Compte-rendu de la mise en œuvre du projet France Relance Cybersécurité

1. Définition et mise en place d’une politique de mots de passe forts

Pour améliorer la sécurité des accès, une politique stricte de mots de passe forts à été déployée pour l’ensemble des comptes au sein de l'organisation :

•  Mise en place de la politique de mots de passe via GPO pour garantir que tous les comptes respectent des critères stricts de complexité et de longueur.

•  Mise en place d'une politique de mots de passe pour les connexions VPN afin d’assurer une sécurité renforcée lors des accès à distance.

•  Mise en place d'une politique de mots de passe et renouvellement pour les comptes systèmes et services pour éviter toute compromission d’accès sur les services internes.

2. Durcissement de la gestion des identités et des accès

Dans une optique de réduire les risques liés aux comptes à privilèges et à la gestion des droits d'accès, plusieurs actions de durcissement ont été entreprises :

•  Audit et nettoyage des comptes et groupes génériques ou obsolètes dans l'annuaire Active Directory pour garantir que seuls les comptes légitimes disposent d’accès.

•  Contrôle et correction des accès aux partages réseau afin de limiter les accès non autorisés liées à des malfaçons de configuration.

•  Contrôle des accès et des comptes sur les postes de travail et les serveurs pour limiter les risques de compromission.

3. Segmentation du réseau : Mise en place d’une DMZ

La segmentation du réseau a été une priorité pour limiter l’exposition des ressources sensibles et garantir un contrôle strict des flux :

•  Configuration de la DMZ (zone démilitarisée) sur le routeur/pare-feu afin de protéger les serveurs accessibles depuis l’extérieur et isoler les ressources sensibles.

•  Adressage IP des serveurs dans la DMZ conformément aux bonnes pratiques de segmentation réseau et aux exigences de sécurité.

•  Mise en place des règles de filtrage d'accès interzones pour limiter les échanges non sécurisés entre la DMZ et les autres réseaux interne.

4. Durcissement de la configuration et de l’infrastructure des serveurs

Des actions spécifiques ont été menées pour renforcer la sécurité de l'infrastructure serveur, afin de minimiser les risques de vulnérabilités :

•  Recherche et correction des failles de sécurité sur les serveurs afin de sécuriser les systèmes existants.

•  Activation et configuration des pare-feu sur les serveurs pour renforcer les contrôles d'accès réseau.

•  Vérification et correction des accès réseau pour éliminer toute porte dérobée ou connexion non autorisée.

•  Déploiement d'un proxy mandataire (reverse proxy) pour chiffrer les communications via certificats SSL et passage des serveurs web en HTTPS.

5. Automatisation du déploiement des mises à jour

Afin d’assurer une gestion optimale des mises à jour et de maintenir un environnement sécurisé, les processus de mise à jour pour les serveurs Windows et les postes de travail à été automatisé :

•  Création d'une VM dédiées pour la gestion des mises à jour centralisées.

•  Installation et configuration de Windows Server Update Services (WSUS) pour gérer efficacement les mises à jour.

•  Mise en place de GPO pour déployer les mises à jour de manière automatisée sur tous les postes et serveurs.

•  Mise en place d'un suivi régulier du statut des mises à jour par mail pour garantir qu'aucune mise à jour critique ne soit omise.

6. Durcissement de l’Active Directory

Le durcissement de l’annuaire Directory a été un élément clé pour améliorer la gestion des identités et des accès au sein de l’organisme :

•  Audit complet de l’annuaire Active Directory pour identifier et évaluer les vulnérabilités.

•  Application des correctifs de sécurité suite à l’audit de l’Active Directory pour corriger les vulnérabilités identifiées.

•  Mise à niveau du niveau fonctionnel de la forêt et du domaine pour la prise en charge des dernières fonctionnalités et standardiser tous les contrôleurs de domaine du domaine.

•  Création de scripts automatisés de nettoyage pour supprimer les comptes et ordinateurs inactifs, réduisant ainsi la surface d'attaque.

7. Déploiement de l’authentification à double facteur (2FA)

Afin de renforcer la sécurité des accès aux services sensibles, des solutions d’authentification à double facteur ont été mises en place :

•  Implémentation de l'authentification à double facteur 2FA par code ToTP pour tous les utilisateurs du VPN, afin de renforcer l'authentification aux accès extérieurs.

•  Activation de la double authentification par email pour les services web.

8. Sécurisation de l'accès administrateur aux serveurs

Pour renforcer la sécurité des accès aux serveurs, notamment en réduisant les risques d'accès non autorisés aux systèmes critiques, un système d'accès administrateur sécurisé a été déployé et configuré :

•  Déploiement et configuration d'un bastion, une solution permettant d’habiliter un accès sécurisé et traçable pour les administrateurs, en limitant l’accès direct aux serveurs.

9. Résultats obtenus :

Dans le cadre de la sécurisation du réseau et de l’infrastructure IT, des audits réalisés en collaboration avec l'ANSSI ont permis d’évaluer le niveau de sécurité sur deux axes clés : l’exposition au Web et la sécurité des annuaires Active Directory. Grâce aux améliorations techniques mises en place, ces audits ont donné des résultats particulièrement positifs.

Réduction de l’exposition au Web

L’un des points majeurs de l’audit portait sur la réduction de l’exposition au Web, un vecteur important d’attaques potentielles :

•  Renforcement des contrôles d’accès externes et des dispositifs de filtrage, notamment à travers la mise en place de solutions de sécurité telles que des pare-feu avancés, une segmentation réseau via la DMZ et un contrôle strict des services accessibles depuis l’extérieur.

•  Optimisation des accès distants et sécurisation des communications externes (notamment via la mise en place de VPNs sécurisés et de l'authentification à double facteur).

Les résultats ont montré une réduction significative de l’exposition au Web, renforçant ainsi la protection contre les menaces externes.

Sécurisation des annuaires Active Directory

L’audit de sécurité de l’Active Directory a permis de vérifier la gestion des identités, des accès et des permissions. Voici les points sur lesquels des améliorations ont été particulièrement mises en avant :

•  Durcissement des configurations Active Directory, avec notamment la gestion des droits d’accès, l'activation des politiques de mots de passe robustes et la mise en place de contrôles stricts sur les comptes à privilèges.

•  Nettoyage des comptes et groupes obsolètes, l’audit a également révélé un niveau de sécurité accru grâce à la gestion des comptes inactifs et des groupes inutilisés.

•  Renforcement des mesures de protection contre les attaques internes, notamment par le déploiement de scripts de nettoyage automatique et l’optimisation des permissions d’accès.

Ces actions ont conduit à un niveau de sécurité amélioré pour l’Active Directory, avec une conformité stricte aux meilleures pratiques de sécurité.

En reconnaissance des efforts et des résultats obtenus, nous avons reçu des félicitations officielles de la part des auditeurs de l’ANSSI, notamment pour la réduction des risques liés à l’exposition au Web et le renforcement significatif de la sécurité des annuaires Active Directory. Ces résultats témoignent du succès des actions entreprises et de l’efficacité des stratégies de sécurité mises en œuvre.