Le Cloud est depuis quelques années l’une des évolutions technologiques les plus importantes pour les entreprises. Les problématiques d’accès à distance, en tout temps, en tout lieu et à un coût maîtrisé, ont rendu l’usage du Cloud computing quasi-indispensable.

Pour ajouter un peu de contexte, le chiffre d’affaires mondial s’est élevé à plus de 315 milliards de dollars au premier semestre 2023, soit une augmentation de 19 % par rapport à la même période en 2022 (source : IDC, Worldwide Semiannual Public Cloud Services Tracker).

Les géants Amazon, Microsoft et Google ont démocratisé le Cloud public et l’on rendu particulièrement accessible. Comment maintenant sécuriser fiablement ces environnements et les données qui s’y trouvent ?

Un CDR, c’est quoi ?

La technologie Cloud Detection and Response (CDR) est une nouvelle approche de la sécurité dans le Cloud qui permet aux équipes de sécurité de protéger les applications et l’infrastructure cloud contre la compromission des comptes, les menaces internes et l’utilisation abusive des accès.

Le CDR regroupe et analyse en permanence de grands volumes de données sur les comptes, les droits, les configurations et l’activité des services SaaS et cloud afin de fournir une visibilité étendue et des alertes sur les menaces.

Les objectifs associés au contrôle d’accès réseau

Le CDR reprend un grand nombre des fonctions fournies par l’EDR, le XDR et le NDR et offre les mêmes capacités dans le Cloud. Le CDR protège les ressources par le biais d’un processus en plusieurs étapes qui comprend les étapes suivantes :

• Surveillance automatisée : le CDR cartographie et surveille automatiquement l’environnement cloud d’une organisation, ce qui lui permet d’identifier les risques de sécurité potentiels.
• Détection des menaces : des algorithmes d’apprentissage automatique sont utilisés pour identifier et remédier des chaînes d’attaques, offrant ainsi une visibilité approfondie sur les menaces futures.
• Visualisation : une console de surveillance et de gestion centralisée permet aux équipes de sécurité de visualiser les environnements cloud et les menaces. Les analystes peuvent également effectuer des requêtes, recevoir des notifications et des alertes de sécurité.
• Réponse : l’intelligence artificielle permet de remédier automatiquement aux cyberattaques identifiées et vérifiées dans l’ensemble de l’infrastructure d’une organisation.

Répondre à des enjeux cloud grandissants

Ce type de solution n’est pas apparu par hasard. Certains besoins sont devenus évidents à la vue de l’évolution du Cloud computing et des menaces liées. Voici certains facteurs qui ont été importants dans le développement des solutions Cloud Detection & Response :

• Environnements complexes multi-cloud: la plupart des entreprises disposent de ressources en ligne réparties dans les environnements de plusieurs fournisseurs. Les configurations et les contrôles de sécurité spécifiques aux plateformes augmentent la complexité de la sécurité.
• Vulnérabilités et mauvaises configurations : les environnements cloud contiennent généralement un grand nombre de vulnérabilités. L’un des principaux facteurs de cette vulnérabilité est la mauvaise configuration de la sécurité, qui expose les ressources cloud à des attaques.
• Gestion fragmentée de l’identité: la gestion des identités et des accès (IAM) peut être fragmentée entre plusieurs environnements cloud et on-premise. Il est donc plus difficile de suivre l’identité d’un utilisateur et d’imposer des contrôles d’accès efficaces.
• Ressources dynamiques dans le nuage: les architectures cloud permettent aux organisations d’activer et de désactiver des ressources en fonction de leurs besoins. Cela peut entraîner des lacunes en matière de visibilité et de sécurité.

VECTRA AI, acteur historique du NDR et du CDR

VECTRA AI, acteur américain de la cybersécurité depuis plus de 10 ans, est un expert de la sécurité du réseau et du Cloud. Leader sur le marché du Network Detection and Response (NDR), VECTRA AI a su décliner sa solution pour les besoins du cloud, tout en proposant le même degré de pertinence.

