Le retour d'expérience du mois
De la sécurisation du SI à la sécurisation de tout un écosystème
Retour vers le Journal
Cyrille SALMON, le CTO de DARVA, a présenté le programme « De la sécurisation du SI à la sécurisation de tout un écosystème » mené depuis 18 mois. De nombreuses actions ont été menées, tant sur l’aspect technique qu’humain. Le renforcement de la sécurité profite aux 13.000 entreprises clientes et partenaires travaillant au quotidien avec DARVA.
DARVA fournit également des outils de place pour le compte de France Assureurs et de l’Union des Assisteurs, avec plus de 5 millions de missionnements de dépannage auto en 2022, ainsi que des services de confiance qualifiés par l’ANSSI, comme l’envoi de recommandés électroniques de Résiliation d’assurance.
Compte tenu de notre rôle central et de la croissance exponentielle des risques de cybersécurité, DARVA a lancé un programme ambitieux de renforcement de sa sécurité informatique.
Le premier concerne la sécurisation du SI. C’est environ 30% du budget de la production IT qui y est affecté, pour renforcer nos défenses notamment avec de nouvelles couches de firewalls, des WAF, un nouvel antivirus, la généralisation d’un EDR, l’activation de la géo-protection, le chiffrement des bases, etc... Nous avons également renforcé les postes de travail de nos collaborateurs et prestataires. Plus personne n’est administrateur de son poste, nous avons bloqué les ports USB, ainsi que l’accès aux sites de transfert de fichiers sur Internet et les messageries personnelles, et nous avons généralisé l’authentification à double facteur. Enfin, nous avons fait la chasse aux logiciels obsolètes, pour réduire la surface d’attaque.
Le deuxième axe porte sur l’organisation et la gouvernance. Nous avons rapidement ouvert notre SOC en HNO. Nous avons fait le ménage dans les comptes à privilège. Aujourd’hui, seuls les collaborateurs de la production IT ont accès aux environnements de production, là où précédemment, certains développeurs pouvaient y accéder directement. Nous généralisons les approches Zéro Trust, aussi bien en interne qu’en externe. Nous avons intégré la sécurité bien en amont dans les projets au travers une démarche de « Security by Design », et constitué une Guilde DevSecOps pour partager les bonnes pratiques dans le déploiement des projets en production.
Nous avons créé un comité Sécurité qui se réunit 2 fois par mois pour traiter des sujets internes, et une Commission Sécurité avec nos clients qui se réunit tous les trimestres pour traiter des sujets les intéressants au premier chef.
Et le troisième volet ?
Nous voulons mettre l’effort sur l’anticipation des menaces. Nous avons créé un « PASSE Sécurité », sous forme d’un questionnaire déclaratif envoyé à nos clients et partenaires pour mieux comprendre leur maturité en matière de cybersécurité. L’étape suivante consistera à outiller ce PASSE Sécurité pour évaluer le security rating des entreprises connectées à DARVA avec des tests, et accompagner les clients et partenaires dans l’amélioration de leur sécurité.
Chaque année nous réalisons des tests de sécurité sur nos 160 URL exposées. De plus, sur 2023 nous avons eu quasiment un audit et un test de sécurité par mois à la demande de nos clients. Nous sortons également d’une année de tests musclés avec une Red Team. Pour répondre à ce niveau d’exigence et minimiser le nombre de vulnérabilités remontées par ces audits, nous avons mis en place des outils de sécurisation du code produit par DARVA, mais aussi des librairies externes qui sont embarquées. Si nous détectons un code contenant une CVE critique, nous bloquons le déploiement de ce code en production.
Nous sommes également en train de contractualiser avec une Incident Response Team, parce que ce n’est pas le jour où l’on est crypto-lockés qu’il faut se mettre à rechercher qui contacter pour faire l’analyse Forensic.
Nous avons également détecté des documents internes accessibles sur le Dark Net, des repositories de code accessibles de l’extérieur, de la réutilisation de code interne non autorisé et des comptes de collaborateurs sur des services externes compromis.
Sur les 100.000 utilisateurs de la plateforme, nous avons aussi identifié 35 comptes clients compromis, y compris des comptes génériques qui étaient partagés par plusieurs centaines d’utilisateurs. Nous sommes en train de remplacer ces comptes génériques par des comptes nominatifs. Enfin, l’équipe Cyberint regarde s’il n’y a pas de groupement de hackers qui pourraient nous viser.
Nous avons commencé par leur confier un PC de collaborateur. En l’espace d’une journée, ils ont ciblé les serveurs Windows obsolètes, infiltré des comptes à privilège et pris la main sur notre Active Directory.
Ensuite, ils ont fait des tests d’intrusion externes pendant plusieurs mois et d’autres tests depuis le PC d’un de nos Centres de Service.
