Découvrir les vulnérabilités et les éradiquer dans un contexte très décentralisé, où figurent de nombreuses co-entreprises. C'est à cette situation assez spécifique que s'est attaqué l'équipe de cybersécurité de le pôle grands projets de Vinci Construction (env. 3,9 Md€ de chiffre d'affaires, 14 500 employés), qui prend en charge les chantiers les plus importants de cette entité de la multinationale. Au total environ 170 projets un peu partout dans le monde, dont 49 de plus de 200 M€. Des dossiers souvent complexes pour lequel Vinci s'associe fréquemment à des partenaires locaux ou spécialisés au sein de consortiums dédiés.

« Il y a deux ans, nous nous sommes mis en quête d'un outil pour mener des tests d'intrusion sur nos systèmes, offrant une visibilité sur les failles et proposant des priorités en termes de remédiation, tant au siège que sur les chantiers, dit Christophe Denis, RSSI du pôle grands projets, qui s'exprimait lors des Assises de la sécurité (Monaco, du 9 au 11 octobre). Mais, surtout, sans impacts sur la production, qui pourraient arrêter les chantiers. » Ce cahier des charges conduit le RSSI à retenir la solution de l'éditeur israélien XM Cyber, qui permet de visualiser les chemins d'attaque en se plaçant dans la position de l'assaillant. Pour Vinci, la solution, basée sur l'installation de capteurs récupérant des métadonnées, a également le mérite de proposer des mesures correctives, de s'adapter aux changements sur l'infrastructure et de couvrir les liens entre IT et OT (Operational Technology).

Réduire la surface d'attaque

Par exemple, la solution met en évidence un chemin d'attaque possible sur les infrastructures d'un projet au Maroc - le chantier de la station de transfert d'énergie par pompage (STEP) d'Abdelmoumen où sont déployés 100 postes environ et une dizaine de serveurs -, ouvrant un accès au serveur hébergeant la comptabilité de l'entreprise. « Cette compromission a été détectée par XM Cyber, alors qu'elle avait échappé à notre EDR », souligne le RSSI. Même mise en évidence d'un chemin d'attaque permettant d'accéder aux bases de données du siège depuis un poste de travail, via l'exploitation de failles non corrigées ayant échappé à la vigilance des équipes jusqu'alors. « La remédiation nous a permis de passer de 27% de bases de données exposées à 0% », précise Christophe Denis.

Globalement, la démarche vise à réduire la surface d'attaques d'une activité par essence très décentralisée et dispersée. Pour ce faire, la solution XM Cyber calcule un score synthétique de compromission - allant de 0 à 100, pour une entreprise parfaitement protégée -, sur la base des infrastructures couvertes par ses capteurs (près de 5500 sont déployés par le pôle grands projets de Vinci Construction). Au sein de l'entité de la multinationale, ce score est passé de 71 en janvier 2024 à 86 en septembre. « Et il faut tenir compte du fait que l'éditeur enrichit en permanence les chemins d'attaque dans la solution, ce qui fait descendre votre score mécaniquement », glisse le RSSI.

De 2000 remédiations prioritaires à 500

Surtout, pour ce dernier, la solution permet de gérer les priorités en termes de remédiation, via la notion de goulets d'étranglement. « Ce sont les points de passage obligés sur les chemins d'attaque », indique le RSSI. En partant de plus de 2000 remédiations prioritaires en janvier 2024 - ces fameux goulets dans le jargon de l'éditeur -, le pôle grands projets est désormais descendu à un peu plus de 500. « Soit une baisse de 80% de notre surface d'attaques, souligne Christophe Denis. Les deux problèmes majeurs qui subsistent sont liés soit à l'Active Directory, soit à l'exploitation des serveurs. » Selon le RSSI, qui entend prioriser la revue des droits sur ces ressources en 2025, cet effort permettra de traiter 95% des goulets restant.

Chez Vinci, l'outillage spécialisé dans la détection des chemins d'attaque a été associé à un processus de gestion des remédiations. Les scénarios issus de la console de XM Cyber sont analysés et les corrections qui sont validées à l'issue de cette phase sont distribuées à trois équipes intervenant sur différentes parties de l'infrastructure IT (l'équipe sécurité, la direction des opérations SI sur les chantiers et un pôle technique, en charge des opérations). « Nous effectuons ensuite un point d'avancement 15 jours après et revérifions ensuite que la correction a bien été apportée », dit Christophe Denis.

Connaître son infrastructure pour bien positionner les capteurs

Selon le RSSI, les résultats de XM Cyber sont par ailleurs largement confirmés par les audits de sécurité (pentests), menés tant par le pôle grands projets que par le groupe Vinci. Cette précision passe toutefois par un « gros travail de départ », selon Christophe Denis : la classification des ressources présentes dans le parc, afin de bien positionner les capteurs. « C'est ce travail d'inventaire qui permet de faire tourner efficacement les scénarios d'attaque, qui sont par ailleurs faciles à créer dans la solution », détaille Christophe Denis. Chez Vinci Construction, ces scénarios visent systématiquement à évaluer la surface d'attaque, au minimum, de chaque chantier en interne, des chantiers vers le siège ou, à l'inverse, du siège vers les chantiers.