Vectra Cloud Detection and Response (CDR), propulsé par une IA propriétaire, identifie et stoppe les menaces et les attaques sur les environnements M365.

Chez SNS SECURITY, pour adresser cette problématique qui touche aujourd’hui toutes les entreprises, nous avons fait le choix de collaborer avec VECTRA AI. Après de longues phases de tests de notre équipe SOC et de réflexion, nous avons choisi cet acteur pour sa précision d’analyse et sa capacité à être exploitée pleinement en mode managé (MSSP).

Les objectifs associés au contrôle d’accès réseau

Avez le Cloud Detection and Reponse VECTRA vous bénéficiez d’une :

• Visibilité contextualisée : ayez un regard exhaustif sur les accès, les outils, les services et les applications M365 utilisées, y compris SharePoint, OneDrive, Teams, Exchange, Power Automate, eDiscovery et plus encore.
• Détection et hiérarchisation des alertes : plus de 90 % des techniques MITRE ATT&CK sont détectées avec Attack Signal Intelligence, l’IA de VECTRA, pour se concentrer sur les comportements des attaquants après la compromission.
• Intégration à l’écosystème : automatisez les flux de travail des analystes et les possibilités de remédiation en intégrant des technologies existantes pour la corrélation et le contexte.

L’offre [S]DETECT

Nous avons créé autour du CDR VECTRA une offre de service vous faisant bénéficier de la technicité et de la pertinence de la technologie avec en plus, l’appui d’une équipe d’analystes SOC certifiés qui surveillent votre infrastructure cloud 24 heures sur 24, 7 jours sur 7.

Notre offre d’accompagnement [S]DETECT se construit avec vous selon vos besoins. Ce service à la carte vous fait notamment bénéficier des éléments suivants :

• Protection et surveillance complète de Microsoft365 et de votre Azure AD (Entra ID) ;
• Définition des mesures de confinement activables lors de la mise en service ;
• Mise en surveillance proactive 24/7 ;
• Identification des comportements malicieux et des comptes détournés dans Azure AD et M365 ;
• Qualification des menaces et résolution des incidents de sécurité : reset, delete, désactivation d’un compte utilisateur ;
• Accès direct à des ingénieurs certifiés et analystes SOC ;
• Reportings périodiques et rapports d’investigation à la demande.

Le NAC, c’est quoi ?

Une solution NAC (Network Access Control) a pour but d’empêcher les utilisateurs et terminaux non autorisés à accéder à un réseau d’entreprise défini. Cette technologie de contrôle d’accès au réseau répond aux prérequis du Zero Trust.

Ce modèle de cybersécurité part en effet du principe qu’un appareil inconnu n’a pas à avoir accès aux ressources de l’entreprise et/ou qu’il doit pouvoir être isolé sur un réseau dédié tant qu’il n’est pas proprement identifié.

Déployable sous la forme d’un équipement physique ou d’une machine virtuelle, les différents constructeurs qui ont développé des solutions NAC, répondent précisément à ces deux enjeux et proposent deux méthodes d’utilisation possibles pour s’adapter aux infrastructures hybrides.

Les objectifs associés au contrôle d’accès réseau

Le principal objectif du NAC est de dresser un inventaire perpétuel des utilisateurs, des appareils et de leur niveau d’accès associé.

Il sert notamment à découvrir les nouveaux actifs et appareils inconnus qui se connectent pour la première fois sur le réseau.

On peut retenir 3 piliers principaux du NAC :

• Authentification : Alors qu’un grand nombre de solutions réseau se base sur l’IP pour appliquer des politiques, le Network Access Control va prendre pour repère les utilisateurs et appareils déjà authentifiés sur le réseau et leur attribuer différentes politiques de sécurité.
• Application des politiques : Une multitude de politiques de sécurité peut être définie afin de correspondre au mieux aux besoins de sécurité de l’entreprise. Le degré de restriction peut être ajusté selon par exemple, le terminal connecté ou l’utilisateur qui s’identifie…
• Contrôle de l’intégrité : Le NAC va pouvoir empêcher certains appareils de se connecter au réseau s’ils ne respectent pas un niveau de sécurité suffisant : OS pas à jour, antivirus non installé, etc.

