Bien inventorier son infrastructure pour bien la protéger

Lorsque survient une Cyberattaque, un des premiers bons réflexes est de déterminer les éléments impactés, machines physiques ou virtuelles, ainsi que les composants réseau internes et externes qui ont pu être corrompus. Force est de constater que les inventaires, s’ils sont encore accessibles suite à l’attaque, se révèlent très fréquemment faux ou incomplets. La cartographie des connexions est généralement connue dans son schéma général, mais rarement dans ses détails, et cela peut être dans les détails que les brèches sont exploitées.

Dans toutes les guerres, la logistique est une partie peu visible mais déterminante de l’efficacité collective. C’est encore plus vrai en Cyberdéfense, et des solutions émergent pour que cela devienne un automatisme. Nous vous proposons ici un tour d’horizon sur ce sujet majeur et auquel les équipes attachent souvent trop peu d’attention.

L’inventaire et la cartographie des infrastructures, parent pauvre des DSI

Le parc informatique d’une grande organisation s’est constitué sur plus d’une dizaine d’années, et les bases de données ou fichiers d’inventaires des serveurs, laptops, switchs, machines virtuelles ont généralement divergé, notamment à l’occasion de l’évolution des équipes, des déménagements ou de migrations. Si les équipements récemment acquis et pas encore amortis comptablement sont en principe bien inventoriés car cela a un impact direct sur les finances de la société, les parcs informatiques peuvent être connus de façon approximative, notamment sur des périmètres de l’organisation qui ont été acquis ou fusionnés.

Lors d’une acquisition, on effectue un “Carve In” de l’infrastructure de la société acquise, c’est à dire que l’on fusionne ce qui doit l’être, et on migre ce que l’on peut vers une des deux infrastructures, en gérant au mieux les sujets de compatibilité, et en limitant les « double run », c’est-à-dire l’exploitation simultanée de solutions redondantes. Il est inutile et très difficile de gérer deux systèmes de gestion des réseaux comme le SD-WAN, par exemple. Il y a des grosses économies à faire en fusionnant certaines parties des infrastructures, et cela a généralement déjà été comptabilisé dans le business plan. Les équipements qui ne sont plus utilisés doivent être décommissionnés, et si possible revendus. On découvre en court de migration des sujets d’obsolescence des parcs : il arrive fréquemment que des applicatifs métiers, parfois importants, ne puissent migrer vers l’infrastructure cible. Un “Carve In” constitue donc une réelle difficulté au niveau maitrise des inventaires et le référencement de la masse d’information que cela représente est généralement remis « à plus tard » au vu des urgences opérationnelles du projet lui-même.

Dans l’autre sens, lors d’un projet de migration d’un data center vers le Cloud (“Move-to-Cloud »), où un inventaire des machines physiques et virtuelles est inévitable, on découvre qu’un pourcentage significatif n’est plus utilisé, plus maintenu, ou utilise des versions d’OS antédiluviennes et très vulnérables aux cyberattaques car sa maintenance n’est plus assurée par l’éditeur. En faisant l’inventaire physique des baies des data centers, on découvre fréquemment des différences importantes avec l’inventaire théorique, et certaines machines, utilisées ou non mais généralement alimentées et connectées, tournent encore sous Windows 2003 ou Windows 97. Et c’est logique, attendu le turnover naturel des équipes et la faible priorité accordée à la mise à jour des fichiers d’inventaire.

Dans tous les cas, si les plans de câblage des data centers et des LAN des organisations sont généralement bien actualisés car les techniciens ne peuvent rien faire sans un référentiel à jour, il n’est pas forcément en relation avec les inventaires physiques, qui eux peuvent ne pas être à jour.

De même, le référentiel d’adressage IP existe forcément dans la DSI, mais il n’est pas nativement en relation avec le parc machine, ni avec les composants virtuels et donc, il est rarement exhaustif. Lorsque l’organisation est petite, c’est généralement un fichier Excel. Puis un outil type IPAM est mis en place.

Le suivi des paramétrages des firewalls, et globalement de l’implémentation des règles de sécurité, les antivirus, le versionning du parc bureautique suivent des logiques autonomes. S’il existe des organisations où chacun des inventaires convergent, force est de constater que c’est l’exception plus que la règle.

