TotalEnergies face au défi de la sécurité du multicloud
Comme beaucoup d’entreprises françaises, Total s’est engagé dans une migration de son IT vers le cloud. Une évolution stratégique qui a eu un impact direct sur la façon dont le géant de l’énergie sécurise ses applications.
TotalEnergies s’est engagé en 2021 dans une migration de son parc applicatif vers Microsoft Azure et AWS. L’objectif affiché est de transférer 70 % de ses applications auprès de ces deux hyperscalers.
L’occasion pour Jean-Dominique Nollet, Group CISO de TotalEnergies depuis 3 ans, de repartir sur de nouvelles bases : « lorsque nous avons engagé cette stratégie de “Move to Cloud” et commencé à pousser nos applications, ma position était de repartir sur de bonnes bases. J’ai voulu utiliser cette séquence pour ne pas transférer des choses qui ne sont pas propres, et les mettre en ligne dans le même état et se retrouver à devoir monter de version en ligne et passer des patchs pendant des années… »
De l’importance de repartir sur des bases saines
La première difficulté à laquelle s’est heurté le CISO fut la diversité des environnements dans le groupe. TotalEnergies exploitait déjà des environnements cloud depuis plusieurs années, avec des applications qui avaient quelque peu échappé au contrôle de la sécurité groupe.
En outre, Jean-Dominique Nollet voulait éviter à tout prix de devoir gérer de multiples versions d’environnements cloud, une source de complexité et de surcoûts évidente : « j’ai décidé de fermer ces anciens environnements à une date précise. Tous ceux qui resteront sur ces environnements devront régler des frais de sécurisation supplémentaires. Le coût était partagé en fonction du nombre d’applications déployées sur ces environnements. Lorsqu’il ne restera plus que 2 ou 3 applications, le coût facturé sera de plus en plus cher, ce qui devrait pousser ces utilisateurs à rejoindre les clouds du groupe ». L’ancien gendarme reconnaît une méthode quelque peu brutale, mais qui présente l’avantage de montrer la sortie aux applications obsolètes.
Si TotalEnergies est reparti sur des environnements Azure et AWS « propres », Jean-Dominique Nollet reconnaît l’importance de l’effort qui a été consenti afin de maîtriser la sécurité de ces plateformes. Évoquant plus particulièrement celle de Microsoft, le CISO souligne : « nous sommes partis sur l’ensemble du framework Azure Enterprise. Cela demande un gros effort de conception pour viser une plateforme “propre” au plus haut niveau de maturité et ne pas essayer d’avancer par étapes successives ».
La Digital Factory, une population à surveiller de près
Outre ce travail sur l’infrastructure, le CISO a dû traiter une problématique cybersécurité bien particulière : la création de la Digital Factory. Cette structure compte de l’ordre de 500 personnes, dont de nombreux développeurs qui ont une fâcheuse tendance à laisser leurs clés SSH un peu partout…
« Le premier conseil est de mener une chasse aux identifiants de tenant : il faut être sûr que si l’un des administrateurs laisse son token en ligne, vous allez pouvoir le repérer immédiatement », explique le responsable. « Il faut bien évidemment former les collaborateurs, mais en tant que CISO, vous devez être sûr que si un ID de tenant est exposé, vous devez être le premier à le découvrir ».
Pour faire régner l’ordre auprès des développeurs, un CISO a été nommé au sein de la Digital Factory, un ancien du ministère de l’Intérieur qui avait fait de la cybersécurité offensive… Sa mission est de tenir les développeurs, mais surtout de leur donner de vrais conseils : « le problème du RSSI qui veut faire de la gestion de posture et qui affirme à un développeur que sa VM n’est pas conforme, c’est qu’il n’y a pas véritablement de dialogue possible : aucun des deux n’a le même niveau de discours que l’autre. Il faut une personne qui puisse vraiment parler à un développeur, qui puisse lire le code, qui sait où on se situe dans le pipeline de développement ».
Et si malgré le dialogue, les règles ne sont pas respectées des développeurs, les fermetures de compte les ramènent dans le droit chemin.
L’évolution constante des offres cloud, un paramètre difficile à gérer
Si le passage au cloud fut un défi du point de vue de la cybersécurité, le choix du groupe de faire du multicloud est venu compliquer un peu plus la donne. « Nous avons une maîtrise assez faible sur la partie connexion entre AWS et les briques externes de type GitHub, Azure AD. Je ne sais pas quelles attaques sont possibles sur ces liens. Or, nous avons vu de nombreuses attaques être publiées, comme lors de la Black Hat en août 2022 sur les Personal Access Token (PAT) sur Azure DevOps ».