Cas d’usages du NAC

BYOD

Depuis plusieurs années, l’usage de terminaux personnels est une problématique importante pour les entreprises. En effet avec la généralisation du télétravail ou flex office, de nouvelles contraintes sont apparues, au premier desquelles sont les directions informatiques.

Pour n’importe quelle organisation, il est plus compliqué de garder un niveau de sécurité adéquat sur les ordinateurs ou les téléphones personnels car il n’est évidemment pas possible d’installer les solutions de sécurité de l’entreprise (comme un EDR par exemple) sur ces appareils. Le NAC permet alors d’apporter des contrôles sans être intrusif ni dégrader l’expérience utilisateur.

À chaque connexion d’un smartphone personnel sur le réseau d’entreprise par exemple, il pourra être automatiquement isolé sur une partie du réseau.

IoT

Caméras, capteurs domotiques… Voici quelques exemples d’objets connectés que l’on retrouve dans presque toutes les organisations. Cette pléthore d’appareils, certes très utiles, étendent la dimension du réseau et par conséquent la surface d’attaque exploitable par les pirates. Avec un contrôle d’accès réseau, même le plus petit objet IoT sera découvert par la solution et se verra appliquer des mesures de profilage spécifiques ou une politique d’accès différente selon sa catégorie.

Personnel externe

Le NAC est aussi pertinent pour les invités se connectant à votre réseau et qui n’ont besoin que d’un accès temporaire à celui-ci. Sous-traitants, consultants… il va permettre de les isoler sur une partie du réseau qui ne comporte aucune donnée sensible et pourront recevoir une politique personnalisée.

Les bénéfices

Voici quelques-uns des avantages concrets qu’offre le contrôle d’accès aux entreprises :

• Contrôler qui se connecte au réseau et avec quel appareil ;
• Définir l’accès aux ressources et applications selon le statut de l’employé dans l’entreprise ;
• Permettre aux personnels externes de se connecter sans créer de failles ;
• Compartimenter les terminaux personnels qui sont importants pour la productivité ;
• Automatiser des actions de sécurité selon la nature de la connexion ;
• Adopter une approche Zero Trust sur la gestion du réseau.

FORTINET : acteur historique de la sécurité réseau

Reposez-vous sur un constructeur historique et expert sur les problématiques réseau pour votre Network Access Control.

FORTINET avec sa technologie FORTINAC, détecte tous les terminaux connectés de votre réseau, contrôle leurs accès aux ressources réseau et répond automatiquement aux vulnérabilités de sécurité.

Grâce à son IA et ses principes de machine learning, FORTINAC dispose de fonctionnalités avancées pour détecter tout type d’endpoint qui se connecte au réseau. Ce profiling intègre plusieurs sources d’identification, des paternes de comportements et d’une threat intelligence fonctionnant en temps-réel.

Avec ses possibilités de micro-segmentation et son approche Zero Trust, le NAC permet d’agir directement sur le matériel réseau (switch, borne Wi-Fi…) de plus de 150 fournisseurs.

FORTINAC pourra notamment analyser les logs émanant d’un FORTIGATE, le pare-feu nouvelle génération de FORTINET, pour identifier tout trafic suspect et mener des actions adaptées.

Bénéficiez d’un accompagnement d’expert dans le maintien en condition opérationnelle de votre NAC

SNS SECURITY a développé une offre d’accompagnement dédiée pour maintenir en condition opérationnelle toutes les solutions de la Security Fabric FORTINET, et notamment FORTINAC.

