Compte-rendu du Forum 2024 du Cert-IST

Date : 07 Novembre 2024

Le 11 décembre 2024, le Cert-IST a organisé son Forum annuel, à Paris.

Cette année, le thème de la journée était :

25 ans du Cert-IST – Entre complexité des architectures et structuration des groupes d’attaquants, où en sommes-nous ?

Voici un compte des différentes présentations. Le programme complet ainsi que le support de certaines présentations sont disponibles sur notre site web privé.

 

Sécurisation de la surface d’attaques / panorama des solutions de scanning
Maxime ESCOURBIAC – Michelin

Cette présentation explique les outils mis en place par Michelin pour identifier et surveiller l’ensemble des vulnérabilités présentes dans son système d’information.

L’orateur montre tout d’abord la complexité de la tâche en comparant « le monde d’avant » (modèle du château fort) au monde moderne (modèle Cloud). Et pour la plupart des entreprises, le système d’information actuel est la somme de ces 2 mondes.

Il analyse ensuite les stratégies que l’on peut mettre en place, en prenant en compte :

  • Le shadow-IT : les équipes sécurité ne connaissant qu’une partie des systèmes exposés aux attaques,
  • Les points d’intérêt des attaquants.

Cela abouti à définir un espace à 2 dimensions (avec sur un axe l’intérêt des attaquants, et sur l’autre l’espace qui va des systèmes connus aux systèmes inconnus) sur lequel l’orateur montre là où se place chacun des outils de surveillance mis en place par Michelin.

L’un de ces outils a été développé spécifiquement par Michelin : il se nomme Redscan et est disponible sur Github.

Nota :

  • LeMagIT.fr a publié en août 2024 un article à propos d’une présentation similaire faite par Michelin sur ce sujet.
  • dans la planche 11, l’item DNS représente les attaques sur les noms de domaines.

 

Sécurisation et Modernisation des Active Directory chez VINCI
Vincent LE TOUX – VINCI

Cette présentation est un retour d’expérience sur la sécurisation de l’AD. Dans le contexte d’une grande entreprise, cela représente plusieurs centaines de domaines répartis dans les différentes organisations du groupe. Et les fusions et acquisitions apportent sans arrêt des nouveaux domaines qu’il faut intégrer.

En tant que CERT du groupe VINCI, le choix qui a été fait est de superviser le niveau de sécurité des AD, mais de ne pas imposer de modèle (par exemple un AD central ou bien des forêts), chaque entité ayant son autonomie technique sur ce sujet. Le CERT central intervient à 3 niveaux :

  • La définition de la politique de sécurité du groupe,
  • La surveillance du niveau de sécurité des AD (avec l’outil Ping Castle),
  • Le pentest.

Voici les éléments que nous avons notés pour ce retour d’expérience :

  • Chaque entité gère son propre AD isolé (sans trust entre AD) et la collaboration se fait grâce à des mécanismes de partage (non détaillés) entre les EntraID de chaque entité.
  • Plutôt que de chercher à améliorer la sécurité de tous les AD, il vaut mieux concentrer l’effort sur les AD les plus critiques, par exemple ceux qui gèrent le plus grand nombre d’utilisateurs.
  • La migration vers EntraID (anciennement Azure Active Directory) est inéluctable. On passera progressivement d’un modèle (ancien) où l’Active Directory était le cœur de l’authentification (EntraID se synchronisant sur l’AD) à un modèle où EntraID sera l’élément central (les DC contacteront l’EntraID pour l’authentification). Mais cette migration technologique sera très longue (10 ans ?).
  • La gestion des incidents est devenue moins complexe au niveau de l’AD, du fait de l’expérience acquise au cours des années. Par exemple la reconstruction de l’AD n’est plus forcément nécessaire car on sait mieux gérer le renouvellement des secrets.

 

 La confiance n'exclut pas le contrôle (RETEX)
Jérôme FRANCILLON - Orange CERT-CC

Pas de compte-rendu car cette présentation est classée TLP:RED

 

Valoriser un programme CTI : les indicateurs qui font la différence
Thomas JEANTELLET – Engie

L’orateur présente tout d’abord les concepts généraux pour un programme de CTI :

  • Les activités concernées (Surveillance, Veille, Enrichissement, Hunting et Production de rapports),
  • le cycle de vie pour la production de CTI.

