icetray - Fotolia
Comment l’IESEG a amélioré sa gestion des vulnérabilités
Cette école de management s’appuie sur la solution Radar de F-Secure pour surveiller en continu sa posture de sécurité vis-à-vis des vulnérabilités. De quoi s’inscrire dans une logique d’amélioration continue et non plus ponctuelle.
L’IESEG est une importante école de management, deux campus, à Lille et à la Défense, pour plus de 6 000 étudiants, 740 salariés, et 1 300 ordinateurs. Et aujourd’hui, l’IESEG surveille la posture de sécurité de 96 serveurs et équipements à l’aide de F-Secure Radar.
Ce n’est pas un hasard. L’initiative remonte à 2016, alors qu’est conduit un premier audit de sécurité informatique. Là, il est demandé à l’auditeur de conduire une recherche de vulnérabilités. Mais l’opération n’était que ponctuelle. Sandy Rosada, responsable infrastructure et RSSI de l’IESEG a commencé à entendre parler de F-Secure Radar en 2018. Et fort de l’expérience de l’audit précédent il a immédiatement vu l’intérêt d’un tel outil : faire de la recherche de vulnérabilités plus fréquente, planifiée, et ainsi « avoir une photographie, chaque semaine, de la posture de sécurité de l’environnement, du point de vue des vulnérabilités et de l’application des correctifs ».
Du coup, en 2019, un second audit de sécurité a pu être « recentré sur différents paramètres », et notamment de lancer « une campagne de phishing auprès de nos milliers d’utilisateurs, ou encore de vérifier nos DNS », explique Sandy Rosada.
Deux éléments ont joué en la faveur de la solution de F-Secure : le prix, mais aussi et surtout la simplicité. De déploiement, tout d’abord : « c’est très rapide ; en l’espace d’une journée et demie de travail, tout est prêt ». À condition, bien sûr, d’avoir une bonne connaissance du plan d’adressage IP de son environnement et sa connectivité externe. Car la plateforme Radar de F-Secure permet d’analyser régulièrement les deux, en interne donc, comme dans la perspective d’un éventuel assaillant extérieur.
Sandy RosadaResponsable infrastructure et RSSI de l’IESEG
Mais la simplicité a joué un rôle clé dans le choix. « Je suis responsable infrastructure et RSSI. Dans un environnement où les ressources sont limitées, des outils qui nous simplifient la tâche, au quotidien, sont indispensables ». Et pour lui, qui « peut manipuler jusqu’à une dizaine de tableaux de bord par jour, la simplicité d’un dashboard est vraiment importante ».
Dès les premiers temps de l’installation, les résultats n’ont pas manqué d’apparaître. Et cela a commencé par la découverte d’un vieil équipement vidéo, qui n’avait même pas été déployé par l’informatique de l’école, mais était accessible publiquement sur Internet et présentait plusieurs dizaines de vulnérabilités majeures. Il était tellement ancien qu’il était impossible de corriger ces vulnérabilités. « L’équipement a été identifié et remplacé », explique Sandy Rosada. Mais ce n’est pas la seule surprise que la solution lui a réservée, à l’instar d’un service SMTP – non vulnérable, mais inutile – sur une plateforme infogérée ; service qui a été arrêté pour réduire la surface d’exposition de manière préventive.
Aujourd’hui, Sandy Rosada estime que F-Secure Radar lui a permis d’avancer dans une nouvelle direction : « l’analyse des risques, en tenant compte des équipements affectés et de l’endroit où ils se trouvent ». Car bien sûr, « nous allons nous attacher à corriger au plus vite une vulnérabilité exploitable de l’extérieur ».
La solution de F-Secure aide d’ailleurs dans la hiérarchisation de ces opérations en signalant les vulnérabilités les plus sévères (score CVSS 8 et plus) pour lesquelles des codes d’exploitation sont publiquement disponibles.
Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)
-
Eclypsium : Le firmware d’Ivanti présente une « pléthore » de problèmes de sécurité
-
Fortinet : la dernière vulnérabilité 0day est activement exploitée
-
Vulnérabilités Ivanti Connect Secure : près d’une centaine de victimes identifiées en France
-
Cyberattaque : Bureau Veritas exposait un possible vecteur d’intrusion