kwarkot-stockadobe.com
Le Mans Métropole muscle la sécurité et la résilience de son Active Directory
La communauté de communes a fait de la protection de son Active Directory un point clé de la résilience de son système d’information. Un vaste chantier de restructuration de l’architecture AD et de renforcement de la défense en profondeur.
Le Mans Métropole regroupe 20 communes, pour environ 213 000 habitants. Avec un budget de 757 M€, la communauté urbaine sarthoise compte de l’ordre de 1 850 agents, dont 57 font partie de la DSI. La cybersécurité est assurée par une équipe de 5 personnes.
Il y a environ 2 ans, Stéphane Cappelaere, DSI de Le Mans Métropole a souhaité accroître la sécurité de l’annuaire de l’organisation. L’actualité avait montré que l’Active Directory était le talon d’Achille de nombreuses entreprises et collectivités : « nous avons fait le constat que beaucoup de collectivités ont été attaquées et qu’elles ont mis énormément de temps à reconstruire leur AD. Il y avait plusieurs raisons à cela, mais il était évident que l’Active Directory est un point très sensible du système d’information et que celui-ci est particulièrement ciblé par les attaquants ».
Le DSI a souhaité mettre en place une solution afin de protéger au mieux l’AD de l’agglomération, mais aussi aider ses équipes à rétablir au plus vite l’annuaire en cas d’incident. Adrien Luzé, RSSI de Le Mans Métropole, explique : « les attaques sur Angers et, plus récemment, sur le conseil départemental de Saint-Nazaire résonnent beaucoup au niveau local. De plus, en tant qu’ancien auditeur cyber, j’étais convaincu de l’importance de l’AD ; c’est la première cible que l’on cherche à faire tomber ».
Le RSSI s’appuie notamment sur l’état de la menace publié par l’Agence nationale de la sécurité des systèmes d'information (Anssi) qui pointe les attaques en double extorsion dont le point initial est bien souvent une compromission de l’AD.
Priorité à une solution de protection éprouvée et simple d’emploi
Convaincu de l’urgence de traiter ce risque au plus tôt, le DSI se met en quête d’un outil capable à la fois de détecter toute tentative d’attaque sur l’Active Directory de la Métropole, mais aussi d'apporter à son équipe des moyens de répondre rapidement à l’incident.
Si plusieurs solutions de sécurisation AD sont disponibles sur le marché, Stéphane Cappelaere veut privilégier une solution sûre, éprouvée et fiable. Il souhaite que ses équipes puissent rétablir au plus vite les services en ligne afin de délivrer les services publics en cas d’attaque, conformément aux obligations réglementaires auxquelles est soumise la Métropole.
Le DSI qui avait rencontré l’éditeur Semperis lors d’un événement organisé par l’association Mission Ecoter (Mission pour l’Economie Numérique, la Conduite et l’Organisation des Territoires) souhaite aller plus loin : « suite à cet échange, Semperis nous a proposé de monter un PoC pour nous rendre compte des capacités de leur plateforme. Nous voulions nous assurer que la solution est simple à prendre en main, dans son administration au quotidien et pour mettre en place l’annuaire ».
A l’époque, l’équipe cybersécurité de la métropole se limite à son seul RSSI avec de multiples chantiers à mener en parallèle. Impossible donc de le mobiliser totalement sur ce seul projet : « à ce moment-là, j’étais seul à gérer la cybersécurité », se souvient Adrien Luzé. Mais voilà, explique-t-il, « la solution est suffisamment simple pour pouvoir mener le déploiement avec un administrateur système sans spécialisation Cyber. Avec l’accompagnement de Semperis, nous avons été capables de déployer la solution sans souci ».
S’il n’y a pas eu de démonstrateurs avec plusieurs solutions, les échanges avec d’autres collectivités qui avaient déployé la solution ont été positifs. De même, le DSI questionne son partenaire Orange Cyberdefense qui valide son choix : la solution Semperis est utilisée par ses propres consultants sur les interventions de remédiation.
Pour lui, c'est bien simple, « au moment de ce choix, il m’a semblé que les autres solutions sur le marché n’offraient pas cette simplicité d’usage, de même que j’ai privilégié une solution offrant aussi le volet Disaster Recovery des Contrôleurs de Domaine (DC) et sur la surveillance des Unités d’Organisation (OU) et des paramètres des forêts ».