Avec le service [S]SECURE pour FORTINAC, vous bénéficiez des avantages suivants :

• Mise à niveau, maintenance curative, gestion des correctifs ;
• Ajout de nouveaux équipements ;
• Modification des profils de profilage et politiques de sécurité ;
• Accès illimité à notre support technique d’ingénieurs certifiés ;
• Support téléphonique direct (sans filtrage ni sélection) 5j/7 de 8h à 18h ;
• Aide à la mise en place d’une politique de durcissement de votre système d’information conformément aux bonnes pratiques de l’ANSSI ;
• Accès à un Extranet clients développé en interne : ouverture et suivi des tickets.

Retrouvez le replay de la session du 25 avril

Retrouvez-vous le replay de notre webinar sur le NAC qui a eu lieu le 25 avril à 14h30 sur notre chaîne WEBIKEO.

Ludovic RANCOUL, Directeur technique SNS SECURITY était en compagnie de Franck MERCADIER, System Engineer FORTINET. Ils ont montré à l’aide d’une présentation et démonstration à l’appui, l’intérêt de déployer la solution FORTINAC afin de reprendre la main sur votre réseau.

Pour creuser vos problématiques, nos intervenants du jour ont dédié un temps à la fin de la session pour échanger avec vous et répondre à toutes vos questions.

La session de rattrapage est disponible en cliquent sur le lien juste en-dessous.

Dans un environnement informatique, un « accès à privilèges » désigne tout accès, permission et capacité ayant un niveau plus avancé que celui généralement donné à un utilisateur standard.

La définition d’accès à privilèges pour une personne ou un groupe d’utilisateurs permet de segmenter l’accès aux données et aux applications en préservant un degré de confidentialité et de protection de l’infrastructure.

Voici quelques exemples de compte à privilèges que l’on retrouve dans la majorité des entreprises :

• Super-utilisateur : Compte utilisé par les administrateurs du SI servant à configurer des applications et des comptes. Le super-utilisateur a la possibilité d’ajouter, modifier ou supprimer des utilisateurs.
• Administrateur de domaine : Compte qui fournit les accès à privilèges aux postes de travail et serveurs. L’administrateur possède l’accès le plus complet au réseau et est donc l’un des comptes les plus sensibles avec celui du super-utilisateur.
• Administrateur local : Il est situé sur une machine en local et permet aux utilisateurs d’accéder à leurs postes avec un identifiant/mot de passe.
• Métiers à privilèges : Utilisateur ne travaillant pas dans le département informatique mais qui dispose de droits avancés pour accéder à certaines ressources parfois sensibles (RH, finance…).

Pourquoi les sécuriser ?

L’intégrité d’un compte utilisateur est essentiel dans toute organisation. Les identités sont un vecteur très populaire et simple à exploiter pour les attaquants. L’Active Directory par exemple est un outil ultra-sensible dans le domaine des identités. En cas de compromission, il permet à un pirate d’usurper le compte d’un collaborateur, de se latéraliser sur le réseau, de faire du social-engineering depuis le système interne…

Dans ses recommandations à l’administration sécurisée des systèmes d’information, l’ANSSI recommande de mettre en place un bastion informatique pour administrer les accès à privilèges. Mais l’autorité met en garde sur sa configuration, car il doit être impérativement intégré dans un SI d’administration au risque d’être une porte d’entrée vulnérable et exposée depuis n’importe quel poste de travail.

Gestion des accès à privilèges : une solution dédiée

La connexion des accès distants, que ces derniers soient à privilèges ou non, se fait dans la majorité des cas à travers un VPN. Mais cette solution n’est pas suffisante si elle est déployée seule.

Les solutions de gestion des accès à privilèges ou PAM (Privileged Access Management) définissent clairement quel compte à le droit d’accéder à telle application, donnée… Elle est alors un point d’entrée unique en centralisant l’accès à toutes les ressources de l’entreprise.