Si l’équipe sécurité avait bien identifié l’attaque et patché en conséquence, l’absence d’une documentation exhaustive a permis à une Red Team de mettre en échec la sécurité du cloud TotalEnergies : « nous n’avions pas compris que le PAT est créé sur Azure DevOps avec un identifiant de Landing Zone. Si on réinitialise les credentials en haut de l’écran, cela ne réinitialise pas ceux du bas… Les PAT restent permanents et il faut les réinitialiser aussi. Le Red Teamer s’est fait plaisir ! »
De même, lors d’une autre campagne, un Red Teamer qui disposait de droits développeur assez peu élevés, mais avec des droits sur le CI/CD est parvenu à dérober 40 000 identifiants… Sa seule erreur fut d’effacer le Pipeline qui lui a permis cette attaque. Cet effacement a généré une alerte qui a trahi une attaque extrêmement bien menée.
Jean-Dominique NolletGroup CISO, TotalEnergies.
Pour Jean-Dominique Nollet, la sécurité dans le cloud demande un véritable changement d’approche. Plutôt que l’approche « conformité » où l’on cherche à atteindre une posture de sécurité donnée, il faut une approche beaucoup plus centrée sur l’attaquant : « le cloud est un domaine nouveau. Cette nouvelle orchestration doit nous faire nous poser des questions d’attaquant. Faire de la conformité, cocher des cases ne veut plus rien dire. Je suis d’accord avec Guillaume Poupard quand il dit que présenter des slides avec des KPI à des ComEx ne veut plus rien dire. La vraie question, c’est : est-ce que l’attaquant peut entrer, et est-ce qu’on va le repérer s’il parvient à entrer ? Et si on le repère, est-ce qu’on sera capable de le sortir ? »
Le responsable souligne notamment la difficulté d’intégrer les nouveautés poussées en permanence par les hyperscalers sur leurs infrastructures : « toutes ces nouvelles fonctions seront utilisées par les développeurs et feront courir un risque qu’il faut pouvoir maîtriser. Il faut avoir ce souci d’analyse en permanence, c’est passionnant, mais c’est dur ! Comme dans tout système informatique, il y a des trous qu’il faut trouver, mais ce n’est pas la recherche de CVE qui va vous aider ».
Pour le CISO, la sécurité d’une infrastructure cloud passe par la mise en place d’un chemin d’administration particulièrement sécurisé : « je ne suis pas toujours d’accord avec l’ensemble des recommandations de l’Anssi, mais un chemin d’administration sur lequel on peut compter, c’est pratique. Pouvoir travailler où l’on veut et sur n’importe quel terminal, je ne le veux pas ! Pour le télétravail, il faut arriver à identifier le poste du développeur, onboarder le développeur et lui attribuer une IP fixe – que l’attaquant aura beaucoup de mal à avoir sauf à infecter le poste – et équiper le poste d’un EDR ».
Pour qu’une personne puisse réaliser des tâches d’administration sur le cloud de TotalEnergies, elle doit être authentifiée sur un chemin réseau soit avec son IP fixe, des tokens, l’accès conditionnel Azure, ou des Credentials que le système pourra reconnaître.
2023, une année « Purple »
L’approche du Group CISO pour 2023 sera de fonctionner en Purple Team en permanence : « sur des séquences DevOps de 15 jours, nous allons chercher et corriger les vulnérabilités ainsi que travailler sur le CI/CD pour le renforcer ».
TotalEnergies va abandonner Azure DevOps au profit de GitHub, racheté par Microsoft en 2018. Pour la détection avancée, TotalEnergies s’appuie sur la suite XDR de Microsoft, ainsi que sur Microsoft Defender pour cloud.
Si Jean-Dominique Nollet souligne la qualité de ces offres, il pointe aussi le manque de solutions de détections automatiques des hyperscalers : « pour faire de la détection avancée sur GitHub, vous êtes seul. Il est bien entendu possible de mettre tous les logs dans un outil, mais c’est à vous de générer les scénarios d’attaque. Ce que je demande aux hyperscalers, c’est de nous amener des couches de détection automatique. Ce n’est pas à nous, les utilisateurs, de nous poser les questions sur quelle attaque peut passer ».
Il ajoute que si Microsoft s’est effectivement engagé dans cette voie, beaucoup reste à faire du côté d’AWS : « c’est du domaine de l’hyperscaler de fournir des suites de sécurité qui nous permettent de contrôler notre propre sécurité », conclut le CISO du groupe TotalEnergies.
Propos recueillis lors d’un événement organisé par inCyber/FIC.