ALSID est une jeune pousse à la française créée par Luc Delsalle et Emmanuel Gras, ingénieurs de formation et tous deux, anciens de l’ANSSI (Agence Nationale de la Sécurité du Système d’Information). C’est à cette époque, ils travaillent ensemble au sein de la même équipe et ce, pendant 6 ou 7 ans. « Etant au centre opérationnel, nous sommes intervenus sur un certain nombre de crises cyberdéfense du type Wannacry, Petya .. auprès des entreprises » nous explique Emmanuel Gras. Leurs objectifs sont d’aider les grandes entreprises à reprendre le contrôle de leur système d’information et à reconstruire quelque chose de solide pour pouvoir reprendre et continuer leurs activités. « Avec quelques années de recul, en travaillant sur des cas du même type, on se rend compte que, dans tous les problèmes dont nous avons été témoins, il se déroule toujours le même scénario. Lequel est somme toute assez simple : tous les groupes d’attaquants qui ciblent un grand réseau d’entreprise procèdent en deux étapes. La première consiste à pénétrer dans le réseau interne. Dans ce cas, la méthode utilisée est des plus classiques : l’envoie de mail piégé, la clé USB qui traîne sur le sol du parking… L’attaquant casse ainsi les défenses périmétriques. A ce stade, il est difficile et compliqué d’empêcher l’attaque car les entreprises sont aujourd’hui hyper connectées. Sans oublier le fait qu’elles travaillent la plupart du temps avec de nombreux prestataires externes. Arrive alors la seconde étape qui ne débute qu’une fois l’intrus à l’intérieur du S.I.. Là , ce dernier cherche tout particulièrement les données sensibles telles que propriétés intellectuelles, mails du PDG, documents du service comptabilité … Ici encore, on retrouve toujours le même schéma avec notamment un passage obligé vers l’infrastructure d’annuaire, la plupart du temps l’Active Directory de Microsoft. Et c’est ce système que l’attaquant cherche à compromettre avant d’aller plus loin.»
Spécialisés sur ces technologies, véritable passage obligé lors d’attaques sur les entreprises, les deux ingénieurs s’attèlent à trouver une solution à ce problème d’infrastructures d’annuaires. Le sujet est d’ailleurs bien connu au sein de l’ANSSI, et les publications, guides, « white papers », outils gratuits d’aide à la configuration ne manquent pas … mais cela ne suffit pas. C’est donc dans ce contexte et à partir de ce constat que la société Alsid a été créée, il y a de cela un peu plus d’un an, en juin 2016 pour traiter un problème récurrent. Le lancement officiel a été début 2017 accompagné d’une couverture médiatique à l’occasion de plusieurs salons.
Alsid est donc composée d’experts en cyber sécurité dotés d’une très bonne connaissance terrain sur les infrastructures d’annuaires. La recherche et le développement sont au centre de leurs activités, ce que prouvent de nombreuses publications sur le sujet depuis quelques années. La solution qu’ils ont imaginé devait être la plus simple possible en termes de déploiement, littéralement du type « plug & play », en partant du principe que l’utilisateur n’ait nul besoin d’être un expert en annuaire.
Le produit propose un ensemble de tableaux de bord et d’indicateurs faciles à appréhender visuellement. Le RSSI, DSI ou la personne en charge de la sécurité au sein de l’entreprise a d’emblée, au travers de ces informations, une connaissance de son niveau de sécurité et des actions qui sont à mener pour l’augmenter ou le maintenir. L’utilisateur du produit peut également effectuer le suivi dans le temps de l’avancée des actions menées. Finie l’époque où il fallait avaler des rapports épais comme des annuaires pour avoir une idée du niveau de sécurité ou décider des tâches à lancer pour sécuriser le système. Dorénavant, il suffit au travers de l’interface visuelle de prioriser les actions à mener et les planifier suite aux informations fournies sur le niveau de protection du système.
Et pour les plus curieux de nos lecteurs, nous avons demandé aux auteurs de cette plateforme de nous en dévoiler un peu plus sur le « backstage » afin de mieux comprendre la magie d’une plateforme qui fournit en bout de course à son utilisateur une vision globale de son niveau de sécurité et lui permet rapidement d’entériner le plan et les actions à réaliser pour en élever le niveau de sécurité si nécessaire et le maintenir dans le temps.
Tout d’abord, il est nécessaire de bénéficier d’un compte utilisateur, sans privilège particulier, sur le système à superviser. C’est là un point important car le privilège attire indéniablement l’attaquant qui les cherche spécifiquement pour mieux attaquer le système cible. Un outil qui n’exige pas de droits extraordinaires permet d’établir une relation de confiance avec le client par le respect des bonnes pratiques.
Le compte une fois activé, le travail débute par l’extraction des informations nécessaires, autrement dit les données techniques de configuration : les suites cryptographiques (les protocoles de sécurité utilisés comme kerberos …), la liste des privilèges, les relations entre objets et groupes techniques … Vient ensuite l’analyse, soit la vérification de l’utilisation qui est faite de ces configurations et de leur conformité par rapport aux recommandations. Débute alors une phase de calcul, de corrélation, de mise en base de données qui permettra d’extraire les données pertinentes : les indicateurs pertinents pour les utilisateurs du produit qui permettent d’avoir une vue instantanée de son niveau de sécurité en se basant sur des critères et en y insérant différents niveaux de criticité notamment sur les erreurs de configurations.
On obtient avec toutes ces informations aussi des vues temporelles qui permettent d’observer les variations du niveau de sécurité ce qui indique une tendance (va vers l’amélioration du niveau de sécurité ou la dégradation dans le temps) et en fait d’ailleurs une des spécificités de ce produit.
A partir des tableaux de bord, le produit indique non seulement les points noirs, mais donne également des indications sur la façon d’élever rapidement le niveau général de sécurité à moindre frais. « Un des constats qu’on a fait en discutant avec des RSSI, c’est que la plupart du temps ils savent qu’il y a beaucoup de choses à faire, ils savent qu’ils doivent améliorer leur niveau de sécurité mais ils ne savent pas par quel bout attaquer le problème. Notre rôle est de leur fournir le Top 5 ou le Top 10 des actions à conduire en priorité qui permettront de d’augmenter rapidement le niveau de sécurité tout en décalant les derniers raffinements à plus tard. On leur donne une hiérarchisation des tâches à mener pour avoir une utilisation la plus rentable possible d’un point de vue du RSSI. »
On souscrit à ce produit via un abonnement annuel. Les attaques de sécurité progressent dans le temps et depuis le début de l’année, 3 nouvelles attaques sur l’AD ont vu le jour jusque juin 2017. Il faut donc suivre les évolutions pour être capables de proposer des mesures de détection et de remédiation et donc pouvoir implémenter des contre-mesures. Chaque entreprise à son web dédié, uniquement visible que depuis le système d’information de cette dernière et il est naturellement possible d’interconnecter ce système et de consolider ses alertes avec les SIEM, SOC ou autres systèmes de sécurité de l’entreprise.
Le produit peut discuter avec d’autres types d’annuaires via des APIs et donc ce produit s’applique à tous les annuaires du marché (AD, LDAP, kerbero …). La méthode est particulièrement adaptée au mode de fonctionnement des AD ce qui correspond aujourd’hui à l’écrasante majorité du marché et qui explique la mise en avant de cette plateforme.