La gestion des accès privilégiés (PAM) est un outil qui permet d’administrer ou de configurer des systèmes et des applications afin de fournir un niveau élevé d’accès technique par le biais de la gestion et de la protection des comptes, des informations d’identification et des commandes – Définition du cabinet Gartner

Limiter l’accès aux ressources sensibles et confidentielles aux seules personnes ayant le bon niveau de droits est une chose, mais la configuration doit être réfléchie et faire l’objet d’un suivi régulier. Il faut rédiger une politique claire et structurée pour ne pas donner des accès trop avancées aux mauvaises personnes.

Le Bastion d’administration

Une solution reconnue pour faire du « PAM » est le bastion d’administration. Il recueille toutes les informations sur les différentes parties qui accèdent aux actifs.

Installé dans une DMZ, le bastion est accessible depuis Internet mais reste isolé du réseau interne. Il fait la passerelle vers les ressources internes (applications web, service AD/LDAP, messagerie…) en envoyant des requêtes à travers un ou plusieurs pares-feux. Il peut aussi se déployer sur des Clouds privés et publics (AWS, AZURE, …).

Voici quelques fonctionnalités clés des outils bastion :

• Enregistrement et replay de la session utilisateur en vidéo ;
• Gestion de l’authentification multifacteur (MFA) ;
• Changement régulier des mots de passe.

SNS SECURITY vous accompagne dans le déploiement de votre bastion

Si vous ne disposez pas du temps ou des équipes nécessaires pour déployer et administrer une solution PAM, SNS SECURITY peut vous accompagner dans la protection de vos accès à privilèges.

SNS SECURITY délivre un service dédié à cette problématique en s’appuyant sur les solutions logicielles de WALLIX.

WALLIX, entreprise française créé en 2003, est nommée “Overall Leader” dans le KuppingerCole Analyst 2023 « Leadership Compass for Privileged Access Management » et est reconnue par Gartner, Forrester et Frost & Sullivan pour ses produits avant-gardistes. De plus, le bastion WALLIX est certifié par l’ANSSI.

Sa solution est composée de 3 parties distinctes :

• Le Session Manager permet de contrôler et accorder les accès à privilèges, tout en protégeant les identifiants des systèmes cibles. Les sessions peuvent être enregistrées et partagées.
• Le Password Manager est un module pour mettre en œuvre des politiques de renforcement et de rotation des mots de passe pour les systèmes critiques.
• L’Access Manager est la console web qui permet aux personnes externes de se connecter en toute sécurité à votre infrastructure. Ce module se substitue au déploiement d’une solution VPN.

L’offre [S]CONTROL

Notre offre d’accompagnement [S]CONTROL se construit avec vous selon vos besoins. Ce service à la carte vous fait notamment bénéficier des éléments suivants :

• Concession de la licence d’utilisation ;
• Exploitation ou cogérance de la solution : ajout et modification des ressources, ajout et modification des utilisateurs et groupe, aide à l’exploitation des enregistrements et audit des accès ;
• Aide à la mise en place d’une politique de durcissement de votre système d’information conformément aux bonnes pratiques de l’ANSSI ;
• Gestion des politiques de sécurité (modification et mise à jour) et des backups ;
• Extranet client ;
• Résolution des incidents ;
• Accès illimité à notre support technique d’ingénieurs certifiés ;
• Support téléphonique direct (sans filtrage ni sélection) 5j/7 de 8h à 18h.

Retrouvez le replay de notre session du 21 mars

Le 21 mars dernier nous avons eu le plaisir de recevoir WALLIX pour coanimer une session en direct à 14h30 sur la plateforme WEBIKEO. Étaient présents le jour J Ludovic RANCOUL, Directeur technique, Anthonin FLEURUS, Consultant sécurité réseaux SNS SECURITY, ainsi que Ronan CROGUENNEC, Channel Head of MSP WALLIX. Après de brèves présentations des sociétés respectives, nos experts du jour ont fait démonstration en live des usages et bénéfices d’une solution de bastion informatique. Ils ont ensuite pris une quinzaine de minutes en fin de session pour échanger avec les personnes présentes sur le chat et répondre à toutes leurs interrogations. La session de rattrapage est disponible en cliquent sur le lien juste en-dessous.