Politique du moindre accès pour protéger la ville de Créteil

Créteil est une ville de 92 000 habitants, qui fait aujourd’hui partie de la structure intercommunale Grand Paris Sud-Est Avenir.

Comme toutes les collectivités nous sommes organisés en services, avec environ 2 500 agents, et nous sommes 23 personnes à la DSI. 

Nous sommes aujourd’hui totalement indépendants sur la gestion de notre système d’information.

Je suis pour ma part administrateur système. Je m’occupe de toute la partie sauvegardes, serveurs, gestion de notre Active Directory, d’Office365 etc… Je gère également, dans une moindre mesure, la partie réseau.

Ces derniers temps nous menons un gros travail sur toute la partie cybersécurité.
Comme toutes les collectivités, nous subissons chaque jour des attaques directes, via des mails de phishing par exemple.

Nous avons récemment contractualisé avec Orange Cyberdefense pour mettre en place un RSSI dédié à ces sujets au sein de la ville de Créteil. Il vient nous apporter une vision externe sur les pratiques et outils déjà en place afin d’optimiser et d’améliorer la cybersécurité de la ville.

Nous sortons également d’un audit réalisé dans le cadre du plan France Relance qui nous donne de nombreux axes de travail sur la partie sécurité des systèmes d’information.

Notre DSI adjoint, s’oriente aussi de plus en plus vers la sécurité pour venir répondre à ces besoins.

Nous sommes au sein de la ville, tous impactés par ces problématiques, du fait de nombreux mails de phishing reçus récemment. Ce sont environ 4 à 5 mails différents par semaine et de mieux en mieux écrits qui sont reçus par les collaborateurs des différents services. Certains d’entre eux proviennent également d’adresses mails de partenaires qui se sont eux-mêmes fait pirater.

Heureusement les utilisateurs sont de plus en plus sensibilisés et font ainsi de plus en plus attention aux différents mails qu’ils reçoivent.

Nous utilisons Altospam, comme logiciel anti-spam et antivirus, même si certains mails de phishing passent malgré tout.

Nous avons également un projet de communication en cours avec Orange Cyberdefense. Ils vont nous fournir des affiches et slogans pour continuer à sensibiliser nos utilisateurs aux différents enjeux de cybersécurité qui les concernent.

Nous allons aussi lancer des campagnes de phishing prochainement.

Nous n’avons pas identifié d’autre menace en particulier, nous espérons simplement ne pas nous faire attaquer, et mettons tout en œuvre pour éviter que cela arrive et limiter l’impact en cas d’attaque réussie.

À l'avenir, notre objectif est de venir rajouter des pare-feux, et renforcer notre Active Directory. Notre crainte c’est qu’un attaquant réussisse à entrer dans nos systèmes, nous mettons tout en œuvre pour que cela n’arrive pas.

Nous mettons aujourd’hui l’accent sur la partie utilisateurs finaux, conscients que c’est par eux que l’attaquant à le plus de chance de rentrer. C’est la somme de plusieurs actions que nous mettons en place suite à l’audit du plan France Relance (blocage de l’utilisation des clefs USB, sensibilisation, campagnes de phishing…), qui viennent renforcer la sécurité de la ville.

Nous avons notre PSSI (Politique de Sécurité de Systèmes d’information) qui est en cours également.

Le plan France Relance a été un véritable accélérateur. Ça nous a permis à la DSI, de venir sensibiliser la direction générale. Grâce au plan France Relance, ils ont pris conscience qu’il y avait aujourd'hui de vrais risques et donc de vrais besoins et de vrais investissements à faire au niveau de la DSI.

Le plan France Relance, couplé au fait que de plus en plus de collectivités autour de nous sont touchées, crée des inquiétudes et ainsi une prise en considération de ces problématiques au sein de l’ensemble de la direction et ce jusqu'au maire de la ville.

Nous avions 2 bases KeePass pour la DSI : 

• 1 pour les administrateurs système et réseau
• 1 pour le pôle étude et techniciens
  
  

Un jour nous avons eu un problème avec nos serveurs, rendant notre base indisponible. Nous n’avions donc plus accès à nos mots de passe.

Nous avons ainsi fait le choix d’une solution hébergée à l’extérieur pour répondre à un besoin de disponibilité. Cela nous permet de conserver l’accès à nos mots de passe même si notre SI venait à tomber ou même en cas d’attaque sur notre réseau interne.

Nous avions un problème secondaire qui était lié à la gestion des accès. Avec KeePass, chaque personne avait accès à l’ensemble des mots de passe disponibles dans la base, ce qui pose problème en termes de sécurité des données sensibles.

Un autre sujet qui arrive maintenant, tourne autour des risques liés aux fuites de données. Par exemple dans le cas où un collaborateur sur le départ voudrait exporter des mots de passe propres à la ville. Grâce à l’historique des logs dans LockSelf, nous sommes alertés en cas de données exportées ou de connexion suspecte.

Aujourd’hui, avec tout ce que nous permet de faire LockSelf, on ne reviendrait pas en arrière ! Cela nous a permis de venir rajouter une vraie couche de sécurité au niveau de la gestion de nos mots de passe.

LockSelf offre un vrai cloisonnement des accès, permettant une gestion au moindre privilège. Chacun a accès au minimum d'informations nécessaires à sa fonction.

C’est ce que nous demande notamment aujourd’hui le RSSI missionné par Orange Cyberdefense, qui nous conseille vraiment de mettre en place une politique du moindre accès.
 

LockSelf répond vraiment à nos besoins.

Nous avons pris l’option nous permettant d’interconnecter LockSelf avec notre Azure Active directory. Le provisionning des comptes se fait ainsi par équipe et nous nommons ensuite les bonnes personnes comme administrateurs et/ou modérateurs dans l’outil. 

Chaque responsable d’équipe est ainsi nommé modérateur et gère les droits au sein de son groupe. De cette façon, chaque équipe de la DSI a son arborescence et l’accès aux bonnes catégories de mots de passe.

LockPass nous sert à stocker l’ensemble de nos mots de passe (serveurs, site web, applications diverses…). Nous autorisons également l’utilisation de l’espace personnel de LockPass aux équipes pour ceux qui le souhaitent.

L’ensemble des équipes de la DSI utilise LockPass au quotidien. Nous avons :

• 1 pôle infrastructure (composé d’une équipe réseau et système et d’une équipe help desk)
• 1 pôle administratif
• 1 pôle étude.
  
  

Au moment de la migration de notre outil en interne vers LockPass, chaque service s’est occupé de migrer ses secrets dans l’outil afin de donner accès directement aux bons mots de passe aux bonnes personnes.

Nous avons choisi LockSelf pour deux raisons.

• C’est français.
• C’est certifié par l’ANSSI. 

Mettre en place une solution certifiée par l’ANSSI était un vrai prérequis imposé.

Aujourd’hui, les directeurs généraux adjoints, nous demandent de plus en plus d’utiliser des outils français, hébergés en France.

Ces prérogatives viennent d’une part du Cloud Act qui est en train d'impacter les données hébergées par des sociétés américaines sur le sol européen, et d’une vraie fierté d’utiliser des solutions françaises de qualité !

L’État commence par exemple à se poser la question de décommissionner Office365 pour les collectivités. L’utilisation d’outils non européens, même s’ils sont hébergés en Allemagne par exemple, ne rassurent plus.