 Il montre que cette activité peut progresser en termes de maturité et propose 3 paliers :

  • Basique : Utiliser les outils publiés par d’autres pour initialiser l’activité,
  • Avancé : Personnaliser ces outils ou en proposer de nouveaux,
  • Mature : Mettre l’accent sur l’automatisation et l’amélioration continue.

Il s’intéresse enfin à définir des indicateurs (KPI) permettant de mesurer l’activité et de de suivre son évolution.

 

25 ans : 4 mariages et 1 enterrement
Didier GRAS – BNP Paribas/CESIN

2024 est l’année du 25eme anniversaire du Cert-IST, et Didier Gras (qui fait cette présentation au nom du CESIN) profite de cette occasion pour faire un bilan sur 25 ans de cyber-sécurité : ce qui marche bien (les 4 mariages) et ce qui reste toujours difficile (1 enterrement).

Selon lui, les quatre principales réussites en matière de cybersécurité ont été les suivantes:

  • La culture du risque : Il y a une grande culture sur l’appréciation des risques en France (Mehari, EBIOS, etc.) et plus généralement en Europe. Il faut faire attention cependant à ne pas se laisser imposer des échelles d’évaluations, par des agences de notation qui ne connaissent pas cette culture.
  • La culture du secret : Dans un monde où la confidentialité régresse (avec par exemple les réseaux sociaux, ou le renforcement de la surveillance), la protection du secret (pour les données sensibles) reste indispensable.
  • La culture de la réaction : Les grandes organisations ont très largement développé leurs capacités de réactions (gestion de crise, réponse sur incident, SOC, etc.). Par contre les plus petites structures n’ont pas encore cette capacité.
  • La culture du contrôle : Elle est dans certains domaines (le bancaire par exemple) très développée avec des modèles de contrôle avec plusieurs lignes de défense. Il y a même parfois un excès de contrôle (on passerait presque plus de temps à contrôler qu’à faire) et il y a un besoin ici d’introduire plus d’humain : s’appuyer sur la confiance et les échanges plutôt que sur des grilles de contrôle.

Sur chacun des sujets, l’orateur présente dans ses slides l’équilibre sur lequel on arbitre lorsque l’on pilote l’activité. Par exemple la gestion des risques consiste à définir un équilibre approprié entre le refus (pas de prise de risque) et l’acceptation du risque.

Selon l’orateur, le 5eme domaine, qui reste difficile malgré 25 années d’expérience, est celui de la gestion des vulnérabilités et surtout le flux incessant des correctifs que diffusent les éditeurs. Il appelle à la responsabilisation de ces éditeurs.

En conclusion il insiste sur un facteur clé du succès : l’acculturation (c’est-à-dire l’acquisition de la culture cybersécurité) qui permet à l’individu de progresser dans sa maitrise du sujet.

Nota : On pourra par exemple se reporter à cet article pour une description des 6 étapes du processus d’acculturation.

 

Les principales menaces 2024 (et 2025)
Philippe BOURGEOIS - Equipe technique Cert-IST

Cette présentation passe en revue l’année 2024 afin de mettre en valeur les éléments le plus significatifs. En introduction l’orateur commente les 3 événements les plus marquants de 2024 d’un point de vue cyber :

  • Les Jeux Olympiques et Paralympique de Paris
  • Les pannes induites par Crowdstrike en juillet 2024
  • Les attaques sur les équipements de bordure

Il aborde ensuite plus en détail les sujets suivants :

  • Ransomware : où en sommes-nous ?
  • Attaques des équipements de bordure (VPN, etc.)
  • Attaques visant le Cloud
  • Attaques XZ-Utils et Supply-chain logicielle
  • Responsabilisation des éditeurs en légiférant ?

La conclusion est que si les menaces restent très présentes, plusieurs éléments vus en 2024 sont très positifs :

  • Succès des JO Paris 2024,
  • Multiplication des opérations judiciaires,
  • Mise en place d’un cadre réglementaire en Europe (NIS2, CRA).

Pour 2025 on peut s’attendre à une poursuite des tendances de 2024 :

  • Poursuite des attaques des équipements de bordure,
  • Augmentation des attaques visant le Cloud,
  • Réalisation de travaux pour la prise en compte de l’évolution du cadre réglementaire (NIS-2 et CRA).
Précedent Précedent Suivant Suivant Imprimer Imprimer

© 2024 Cert-IST