| SecOp
Découvrez l’évolution de Bastien, consultant SecOp
Bastien Renaudeau, consultant Sécurité Opérationnelle, vous partage les enjeux de sa practice Sécurité de l’écosystème Microsoft chez Synetis.
Ton poste a-t-il évolué depuis notre dernière rencontre ?
Peux-tu nous expliquer tes missions en tant que consultant Sécurité Opérationnelle - Sécurité de l’écosystème Microsoft chez Synetis ?
Oui, j’ai récemment été promu consultant confirmé ! Cette promotion me permet d’accompagner mes clients de A à Z – de la prise en compte de leurs besoins (avant-vente) au déploiement de solutions adaptées. Aussi, d’un point de vue managérial, j’ai désormais l’occasion d’encadrer des stagiaires et alternants, je participe également au recrutement des équipes. Des nouveautés palpitantes !
Chez Synetis, la possibilité de nous orienter vers la solution, ou spécialisation de notre choix, nous est laissée. Nous pouvons être force de proposition sur l’évolution de nos carrières, ce que j’apprécie grandement.
J’accompagne, également, toujours mes clients dans la sécurisation de leurs environnements Microsoft. Plus spécifiquement, mes missions sont de sécuriser les systèmes Azure AD et Active Directory de mes clients. Je m’occupe également de réaliser des diagnostics AD, et de sécuriser les environnements M365.
Mes missions sont donc de déployer des solutions d’authentification fortes, via l’utilisation de clés de sécurité (Windows Hello for Business).
En outre, depuis peu, j’ai décidé de m’orienter vers la sécurité des sauvegardes autour des solutions Microsoft et VEeam.
La sauvegarde est l’une des règles numéro 1 pour pouvoir restaurer son infrastructure réseau, en cas de compromission de son infrastructure. Je trouve donc ces missions très challengeantes et importantes car, si la sauvegarde est compromise ou altérée, le client n’aura alors plus accès à son SI (Système d’Information). Ceci entraînerait, malheureusement, l’arrêt complet de son activité.
Sécurisation des environnements Microsoft
Nos experts Sécurité Opérationnelle répondent à vos questions
Depuis le début de l’année 2023, quelles sont les grandes nouveautés que tu as remarqué ?
En effet, si je devais retenir un élément, de ce début d’année 2023, ce serait la solution Windows Local Administrator Password Solution (Windows LAPS).
La solution Microsoft Windows LAPS, vise à remplacer LAPS, dit maintenant Legacy LAPS. Windows LAPS et Legacy LAPS ne doivent jamais être mis sur la même machine car elle empêche la modification du mot de passe local par Legacy LAPS. Il ne faut donc pas avoir deux outils différents les mots de passe, sinon cela engendre des conflits.
Nous avons été en mesure, chez Synetis, d’évaluer les impacts lors du déploiement de cette solution, et donc d’éviter divers répercussions sur le SI de nos clients.
Et quelle mission t’as le plus marqué ?
J’ai eu l’opportunité de participer à une reconstruction de SI, suite à une cyberattaque. J’ai travaillé tout particulièrement sur la partie Active Directory.
L’environnement Active Directory était lui corrompu, et la majorité des actifs du client étaient corrompus – voire inopérants. Un seul site fonctionnait, composé de machines de production qui ne fallait surtout pas arrêter.
Nous avons accompagné le client pour établir une stratégie, afin de nettoyer et sécuriser son environnement AD. Nous ne devions pas impacter le dernier industriel qui était toujours en état de fonctionnement.
En étroite collaboration avec l’équipe CERT de Synetis, nous avons pu établir les premières traces de l’attaquant et de son mode opérationnel. Nous avons pu, ainsi, déterminer une date de restauration cible de l’annuaire AD.
En outre, même en restaurant à une date inférieure à la date d’attaque, nous avons fait le choix de nettoyer le système et l’environnement AD (pour éviter des persistances de l’attaquant) mais aussi de sécuriser son environnement AD, en implémentant l’ensemble des bonnes pratiques (modèle de tiering, stratégies de sécurité, réinitialisation des comptes admin/services, etc.).
L’implémentation des bonnes pratiques passe forcément par une analyse de l’environnement AD (des assets sensibles, des spécificités applicatives, des processus, etc.), se faisant en étroite collaboration avec l’équipe IT du client.
Pour finir, nous avons restauré l’annuaire AD à 60 jours en arrière. De ce fait, plus aucune machine ne pouvait contacter le contrôleur de domaine. Nous avons donc utilisé une commande spéciale (Netdom) pour réinitialiser le lien de confiance (Secure Channel).
Pourquoi l’offre Sécurité de l’écosystème Microsoft est-elle intéressante pour les entreprises ?
L’offre Sécurité de l’écosystème Microsoft, proposée par Synetis, est importante pour les entreprises puisque les solutions Microsoft représentent – souvent – une majeure partie du SI des organisations françaises (TPE, PME, comme entreprises du CAC 40).
Un environnement Microsoft (Azure AD, Active Directory) peut être vulnérable, si celui-ci est mal configuré, non patché régulièrement. En effet, un attaquant pourra aisément étendre son périmètre d’attaque, en effectuant des mouvements latéraux – d’où la nécessité de bien sécuriser ses environnements.
Pour permettre cela, nous utilisons, en autre, le modèle de Tiering. Ce modèle de sécurité permet de séparer les comptes à privilèges, dans les différentes couches d’administration (les tiers) et périmètres fonctionnels. Nous réalisons cela dans le but de freiner la propagation d’une éventuelle compromission d’un tiers (une des solutions).
Aurais-tu 3 conseils à donner aux entreprises pour le bon déroulement d’un projet de sécurisation ?
Pour le bon déroulement d’un projet de sécurisation, voici ce que je conseille en priorité à mes clients :
- Connaître son environnement, son SI. Tout d’abord, il est indispensable d’établir une cartographie de ses ressources en fonction des fonctionnalités des machines (Quel compte de service ? Quels protocoles sont utilisés pour une application métier ? Celle-ci est-elle supportée par l’éditeur ? Quelles sont les interconnexions entre les machines et le reste du SI ?). L’objectif principal de la cartographie du SI est de fournir une vue d’ensemble claire et compréhensible du paysage informatique de l’organisation.
Chez Synetis, nous sommes capables d’accompagner nos clients dans l’identification et le mapping de leurs SI. - Effectuer les changements dans un environnement de pré-production qui est proche du Système d’Information de production. Cela permet d’identifier les impacts des modifications, qui n’auraient pas pu être identifiés auparavant. Ce procédé permet de valider ce que nous avons déjà identifié, et donc d’éviter toutes menaces pour l’environnement de production.
- Impliquer toutes les parties prenantes du SI. Il est important de sécuriser ses environnements, et que ces derniers soient maintenus par les administrateurs et utilisés par les utilisateurs. Ne sous-estimez pas la puissance de la sensibilisation interne : bonnes pratiques des gestionnaires de mot de passe, sensibilisation au phishing, etc.
Lors de la sécurisation d’un SI, nous nous sommes déjà rendu compte que certains administrateurs – qui n’ont pas été partie prenante, formé, sensibilisé – se sont retrouvés à contourner le modèle de sécurité officiel de l’organisation, car celui-ci n’avait pas été compris. Cette méconnaissance peut entraîner un affaiblissement de la sécurité du SI, et in fine de vos données les plus sensibles.
Camille Jean-Baptiste
Chargée de Communication