Vallourec

Défis

Chez Vallourec, Active Directory est utilisé par 17 000 salariés dans le monde. La gestion du système est décentralisée. « Certains de nos groupes évoluent rapidement, et la sécurité n'est pas la première chose à laquelle les administrateurs pensent lorsque leur chef leur demande d'installer une nouvelle solution. Il arrive qu'ils fassent des erreurs », confie Jeremie.

Ces erreurs, si elles ne sont pas détectées et corrigées, peuvent s'avérer coûteuses. Active Directory est un vecteur d'attaque privilégié pour les attaquants, qui exploitent ses mauvaises configurations dans le but d'évoluer latéralement d'un système à un autre et d'élever les privilèges. Il faut impérativement détecter rapidement les mauvaises configurations si l'on veut réduire le risque de sécurité et éviter d'autres mauvaises configurations.

L'équipe utilisait des scripts pour contrôler manuellement les mauvaises configurations, mais ce processus était lent et l'équipe savait qu'elle ne voyait pas tout. « Les administrateurs font des choses que nous ne pouvons même pas imaginer. Ça peut nous paraître évident de ne pas le faire ainsi, mais pour eux, ce sont des choses qui leur semblent pertinentes pendant l'implémentation d'un produit », indique Gerald.

Ces vérifications manuelles étaient réalisées périodiquement, entre temps les administrateurs continuaient à travailler sur les mauvaises configurations, rendant celles-ci encore plus difficiles à corriger lorsqu'elles étaient repérées. L'équipe voulait surveiller Active Directory et suivre en temps réel les modifications apportées, ainsi que limiter les droits d'administrateur en fonction des opérations réalisées.

Solutions

Vallourec a choisi Tenable Identity Exposure pour obtenir la visibilité et la maîtrise nécessaires pour sécuriser efficacement Active Directory. Tenable Identity Exposure permet à l'équipe de voir chaque modification dans ActiveDirectory, de déterminer le niveau de risque et l'exposition en temps réel, et d'empêcher les attaquants d'utiliser AD comme chemin d'attaque critique.

Le fabricant a collaboré avec son prestataire de SOC géré afin d'intégrer Tenable Identity Exposure à sa solution SIEM. Cette étape consistait simplement à ouvrir un port et à définir une adresse IP cible. Lors de l'implémentation, l'équipe a immédiatement remarqué une amélioration de sa visibilité sur l'infrastructure AD. « Quand nous avons installé Tenable, de mauvaises configurations de sécurité que nous n'avions pas détectées auparavant étaient présentes », explique Gerald, architecte  IT, Active Directory et identité chez Vallourec.

Résultats

L'équipe a corrigé ces mauvaises configurations et reçoit désormais automatiquement une notification lorsque Tenable Identity Exposure détecte une modification dans Active Directory. « Nous pouvons garantir que tout ce que nous souhaitons configurer en termes de sécurité ou d'exception reste en place et que personne, nous compris, ne peut le modifier. Si une personne a l'autorisation de changer quelque chose, nous pouvons le voir directement. D'ailleurs, c'est pour moi un système de supervision en temps réel de la configuration directe », ajoute Jeremie, architecte Active Directory chez Vallourec.

L'équipe n'est plus concentrée sur l'écriture et l'exécution de scripts pour détecter les mauvaises configurations, et le temps qu'elle consacre effectivement à la correction des mauvaises configurations est fortement réduit. « Nous pouvons détecter rapidement les mauvaises configurations. Un correctif nous prend aujourd'hui cinq minutes, contre cinq jours voire cinq semaines si la configuration avait été répliquée et que nous devions apporter beaucoup de modifications », explique Ben.

L'une des fonctionnalités préférées de l'équipe s'appelle Trail Flow. Elle affiche les tâches de surveillance et d'analyse en temps réel des événements touchant l'infrastructure AD et permet aux équipes de détecter les vulnérabilités critiques et leurs voies de remédiation recommandées. Lorsque de nouvelles fonctionnalités sont ajoutées à Active Directory, Trail Flow permet à l'équipe de voir l'incidence de ces dernières sur l'infrastructure. L'équipe peut aussi voir les tentatives d'authentification frauduleuse, leur provenance dans le monde et si elles sont dues à un problème de mauvaise configuration ou simplement à un problème sur un domaine. Cette visibilité permet à l'équipe de faire une analyse des causes premières et de corriger plus efficacement le problème.

L'équipe apprécie également le dashboard de Tenable Identity Exposure, car il leur permet de suivre les alertes et de voir l'évolution de leur travail en matière de sécurité. L'équipe a une visibilité et une maîtrise sur Active Directory qu'elle ne pouvait atteindre autrement. « Nous ne pourrions pas copier ce que Tenable parvient à faire et le rendre viable. Tenable fait ce qu'on attend de lui et il le fait bien », explique Ben P., responsable de l'équipe Opérations d'infrastructure.