Brest Métropole représente un bassin de vie de 400 000 habitants. L’établissement public de coopération intercommunale (EPCI) regroupe huit communes, Brest, Bohars, Gouesnou, Guilers, Guipavas, Le Relecq-Kerhuon, Plougastel-Daoulas et Plouzané. Brest Métropole exerce pour leur compte de nombreuses compétences dont l’urbanisme et l’habitat, la mobilité et les transports, l’eau et l’assainissement ou encore la gestion des équipements culturels et sportifs.
La DSIT emploie 62 agents. Parmi eux, Alexandre DRUET, Responsable du service infrastructure, aux côtés d’Alexandre DELANOUE, RSSI, poursuit notamment une mission de cyberdéfense. « Par nature, un établissement public de coopération intercommunale ouvre ses systèmes informatiques à de multiples partenaires, aux communes membres évidemment mais également à un grand nombre de fournisseurs et de prestataires. Je pense aux délégataires de services publics, aux associations avec lesquelles Brest métropole mène des actions par exemple d’inclusion numérique, sans oublier les accès accordés aux usagers pour l’accomplissement des actes d’état civil, les inscriptions, les réservations. En bref, toutes les activités nécessaires au bon fonctionnement d’une métropole sont d’une façon ou d’une autre matérialisées numériquement et exposées sur Internet » explique-t-il.
Cette ouverture des systèmes, guidée par la nécessité de rendre le service public et d’en assurer la continuité, contribue au demeurant à élargir la surface d’attaque de l’établissement public et peut représenter un terrain favorable aux tentatives de cyberattaques. « Nous faisons effectuer des tests d’intrusion annuellement en variant les périmètres, mais la multiplication d’actifs exposés peut rendre les résultats moins pertinents, ou, à tout le moins, rapidement obsolètes. »
L’enjeu de visibilité, une promesse tenue par Patrowl
Les 650 serveurs de l’EPCI sont on premise, une situation relativement rare dans le secteur public, mais la DSIT de Brest Métropole a à cœur de conserver la maîtrise de ses infrastructures et de son MCO. Par ailleurs, et dans la mesure du possible, les achats poursuivent un objectif d’indépendance technologique. Alexandre DRUET considère, à juste titre, qu’il est de son devoir d’apporter un éclairage sur les aspects prévalents de souveraineté IT. « Les acteurs français de cybersécurité offensive ne sont pas légion et la technicité de Patrowl nous a sauté aux yeux. C’est très rassurant et très engageant ».
L’équipe d’Alexandre DRUET est composée de passionnés de cybersécurité, lesquels profitent de nombreuses sources d’information à haut niveau d’expertise. « Nous avions donc connaissance de l’existence de Patrowl et de sa solution de sécurité offensive depuis longtemps. Les tests d’intrusion automatisés et la gestion continue de l’exposition aux menaces sont apparus comme la réponse la plus adaptée à notre situation, ce qui nous a été largement confirmé ».
Immédiatement les équipes internes prennent connaissance de l’étendue réelle du périmètre appartenant à Brest Métropole ou faisant mention ou appel de son nom. Les services délégués, les associations partenaires, les applicatifs des communes membres, les logiciels métiers, etc. sont mis en évidence. « Des centaines de services sont apparus. Depuis, nous découvrons chaque semaine deux ou trois nouveaux actifs exposés et liés à nos systèmes, principalement en provenance de nos partenaires, qui ne songent pas toujours, compte tenu peut-être de notre éloignement physique, à en avertir la DSIT ».
L’EPCI choisit alors de convertir son budget dédié au test annuel d’intrusion et signe avec Patrowl en juin 2024. Alexandre DRUET souligne la simplicité de la mise en œuvre. « Il nous a suffi de fournir les noms de domaines de nos entités et c’est automatique, nous sommes en permanence informés de l’état réel du périmètre de la Métropole. La plupart des actifs ne pose pas de souci de sécurité, c’est évidemment une bonne chose, mais la connaissance de leur existence est infiniment précieuse. Une cartographie exhaustive est à la base d’une bonne sécurité ».
Des processus de remédiation en amélioration continue
À la suite des premiers résultats, l’équipe cybersécurité entame un important travail de reclassification et de tri des actifs et accompagne les communes membres et les partenaires dans leur processus de correction. « Patrowl nous renseigne efficacement sur le niveau de sévérité d’une vulnérabilité détectée. En fonction, nous demandons à nos partenaires une plus ou moins grande célérité de correction. Mais nous constatons que la question est désormais prise très au sérieux et généralement une exposition problématique est corrigée rapidement, et dans les cas les plus longs en deux ou trois jours maximum ».
La DSIT de Brest Métropole emploie des agents disposant d’un haut niveau de technicité, mais Patrowl fait remonter un contexte et des résultats suffisamment explicites pour être exploités par des équipes moins formées : « Le tableau de bord est clair. On y trouve les lignes de commandes, des liens vers les recommandations, les façons de reproduire la détection de la vulnérabilité. Le prétravail effectué nous fait gagner beaucoup de temps et il est très facile d’appliquer les conseils donnés. » Avec plus de 1 000 actifs répertoriés, le service pourrait être noyé sous les alertes or, ce n’est jamais le cas, grâce au travail d’analyse amont effectué chez Patrowl.
En constante amélioration de ses processus de remédiation, l’équipe sécurité de la DSIT, de taille réduite, attend maintenant une nouvelle fonctionnalité de tri massif des actifs, importante pour sa future organisation. En effet, dans un premier temps, le choix a été fait de ne donner le pilotage de Patrowl qu’au RSSI et au responsable du service infrastructure de Brest Métropole. Prochainement, six ingénieurs réseaux et systèmes y accéderont également.
« Comme un ingénieur de plus dans l’équipe, très affûté »
Alexandre DRUET apprécie le suivi mensuel que Patrowl opère auprès de ses clients. « Nous avons déjà fait plusieurs demandes d’évolution de la plateforme et avons eu le plaisir de constater que toutes ont reçu une réponse. Le Whois IP par exemple est en cours d’implémentation. Aucun autre prestataire ou presque ne nous apporte un suivi aussi régulier et une écoute aussi soutenue ».
Plus encore, le produit montre toute sa pertinence dans ses alertes. « Quand on en reçoit une, on ne rigole pas. On sait que c’est important. » Alexandre DRUET se souvient d’une vulnérabilité Sharepoint pour laquelle aucun patch n’était disponible chez l’éditeur dans leur version on prem’, malgré le niveau de risque élevé. Au-delà de l’alerte émise par la solution, l’équipe de Brest Métropole a pu constater la réactivité de Patrowl quand les règles de détection, implémentées pour l’occasion dans les solutions de sécurité internes de la collectivité, ont signalé dans l’heure les tentatives des robots de l’éditeur de cybersécurité offensive d’exploiter la vulnérabilité détectée. « Nous étions évidemment prévenus du déclenchement des scans mais nous avons eu la preuve formelle, à ce moment, que la promesse Patrowl était tenue. C’est rassurant, on peut leur faire confiance ».
Patrowl est comme un collaborateur supplémentaire « oui mais très affûté, alors », insiste Alexandre DRUET. « Il y a 10 ans, le phishing représentait un risque majeur. Il faut toujours s’en méfier évidemment mais les boîtes noires telles que les objets connectés ou les appliances de connexion ou de management de flottes deviennent des portes d’entrées vers le SI et présentent un risque quotidien désormais. C’est pourquoi Patrowl mériterait d’être connue plus largement, et présentée, pourquoi pas, lors d’un prochain retour d’expérience à d’autres collectivités ».