Le point de départ d’un vaste chantier sur l’annuaire
Aujourd’hui, l’équipe cybersécurité de la Métropole a grandi et compte 5 membres mais, pour une DSI de 57 personnes, la problématique de surcharge des équipes reste la même : « nous avons fait un grand pas en avant sur la gestion des risques cyber et sur les outils, mais nous avons de nombreux chantiers à mener, notamment pour nous préparer à NIS 2 », explique le DSI.
Dès lors, indique-t-il, « nous avons du mal à avancer comme on le souhaiterait sur l’ensemble de ces sujets. Cc’est la raison pour laquelle nous privilégions des outils qui soient simples à s'approprier et qui fonctionnent bien tout seuls et qui peuvent nous alerter quand c’est nécessaire ».
L’installation de la solution Semperis fut le point de départ d’un vaste chantier de restructuration de l’architecture AD de la métropole, afin de remettre à plat les OU, un chantier très lourd qui va être mené en tâche de fond. Adrien Luzé explique : « nous avons initié ce chantier avec la mise en place du tiering sur nos OU, puis le traitement des problèmes structurels de nos forêts en parallèle, mais il s’agit d’un chantier qui va durer plusieurs années, car nous avons bien d’autres priorités à gérer en parallèle ».
Afin de renforcer la défense en profondeur du système d’information, le RSSI dispose de l’outil DSP (Directory Services Protector) de Semperis afin de surveiller toutes les actions réalisées sur les objets de l’AD et définir des actions de rollback automatique : « nous avons activé une quarantaine de règles d’alerte et de rollback. Nous pourrions en mettre plus, mais l’objectif est de nous concentrer sur les mesures principales afin de pouvoir les suivre dans la durée car cela devient rapidement très chronophage ».
Des alertes sont générées sur la création et les modifications apportées aux groupes dans les zones marquées critiques, les élévations de droits. Le RSSI considère que la configuration actuelle est pleinement fonctionnelle, même si des améliorations peuvent toujours être apportées. La configuration évolue en ce sens au fil de l’eau.
Des opérations de Red Teaming ont déjà été menées sur l’infrastructure de la Métropole, mais le RSSI n’a pas été pleinement satisfait des résultats obtenus : « je connais bien les problèmes que nous pouvons avoir sur notre SI et l’auditeur aurait sans doute pu pousser plus ses investigations. D’autres missions seront mandatées dans l’avenir, mais nous devons encore faire évoluer nos moyens de protection avant de lancer à nouveau ces opérations, afin que cela nous soit vraiment utile ».
La métropole dispose d’un SOC en service managé, mais la solution Semperis n’a pas été connectée pour l’instant. Le RSSI préfère traiter lui-même les alertes remontées par la solution, y compris lorsque les administrateurs interviennent sur l’AD, ce qui témoigne de la criticité de l’annuaire.
Améliorer la résilience de l’infrastructure
Outre la sécurité opérationnelle de l’annuaire, sa sauvegarde/récupération était un objectif clé de ce déploiement. La fonction de Disaster Recovery de Semperis est maintenant pleinement active : « pour être sûrs qu’elle est fonctionnelle, nous la testons via une procédure simplifiée de recouvrement », explique Stéphane Cappelaere. « Lors des tests, des machines virtuelles sont déployées dans le domaine, puis nous leur faisons perdre leur contrôleur de domaine. Nous remontons un DC avec Semperis et nous pouvons constater que cela fonctionne avec les bons objets sur ce DC », décrit-il.
Ces tests sont menés dans un environnement isolé pour éviter tout impact sur la production, mais le DSI souhaite aller plus loin : « pour être certains d’avoir augmenté la résilience de notre système d’information, nous envisageons de tester la procédure de Disaster Recovery en conditions réelles. C’est la seule façon de nous assurer que nous pourrons rétablir rapidement notre AD en cas d’attaque majeure », juge-t-il. Stéphane Cappelaere espère pouvoir mener cette simulation en vraie grandeur d’ici la fin de l’année.
