Business France : Protéger le cœur de son SI autour d’un bastion

Les objectifs sont ambitieux : créer un bastion autour de l’Active Directory, et obtenir la note maximale de 5 sur 5 décernée par l’outil Oradad de l’ANSSI. Philippe Alegre, CTO de Business France, explique comment l’équipe IT a réussi ce tour de force.

Pourquoi craindre une cyber-attaque ?
Même si le risque d’une attaque directe sur Business France n’est pas de nos jours fondamentalement plus élevé que sur n’importe quelle autre entreprise ou service public, nous pouvons être impactés par une attaque touchant par exemple l’un de nos ministères de tutelle : Le Ministère de l’Europe et des Affaires Etrangères ou le Ministère des Finances. Avec nos 130 sites, dont 80 situés à l’étranger, y compris dans des zones de conflit, l’impact sur les entreprises françaises que nous accompagnons dans leurs démarches d’export serait énorme. Lorsque nous avions fait appel à des pentesteurs pour tester la robustesse de notre SI, ils étaient arrivés à hacker l’Active Directory, un des éléments clés de notre SI.

Quels objectifs vous êtes-vous fixés ?
En premier lieu, nous avons mené des audits pour comprendre quel était notre niveau de sécurité et quelle était la cible que nous voulions atteindre. Même si les pentesteurs avaient eu quelques difficultés à entrer au cœur de notre SI, ils l’avaient fait. Pour renforcer notre cœur de SI, nous avons décidée de construire un bastion (T0) pour protéger notamment notre Active Directory. Et pour mesurer les progrès accomplis, nous nous sommes beaucoup appuyés sur les best practices de l’ANSSI et sur leur outil Oradad (Outil de Récupération Automatique des Données de l'Active Directory).
Sur une note allant de 1 à 5, nous avons été très ambitieux : décrocher la note de 5 sur 5 !

Comment avez-vous construit le bastion ?
Il faut savoir que la construction du T0 demande une infrastructure totalement dédiée, avec des serveurs, un réseau dédié, des firewalls dédiés et d’autres dispositifs de sécurité. Après avoir eu le feu vert de notre Direction Générale, nous avons mis en place l’infrastructure nécessaire. Notre dernière opération était la réinstallation complète de l’AD, totalement en dehors du réseau, ce qui fait que durant 3 jours, nous étions déconnectés de nos entreprises clientes, et de nos collaborateurs à l’autre bout du monde.
En parallèle, nous avons renforcé les accès aux comptes à privilèges. Auparavant, les administrateurs avaient des droits omnipotents qui leur permettaient à peu près de tout faire depuis leur compte admin. Maintenant, chacun dispose de plusieurs comptes qui sont cloisonnés et hautement sécurisés. Les privilèges nécessaires pour réaliser telle ou telle tâche ne leur sont attribués que durant le temps de l’opération.

5 sur 5 : un sans-faute pour la sécurisation de l’AD

Nous avons utilisé l’outil ORADAD proposé par l’ANSSI et mis en place les bonnes pratiques proposées. On a réussi à obtenir la note maximale de 5 sur 5. Pour nous c’était comme atteindre le Graal, car ce résultat est la conséquence d’un énorme travail, non seulement pour y arriver, mais aussi pour maintenir cette notre. Tous les mois, nous réalisons des contrôles en nous auto-évaluant sur cet outil. Et si parfois nous constatons que notre note a baissé, on mène alors les actions nécessaires pour remonter à la note de 5 sur 5 !

Notre dernière fierté, c’est d’avoir de nouveau fait appel à NTT et Capgemini, avec lesquels nous travaillons depuis une dizaine d’années sur les pentests. Si avant la mise en place du bastion ils réussissaient en général à pénétrer notre AD en l’espace d’une demi-journée ̶ ce qui selon eux était déjà un niveau de résistance très honorable ̶ , aujourd’hui, même au bout d’une semaine, ils n’arrivent plus à atteindre notre Active Directory.