Vallourec, un fabricant de tubes en acier sans soudures, a choisi Tenable.ad pour sécuriser le logiciel Active Directory de Microsoft. Il lui permet de voir chaque modification dans AD, de déterminer le niveau de risque et l’exposition en temps réel, et d’empêcher les attaquants de l’utiliser comme un chemin d’attaque critique.
Comme la majorité des entreprises, Vallourec s’appuie sur le logiciel Active Directory (AD) de Microsoft pour ses processus d’authentification et d’autorisation. Et malgré tout le travail de son équipe de sécurité de sécuriser ces actifs IT, les mauvaises configurations continuaient d’exposer l’entreprise à des risques. Elle avait besoin de surveiller Active Directory et d’être informée en temps réel des modifications apportées, pour pouvoir remédier aux problèmes de sécurité avant qu’ils ne se transforment en opportunité d’infiltration pour les attaquants.
Active Directory est utilisé par 17 000 salariés Vallourec dans le monde
Chez Vallourec, Active Directory est utilisé par 17 000 salariés dans le monde. La gestion du système est décentralisée. « Certains de nos groupes évoluent rapidement, et la sécurité n’est pas la première chose à laquelle les administrateurs pensent lorsque leur chef leur demande d’installer une nouvelle solution. Il arrive qu’ils fassent des erreurs », confie Jérémie S., architecte Active Directory chez Vallourec.
Ces erreurs, si elles ne sont pas détectées et corrigées, peuvent s’avérer coûteuses. Active Directory est un vecteur d’attaque privilégié pour les attaquants, qui exploitent ses mauvaises configurations dans le but d’évoluer latéralement d’un système à un autre et d’élever les privilèges. Il faut impérativement détecter rapidement les mauvaises configurations si l’on veut réduire le risque de sécurité et éviter d’autres mauvaises configurations.
Difficile de contrôler manuellement les mauvaises configurations
L’équipe utilisait des scripts pour contrôler manuellement les mauvaises configurations, mais ce processus était lent et l’équipe savait qu’elle ne voyait pas tout. « Les administrateurs font des choses que nous ne pouvons même pas imaginer. Ça peut nous paraître évident de ne pas le faire ainsi, mais pour eux, ce sont des choses qui leur semblent pertinentes pendant l’implémentation d’un produit », indique Gerald S., architecte infrastructure informatique, identité et expert systèmes Active Directory chez Vallourec.
Ces vérifications manuelles étaient réalisées périodiquement, entre temps les administrateurs continuaient à travailler sur les mauvaises configurations, rendant celles-ci encore plus difficiles à corriger lorsqu’elles étaient repérées. L’équipe voulait surveiller Active Directory et suivre en temps réel les modifications apportées, ainsi que limiter les droits d’administrateur en fonction des opérations réalisées.
Vallourec a choisi Tenable.ad
Vallourec a choisi Tenable.ad pour obtenir la visibilité et la maîtrise nécessaires pour sécuriser efficacement Active Directory. Tenable.ad permet à l’équipe de voir chaque modification dans Active Directory, de déterminer le niveau de risque et l’exposition en temps réel, et d’empêcher les attaquants de l’utiliser comme un chemin d’attaque critique.
Le fabricant a collaboré avec son prestataire de SOC géré afin d’intégrer Tenable.ad à sa solution SIEM. Cette étape consistait simplement à ouvrir un port et à définir une adresse IP cible. Lors de l’implémentation, l’équipe a immédiatement remarqué une amélioration de sa visibilité sur l’infrastructure AD. « Quand nous avons installé Tenable.ad, de mauvaises configurations de sécurité que nous n’avions pas détectées auparavant étaient présentes », explique Gerald.
L’équipe a corrigé ces mauvaises configurations et reçoit désormais automatiquement une notification lorsque Tenable.ad détecte une modification dans Active Directory. « Nous pouvons garantir que tout ce que nous souhaitons configurer en termes de sécurité ou d’exception reste en place et que personne, nous compris, ne peut le modifier. Si une personne a l’autorisation de changer quelque chose, nous pouvons le voir directement. D’ailleurs, c’est pour moi un système de supervision en temps réel de la configuration directe », explique Jérémie.
Le temps consacré à la correction est fortement réduit
L’équipe n’est plus concentrée sur l’écriture et l’exécution de scripts pour détecter les mauvaises configurations, et le temps qu’elle consacre effectivement à la correction est fortement réduit. « Nous pouvons détecter rapidement les mauvaises configurations. Un correctif nous prend aujourd’hui cinq minutes, contre cinq jours voire cinq semaines si la configuration avait été répliquée et que nous devions apporter beaucoup de modifications », explique Ben P., responsable de l’équipe Opérations d’infrastructure.
L’une des fonctionnalités préférées de l’équipe s’appelle Trail Flow. Elle affiche les tâches de surveillance et d’analyse en temps réel des événements touchant l’infrastructure AD et permet aux équipes de détecter les vulnérabilités critiques et leurs voies de remédiation recommandées. Lorsque de nouvelles fonctionnalités sont ajoutées à Active Directory, Trail Flow permet à l’équipe de voir l’incidence de ces dernières sur l’infrastructure. L’équipe peut aussi voir les tentatives d’authentification frauduleuse, leur provenance dans le monde et si elles sont dues à un problème de mauvaise configuration ou simplement à un problème sur un domaine. Cette visibilité permet à l’équipe de faire une analyse des causes premières et de corriger plus efficacement le problème.
L’équipe apprécie également le dashboard de Tenable.ad, car il leur permet de suivre les alertes et de voir l’évolution de leur travail en matière de sécurité. Tenable.ad a offert à l’équipe une visibilité et une maîtrise sur Active Directory qu’elle ne pouvait atteindre autrement. « Nous ne pourrions pas copier ce que Tenable parvient à faire et le rendre viable. Tenable fait ce qu’on attend de lui et il le fait bien », ajoute Ben.
