Comment Vinci Construction Grands Projets a réduit sa surface d’attaque exposée
Cette division du groupe de construction met en œuvre une gestion en continu de la menace et simule des scénarios d’attaque. De quoi réduire graduellement le nombre de points de passage pour des attaquants.
La deuxième ligne de TGV du Royaume-Uni, le Grand Paris Express, ou le tunnel entre l’Allemagne et le Danemark, la division Grands Projets du groupe Vinci mène 42 projets à travers le monde de plus de 200 millions d’euros en cours, sur un portefeuille de 170 projets.
Son système d’information se répartit entre le siège et tous ces chantiers, entre de l’IT classique et des systèmes OT très spécialisés. Pour s’assurer du niveau de sécurité des infrastructures en place, Christophe Denis, RSSI de la division des Grands Projets de Vinci Construction, cherchait le moyen de mener des tests d’intrusion en permanence sans affecter, les machines en production.
« Ma contrainte majeure est qu’il ne fallait surtout pas que la solution ait un impact sur les chantiers et nos actifs ».
Christophe DenisRSSI de la division des Grands Projets, Vinci Construction
Son équipe mène des tests d’intrusion, mais ces opérations restent ponctuelles et le responsable souhaite avoir une vision temps réel de la vulnérabilité de son SI : « la cybersécurité est un enjeu stratégique pour nous, c’est une priorité, avec un besoin d’avoir une visibilité sur les outils et actifs critiques, sur les failles et la priorisation des remédiations. Ma contrainte majeure est qu’il ne fallait surtout pas que la solution ait un impact sur les chantiers et nos actifs ».
Il y a 2 ans, Christophe Denis rencontre l’éditeur XM Cyber sur les Assises de la sécurité. La solution implémente le Framework CTEM (Continuous Threat Exposure Management) défini par le Gartner. À l’aide de capteurs judicieusement placés dans le système d’information, la solution donne une « photographique » du SI et une visibilité sur les chemins d’attaque sans impact sur les actifs.
Le logiciel identifie les vecteurs d’attaque potentiellement exploitables par un attaquant et délivre des mesures correctives guidées : « dès qu’une compromission possible est trouvée, XM Cyber donne des indications afin de la corriger. Cela donne une capacité à réagir aux changements. Nous sommes notifiés lorsque des modifications sont opérées sur le SI chantier, lorsque de nouveaux postes ou de nouveaux programmes apparaissent. Tout est remonté sur la console centrale en moins de 24 heures ».
En outre, la solution permet d’assurer un suivi à destination du comité des risques : la console délivre une notation à l’instant t, avec la liste des principaux actifs critiques à corriger en priorité.
Un scénario d’attaque du siège vers les chantiers particulièrement éloquent
Christophe Denis a ainsi fait tourner un scénario d’attaque sur le chantier d’Abdelmoumen, à 70 km d’Agadir au Maroc, un contrat de 284 millions d’euros. Le groupe construit une station de transfert d’énergie par pompage (STEP) avec 2 bassins, l’un situé à une altitude supérieure au second, et une usine de production électrique et de pompage placée entre les deux.
« Le scénario de départ consistait à partir d’un poste compromis au siège, afin de viser une cinquantaine de chantiers. Nous voulions savoir jusqu’à quel niveau l’attaquant pouvait aller vers nos chantiers. »
Christophe DenisRSSI de la division des Grands Projets, Vinci Construction
Trois entreprises collaborent sur ce projet : Vinci Construction Grands Projets, Vinci Construction Terrassement et Andritz Hydro, en charge de l’usine de production. L’infrastructure compte 100 postes informatiques déployés en local, une dizaine de serveurs déployés dans deux datacenters. Cela représente 400 comptes Active Directory, avec un technicien informatique en permanence sur site.
Christophe Denis a installé les capteurs XM Cyber sur ce SI et créé un scénario pour vérifier s’il était possible d’attaquer le SI d’un chantier à partir d’un poste compromis au siège. L’outil a découvert deux chemins possibles pour l’attaquant : soit direct, sur le chantier, soit indirect, en provenance du siège.
L’attaquant pouvait réaliser une élévation de privilèges dans un groupe de l’Active Directory, récupérer un compte à privilèges sur une machine de l’AD pour passer à une machine critique d’un serveur : « le scénario de départ consistait à partir d’un poste compromis au siège, afin de viser une cinquantaine de chantiers. Nous voulions savoir jusqu’à quel niveau l’attaquant pouvait aller vers nos chantiers. Ce scénario a montré qu’il était possible d’y parvenir ».