Des solutions pour améliorer les inventaires, de façon très rentable

L’agenda des équipes infrastructures est généralement totalement saturé par les projets prioritaires des métiers et par les urgences. Elles sont généralement en sous-effectif. Il est donc naturellement très difficile de dégager les ressources nécessaires pour mettre à jour les inventaires.

Les équipes qui le font sont généralement celles qui doivent reconstruire “from scratch” un système d’information après une cyber attaque. La grande majorité des attaques exploitent des vulnérabilités connues, force est de constater que lorsque les inventaires sont à jour, il est bien plus simple d’identifier les failles potentielles avant les assaillants.

Un référentiel à jour permet aussi de mettre en place au fur et à mesure les mesures de sécurité prioritaires, et de mieux déployer les dispositifs de sécurité globaux : Security Operation Center (SOC), Security Information and Event Management (SIEM). Si une organisation met en place une solution d’automatisation de déploiement des règles de sécurité type Tuffin, les économies seront également importantes avec un inventaire à jour. Il va de soi qu’une bonne connaissance de son infrastructure, avec des informations facilement accessibles, va permettre de réagir de façon bien plus rapide et efficace aux cyberattaques, de façon à limiter la portée des intrusions. Le “retour sur investissement” (ROI) est alors très fort.

En outre, un inventaire va également permettre de découvrir des assets non utilisés (et pas seulement des machines), des adresses IP utilisées mais non référencées dans l’IPAM, et des règles de sécurité qui ne sont pas intégralement déployées. Il est usuel de découvrir que quelques pourcents des machines d’un data center ne sont plus utilisées et peuvent être débranchées, créant ainsi des économies importantes sur la facture d’hébergement (et d’energie) permettant ainsi de réduire l’empreinte carbone de la société. Cela permettra d’amortir tout ou partie du temps du projet, et réduire d’autant la surface d’attaque de l’organisation.

Enfin, un inventaire à jour va permettre d’identifier très vite les machines impactées par les fameuses CVE “Common Vulnerabilities and Exposures” lorsqu’elles sont découvertes, et il sera plus simple de déployer les patchs de sécurité. A contrario, il permettra de rapidement identifier qu’une CVE n’a pas d’impact dans l’organisation. Il en va de même pour la gestion des sujets d’obsolescence : on pourra vite identifier les composantes de l’infrastructure impactées par l’arrêt de la maintenance de certains fournisseurs, et surtout de la criticité de celle-ci.

Des solutions existent pour l’inventaire machine. Une solution Open Source qui s’est imposée ces dernières années est Netbox. Son coût de licence est nul et la communauté qui la développe est significative, en faisant une solution pérenne. Il faut simplement s’assurer que l’information sera accessible en cas de Cyberattaque, de façon à pouvoir récupérer ses informations si certaines machines sensibles sont touchées.

Les évolutions à mettre en place

Si des sociétés comme Exiptel ont l’expérience de projets d’inventaire avec des outils comme Netbox, la question est aujourd’hui de permettre de récupérer toutes les informations existantes dans une organisations, et d’identifier les incohérences de chaque référentiel. On parle de milliers, voire de dizaines de milliers de serveurs, firewalls, switchs, de machines et composants virtuels. L’automatisation de l’exercice est inévitable, et c’est là que se situe la valeur.

Si chaque équipe doit continuer à utiliser ses outils habituels (outil de gestion du câblage, IPAM…), le fait de connecter les référentiels permet de détecter les incohérences, d’identifier quelques vulnérabilités et d’effectuer des optimisations.

En définitive, la mise à jour des inventaires, des plans d’adressage et de paramétrage est une tâche qui peut être considérée comme ingrate, mais qui permet de significativement améliorer la résilience d’une infrastructure, ses coûts d’exploitation (Opex) comme de maintenance évolutive. C’est un projet qui peut être confié à un nouvel arrivant dans l’équipe infrastructure, mais également à un prestataire. C’est un investissement en temps qui est fondamental et dont le ROI est autant financier que sur l’amélioration de la sécurité.  Il permet généralement de mettre en lumière certaines vulnérabilités avant que les cyberattaquants ne le fassent.