capacité de délégation de certaines actions en cas d’attaque. L’équipe infrastructure dispose des droits pour configurer les services Cloudflare, mais le RSSI dispose, lui, d’un « Bouton rouge » afin de couper en urgence tous les accès en cas d’attaque, sans devoir passer par le responsable d’infrastructure.
Une plateforme encore en évolution rapide
Jean-François Bilger souligne le TCO de la solution qu’il considère comme très intéressant, de même que la facilité d’administration de la plateforme SASE. Il pointe aussi certains manques en termes de dashboarding et KPI afin de communiquer auprès de ses instances de direction sur les menaces.
Ces manques sont néanmoins rapidement comblés par la grande réactivité de l’éditeur : « lorsque nous avons commencé avec Cloudflare en 2021, les interfaces de backoffice étaient assez brutes. Celles-ci ont bien évolué depuis et outre ces améliorations d’interface, de nombreuses fonctionnalités ont été lancées. Les fonctionnalités de WAF que nous souhaitions et qui n’étaient pas disponibles le jour du déploiement l’étaient trois mois plus tard. Nous avons la capacité de remonter des demandes de fonctionnalités, qui sont effectivement disponibles 2 ou 3 mois plus tard ».
Une nouvelle fonctionnalité proposée par Cloudflare a ainsi récemment été activée par le Conseil de l’Europe, le load balancing. Le responsable de l’infrastructure a exploité cette capacité de l’offre Cloudflare non pas pour réaliser de l’équilibrage de charge, mais dans le cadre d’un PCA.
« Il est possible de définir une zone principale et une zone PCA. La bascule est automatique sans que nous ayons quoi que ce soit à faire. Nous disposons de notre propre datacenter à Strasbourg où sont hébergés tous nos applicatifs et nous avons une infrastructure de PCA live sur Azure où tout peut être automatiquement basculé. C’est une capacité qui est disponible depuis 2 mois et que nous sommes déjà en train d’explorer » conclut-il.
Propos recueillis à l’occasion de l’édition 2022 des Assises de la Sécurité.
Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)