Possible, mais complexe puisqu’il ne fallait pas moins de 15 étapes pour atteindre un chantier. Dans le scénario généré par l’outil, l’attaquant virtuel a exploité 3 techniques de compromission, ce qui lui permettait de compromettre jusqu’à 1 638 postes sur l’ensemble du parc informatique et l’ensemble des chantiers.
Quatorze comptes étaient potentiellement compromis lors de cette attaque, ce qui permettait à un assaillant d’aller beaucoup plus loin dans le SI de l’entreprise. Sur un autre scénario testé, en passant par le serveur compromis, un attaquant pouvait accéder à un poste de la direction technique au moyen de… 12 techniques différentes. L’exécution de ce scénario en virtuel a permis de trouver un fichier Excel infecté, ce que l’EDR en place n’avait pas repéré.
Une remédiation qui passe par la réduction des Choke Points
Outre cette détection des chemins d’attaque potentiels, l’outil XM Cyber propose les solutions à mettre en œuvre afin de remédier à tous les problèmes détectés. Plutôt que de lister l’intégralité des vulnérabilités, l’outil privilégie la notion de Choke Points, les points de passage obligatoires pour les attaquants.
Lionel Gonzales, directeur avant-ventes de XM Cyber explique cette approche : « comme la solution construit des graphes de chemin d’attaque, on constate que l’attaquant est obligé de passer par certains points. L’objectif est de porter l’effort de remédiation en priorité sur ces points. Cela permet de couper un maximum de chemins d’attaque vers les actifs critiques et apporter un effort de remédiation beaucoup plus acceptable pour les équipes de production, avec moins d’actions à mener, mais un impact beaucoup plus important en termes de réduction du risque ».
Un total de 5 498 capteurs est installé sur les actifs de Vinci Construction Grands Projets, avec 3 230 actifs critiques répertoriés dans la solution. Pour Christophe Denis, le nombre de ces goulets d’étranglement reste la métrique la plus importante à suivre : « le but du jeu n’est pas de tout corriger, nous n’en avons pas les moyens. L’idée est de réduire le nombre de points de passage que peuvent emprunter les attaquants. Fin septembre, nous n’en sommes plus qu’à 526, contre 2 027 détectés en janvier ».
« Je fais l’analyse de l’ensemble des scénarios, puis un comité se charge de distribuer aux équipes les tâches de remédiation à effectuer. »
Christophe DenisRSSI de la division des Grands Projets, Vinci Construction
Un tableau de synthèse permet à l’équipe cyber de suivre l’évolution des corrections, avec une notion de score global : « au début de l’année 2024, notre score était de 71 et en septembre, nous étions à 86. L’objectif est d’approcher les 100, mais XM Cyber ajoute régulièrement des techniques d’attaque, ce qui peut faire baisser à nouveau le score en dépit des efforts réalisés, mais aussi corriger de nouvelles vulnérabilités ».
La note globale s’est améliorée de 15 points jusqu’en septembre et il ne reste plus à Christophe Denis que 10 % des Choke Points à traiter. Un processus d’amélioration continue a été mis en place. Le cycle part de l’analyse que mène le RSSI via la console XM Cyber : « je fais l’analyse de l’ensemble des scénarios, puis un comité se charge de distribuer aux équipes les tâches de remédiation à effectuer. Trois équipes sont concernées : la sécurité, la direction des opérations SI chantiers qui est en charge de l’informatique des chantiers partout dans le monde, et enfin notre pôle technique, responsable de l’administration système ».
Un point d’avancement est réalisé au bout de 15 jours et le RSSI vérifie avec XM Cyber ce qui a effectivement été réalisé, puis la boucle d’amélioration est initiée à nouveau. Cet effort a permis à Vinci Construction Grands Projets de réduire de 80 % sa surface d’attaque depuis janvier.
Pour 2025, outre la migration des derniers serveurs Windows 2008, un effort tout particulier va être réalisé sur l’infrastructure Active Directory de l’entreprise : « XM Cyber suit les postes, mais aussi Active Directory et c’est impressionnant de voir tout ce que l’outil est capable de remonter depuis cette infrastructure. En 2025, nous allons nous concentrer sur les revues de droits, car les derniers points de passage seront certainement liés à AD ».
Un gros travail sur les droits, mais aussi sur les bonnes pratiques des administrateurs, va être réalisé en 2025 pour réduire la surface d’attaque exposée et éliminer encore quelques-uns de ces Choke Points.
Propos recueillis lors des Assises de la Sécurité 2024.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
