L’éditeur de logiciels spécialisé dans la sécurité de l’Active Directory s’est lancé dans les grandes manœuvres. Son nouveau sujet de prédilection : la sécurité des migrations de l’AD, dans le cas d’une opération de fusion/acquisition par exemple.
Si Semperis semble, sur le Vieux Continent, une société relativement jeune, elle est spécialisée depuis plus d’une décennie dans la sécurisation des identités, et en premier lieu de l’Active Directory, aussi bien sur la protection active que sur le disaster recovery. « Microsoft a écrit il y a 20 ans une belle procédure de restauration de l’AD de 96 pages, absolument imbuvable et qu’il faut effectuer la plupart du temps à 2h du matin alors que tout le monde s’agite parce que c’est la fin du monde » raconte Matthieu Trivier, directeur avant-vente EMEA chez Semperis.
Les experts en AD se font rares
En effet, en cas d’attaque, par ransomware par exemple, il convient en premier lieu de « remonter » l’Active Directory, afin de retrouver les politiques d’accès, de collaboration… en bref, tout ce qui nécessite une gestion de l’identité des utilisateurs. Or « il y a trois problèmes : d’abord la complexité à effectuer cette procédure de disaster recovery, ensuite le temps nécessaire pour le faire et enfin la problématique de l’homme clé, puisque toutes les entreprises n’ont pas forcément en interne un expert en la matière » précise Matthieu Trivier.
C’est donc sur ce créneau que se positionne Semperis, à l’aide d’outils qui vont permettre aux équipes, en CSIRT par exemple, d’effectuer cette procédure conformément aux recommandations de Microsoft et le plus rapidement possible. « Nous avons la chance que ce sujet résonne auprès des entreprises qui ont compris que la restauration de l’AD était une procédure longue et complexe que peu de gens comprennent aujourd’hui ». D’autant que la « vague de frayeur » avec la Coupe du monde de rugby et les Jeux Olympiques, ainsi que l’arrivée de NIS2, a provoqué un regain d’intérêt pour le sujet.
Si le disaster recovery est un sujet éprouvé chez Semperis, l’éditeur vient de se lancer à l’assaut de la migration de l’AD. « La migration a toujours été un moment critique en termes de sécurité car c’est souvent à ce moment-là qu’on diminue le niveau de sécurité pour des questions de facilité à migrer » nous explique le directeur avant-vente. « Pendant des années, la sécurité était le dernier des problèmes : le but, c’est d’avancer à marche forcée, pour respecter des deadlines contractuelles lors d’une fusion-acquisition par exemple ».
Monitoring en continu
« Nous arrivons avec des outils qui vont s’intégrer avec toute la suite logicielle pour ramener cette brique de sécurité au sein de la migration. Ça, c’est une de nos grandes évolutions puisque plus qu’un produit en lui-même, c’est toute une plate-forme qui va travailler pour à la fois faire la migration, sécuriser les environnements existants, auditer les nouveaux environnements et s’assurer qu’ils respectent les bonnes pratiques, corriger les erreurs de configuration… » indique Matthieu Trivier. Outre l’intégration des divers référentiels en matière de sécurité des identités, qu’ils proviennent du MITRE ou de l’ANSSI, Semperis dispose de ses propres équipes de R&D qui vont définir des points de contrôle supplémentaires. « Ça se caractérise par 150-160 indicateurs de sécurité, classés par criticité, qu’on va aller interroger en continu sur tout le cycle de vie ». Car, rappelons-le à toutes fins utiles, ce n’est pas parce que le niveau de sécurité est satisfaisant à un instant T qu’il le sera à T+1, d’autant plus à la suite d’une migration.
Autre sujet pour Semperis, cette fois-ci plus près de chez nous, l’éditeur est en train de soumettre son dossier à l’ANSSI afin d’obtenir la certification CSPN. « Les clients français sont très demandeurs du respect des règles de l’ANSSI, c’est donc quelque chose que nous avons fait tout de suite remonter en interne. On utilise déjà les indicateurs de l’ANSSI et on travaille avec eux, Parce que le marché français est très important, on s’est lancé dans cette procédure et on espère d’ici peut-être un an l’obtenir ».