Pour terminer, ils ont réalisé des tests ciblés sur nos infrastructures de sauvegarde (qui sont souvent le recours principal en cas de cryptolocking) renouvelées depuis peu, pour savoir si elles étaient suffisamment protégées.
En septembre 2023, nous avons fait une réévaluation globale de la sécurisation du SI pour vérifier la correction des vulnérabilités relevées sur les 12 derniers mois. Cette fois il a fallu deux semaines et demi à la Red Team pour arriver à atteindre l’Active Directory. Durant ce temps, nous les avons vu passer, nos IPS les ont détectés et nos EDR les ont bloqués plusieurs fois. Grace à ces tests, nous avons pu progresser significativement. Preuve en est : notre Security Score se compose désormais de notes A, à l’exception d’une note B pour les comptes compromis de nos clients TPE sur lesquels nous allons travailler sur 2024.
Nous allons continuer à sécuriser les « remparts », remplacer tous les comptes génériques de nos clients par des comptes nominatifs en visant une Double Authentification, et compléter le PASSE Sécurité avec un outil d’évaluation. Nous allons remplacer la Red Team par une solution logicielle de pentesting sur laquelle nous aurons davantage la main.
Et aussi, nous envisageons de construire un cloud souverain communautaire pour notre écosystème afin d’aider nos partenaires qui n’ont pas la capacité financière de monter en puissance en termes de sécurité.
Les retours de nos clients et partenaires recueillis par la Commission Sécurité sont positifs, ils perçoivent aujourd’hui DARVA comme un acteur de référence en matière de cybersécurité.
Quels sont les enjeux qui ont poussé DARVA à engager un grand projet de re-sécurisation du SI ?
DARVA développe depuis 35 ans des plateformes destinées au domaine de l’assurance et plus particulièrement à l’orchestration des processus de la gestion des sinistres. Plus de +100 000 utilisateurs professionnels comme des assureurs, des cabinets d’experts, des métiers du bâtiment, des carrossiers, ou encore des dépanneurs se connectent à nos plateformes. En cas d’indisponibilité de notre SI, c’est quasiment toute la gestion des sinistres auto et habitation en France qui s’arrête.DARVA fournit également des outils de place pour le compte de France Assureurs et de l’Union des Assisteurs, avec plus de 5 millions de missionnements de dépannage auto en 2022, ainsi que des services de confiance qualifiés par l’ANSSI, comme l’envoi de recommandés électroniques de Résiliation d’assurance.
Compte tenu de notre rôle central et de la croissance exponentielle des risques de cybersécurité, DARVA a lancé un programme ambitieux de renforcement de sa sécurité informatique.
Par quoi avez-vous commencé ?
De façon un peu originale, nous avons d’abord effectué une Learning Expedition en Israël, organisée avec l’aide des sociétés FS INNSTRAT et DNR. Nous sommes revenus avec 2 solutions : la première portant sur la surveillance du Dark Net et l’évaluation de notre vulnérabilité aux menaces externes, et la seconde sur un pilotage de Pen Tests réalisés par une Red Team.Ensuite, comment avez-vous engagé ce programme ?
Notre programme est structuré autour de 3 axes.Le premier concerne la sécurisation du SI. C’est environ 30% du budget de la production IT qui y est affecté, pour renforcer nos défenses notamment avec de nouvelles couches de firewalls, des WAF, un nouvel antivirus, la généralisation d’un EDR, l’activation de la géo-protection, le chiffrement des bases, etc... Nous avons également renforcé les postes de travail de nos collaborateurs et prestataires. Plus personne n’est administrateur de son poste, nous avons bloqué les ports USB, ainsi que l’accès aux sites de transfert de fichiers sur Internet et les messageries personnelles, et nous avons généralisé l’authentification à double facteur. Enfin, nous avons fait la chasse aux logiciels obsolètes, pour réduire la surface d’attaque.
Le deuxième axe porte sur l’organisation et la gouvernance. Nous avons rapidement ouvert notre SOC en HNO. Nous avons fait le ménage dans les comptes à privilège. Aujourd’hui, seuls les collaborateurs de la production IT ont accès aux environnements de production, là où précédemment, certains développeurs pouvaient y accéder directement. Nous généralisons les approches Zéro Trust, aussi bien en interne qu’en externe. Nous avons intégré la sécurité bien en amont dans les projets au travers une démarche de « Security by Design », et constitué une Guilde DevSecOps pour partager les bonnes pratiques dans le déploiement des projets en production.
Nous avons créé un comité Sécurité qui se réunit 2 fois par mois pour traiter des sujets internes, et une Commission Sécurité avec nos clients qui se réunit tous les trimestres pour traiter des sujets les intéressants au premier chef.
