Projets

Brest Métropole sécurise ses SI interconnectés et ouverts

Gouesnou, une des communes de Brest Métropole, qui a désormais accès à la plateforme cyber de l'EPCI. (Photo : Gouesnou)

Les SI d'une collectivité comme Brest Métropole sont par nature interconnectés et ouverts aux prestataires ou à plusieurs communes. Pour en assurer la protection cyber, elle a opté pour une solution de cybersécurité offensive.

PublicitéL'établissement public de coopération intercommunale (EPCI) de Brest Métropole regroupe huit communes (Brest, Bohars, Gouesnou, Guilers, Guipavas, Le Relecq-Kerhuon, Plougastel-Daoulas et Plouzané), où vivent environ 400 000 habitants. Et la métropole dispose d'une Direction des systèmes d'information et télécommunications (DSIT) composée de 62 agents, mutualisée avec six de ces huit communes. La protection et la sécurité des SI ainsi que leur MCO (maintien en conditions opérationnelles) font partie de ses compétences. C'est dans ce cadre que la DSIT, qui ne dispose que d'une équipe cyber réduite, a cherché une solution afin de l'aider à faire face à des menaces de plus en plus importantes sur ses SI interconnectés et ouverts.

« Par nature, un EPCI ouvre ses systèmes informatiques à de multiples partenaires, dont les communes membres évidemment, mais également un grand nombre de fournisseurs et de prestataires, rappelle ainsi Alexandre Druet, responsable du service infrastructure. Je pense aux délégataires de services publics, aux associations avec lesquelles Brest Métropole mène des actions par exemple d'inclusion numérique, sans oublier les accès accordés aux usagers pour l'accomplissement des actes d'état civil, les inscriptions, les réservations. »

Une visibilité en temps réel sur les actifs vulnérables

L'EPCI a gardé ses 650 serveurs on-premise et sa DSIT réalise chaque année des tests d'intrusion sur ses systèmes. Pour autant, la complexification et l'intensité accrues des menaces augmentent la surface d'attaque à un rythme intense, qui rend ces tests moins pertinents, voire obsolètes. Brest Métropole a donc cherché une solution pour disposer d'une visibilité en temps réel sur sa surface d'attaque, et sur les attaques proprement dites. En cohérence avec sa stratégie de souveraineté, elle a choisi un prestataire parisien de cybersécurité offensive, en l'occurrence Patrowl que les équipes de la DSIT connaissaient déjà. La décision de déploiement a été prise en juin 2024 et le budget consacré au test annuel d'intrusion a été transféré vers cette plateforme. « Les acteurs français de cybersécurité offensive ne sont pas légion, argumente Alexandre Druet. [...] De plus, les tests d'intrusion automatisés et la gestion continue de l'exposition aux menaces sont apparus comme la réponse la plus adaptée à notre situation. » Et c'est ce que propose entre autres Patrowl.

Le premier audit des actifs exposés, au nombre d'un millier, a effectivement révélé à la Métropole bretonne une étendue du périmètre vulnérable de ses SI bien plus important que ce qu'elle avait identifié. Comme le précise le responsable du service infrastructure dans le communiqué des deux entreprises, « des centaines de services sont apparus. Des services délégués d'associations partenaires, des applicatifs des communes membres, des logiciels métiers, etc. Et depuis, nous découvrons chaque semaine deux ou trois nouveaux actifs exposés et liés à nos systèmes, principalement en provenance de nos partenaires, qui ne songent pas toujours à en avertir la DSIT. Compte tenu peut-être de notre éloignement physique. »

PublicitéUn pilotage au-delà de la seule équipe cyber

Cette cartographie actualisée en temps réel des actifs vulnérables a permis à la DSIT de Brest Métropole de reprendre la classification et le tri de ces derniers. Un outil que les communes et les partenaires de l'EPCI utilisent eux aussi désormais. Il identifie le niveau de sévérité des vulnérabilités détectées et, en fonction, la DSIT demande à ces organisations de réagir plus ou moins rapidement. Selon elle, le contexte et les résultats remontés dans la solution sont, par ailleurs, suffisamment explicites pour être directement traités par des équipes moins expertes que la seule équipe cyber. La DSIT souhaite, enfin, installer une fonction de tri massif prévue par Patrowl, afin d'associer 6 ingénieurs système et réseau à cette pratique. Aujourd'hui, le pilotage reste entre les mains du responsable du service infrastructure et du RSSI dont il dépend.

La solution a déjà fait ses preuves, selon Alexandre Druet qui donne un exemple qui l'a frappé. Patrowl a en effet émis une alerte avec un risque élevé concernant une vulnérabilité Sharepoint pour laquelle Microsoft n'avait publié aucun patch dans la version on-premise installée à la métropole de Brest. La solution a également signalé dans l'heure les tentatives d'exploitation possibles de la faille.