Et le troisième volet ?
Nous voulons mettre l’effort sur l’anticipation des menaces. Nous avons créé un « PASSE Sécurité », sous forme d’un questionnaire déclaratif envoyé à nos clients et partenaires pour mieux comprendre leur maturité en matière de cybersécurité. L’étape suivante consistera à outiller ce PASSE Sécurité pour évaluer le security rating des entreprises connectées à DARVA avec des tests, et accompagner les clients et partenaires dans l’amélioration de leur sécurité.
Chaque année nous réalisons des tests de sécurité sur nos 160 URL exposées. De plus, sur 2023 nous avons eu quasiment un audit et un test de sécurité par mois à la demande de nos clients. Nous sortons également d’une année de tests musclés avec une Red Team. Pour répondre à ce niveau d’exigence et minimiser le nombre de vulnérabilités remontées par ces audits, nous avons mis en place des outils de sécurisation du code produit par DARVA, mais aussi des librairies externes qui sont embarquées. Si nous détectons un code contenant une CVE critique, nous bloquons le déploiement de ce code en production.
Nous sommes également en train de contractualiser avec une Incident Response Team, parce que ce n’est pas le jour où l’on est crypto-lockés qu’il faut se mettre à rechercher qui contacter pour faire l’analyse Forensic.
Quels résultats avez-vous obtenus de la surveillance du Dark Web ?
En 12 mois, l’outil de surveillance de Cyberint nous a permis de remonter plus de 250 alertes. Derrière cet outil, il y a toute une équipe d’experts qui analyse le Dark Web en continu, et qui nous remonte des failles et des risques. Sur cette durée, l’équipe de Cyberint a pu arrêter 10 sites à l’origine de phishing ou hébergeant une fausse application DARVA.Nous avons également détecté des documents internes accessibles sur le Dark Net, des repositories de code accessibles de l’extérieur, de la réutilisation de code interne non autorisé et des comptes de collaborateurs sur des services externes compromis.
Sur les 100.000 utilisateurs de la plateforme, nous avons aussi identifié 35 comptes clients compromis, y compris des comptes génériques qui étaient partagés par plusieurs centaines d’utilisateurs. Nous sommes en train de remplacer ces comptes génériques par des comptes nominatifs. Enfin, l’équipe Cyberint regarde s’il n’y a pas de groupement de hackers qui pourraient nous viser.
Et avec la Red Team ?
Nous avons commencé par leur confier un PC de collaborateur. En l’espace d’une journée, ils ont ciblé les serveurs Windows obsolètes, infiltré des comptes à privilège et pris la main sur notre Active Directory.Ensuite, ils ont fait des tests d’intrusion externes pendant plusieurs mois et d’autres tests depuis le PC d’un de nos Centres de Service.
Pour terminer, ils ont réalisé des tests ciblés sur nos infrastructures de sauvegarde (qui sont souvent le recours principal en cas de cryptolocking) renouvelées depuis peu, pour savoir si elles étaient suffisamment protégées.
En septembre 2023, nous avons fait une réévaluation globale de la sécurisation du SI pour vérifier la correction des vulnérabilités relevées sur les 12 derniers mois. Cette fois il a fallu deux semaines et demi à la Red Team pour arriver à atteindre l’Active Directory. Durant ce temps, nous les avons vu passer, nos IPS les ont détectés et nos EDR les ont bloqués plusieurs fois. Grace à ces tests, nous avons pu progresser significativement. Preuve en est : notre Security Score se compose désormais de notes A, à l’exception d’une note B pour les comptes compromis de nos clients TPE sur lesquels nous allons travailler sur 2024.
Quelles actions avez-vous planifiées sur 2024 ?
Nous allons continuer à sécuriser les « remparts », remplacer tous les comptes génériques de nos clients par des comptes nominatifs en visant une Double Authentification, et compléter le PASSE Sécurité avec un outil d’évaluation. Nous allons remplacer la Red Team par une solution logicielle de pentesting sur laquelle nous aurons davantage la main.Et aussi, nous envisageons de construire un cloud souverain communautaire pour notre écosystème afin d’aider nos partenaires qui n’ont pas la capacité financière de monter en puissance en termes de sécurité.
Quelles leçons tirez-vous de ce programme de sécurisation ?
Extrêmement positives ! Ce projet a embarqué l’ensemble de l’entreprise. Nous avons réussi à fédérer plusieurs acteurs opérationnels, collaborateurs, clients et partenaires autour de cette ambition de sécurité pour préserver un patrimoine commun.Les retours de nos clients et partenaires recueillis par la Commission Sécurité sont positifs, ils perçoivent aujourd’hui DARVA comme un acteur de référence en matière de cybersécurité.