Le groupe de la grande distribution, Casino, comprend une présence internationale avec 12 000 magasins. Il embauche 250 000 collaborateurs dans le monde et revenu de 36 milliards d’euros. Forte présence en Amérique du Sud au Brésil et en Colombie. Au total, le groupe compte huit filiales majeures avec un SI conséquent, beaucoup d’utilisateurs et d’AD, « Ces filiales sont toutes séparées. elles ont chacune leur propre SI, DSI et RSSI. Elles ne communiquent pas forcément les unes avec les autres », rapporte Philippe Faure, RSSI du groupe Casino pour planter le décor, lors d'un atelier aux Assises de la sécurité à Monaco. Il ajoute « nous ne sommes pas dans une optique où tous les domaines sont connectés et les forêts sont communes, c’est très disparate ». Le groupe dispose de « 36 domaines avec des appréhensions de la façon de travailler et de la sécurité très différentes en fonction des filiales », poursuit le responsable.
Un pentest et un premier pas sur Ping Castle
En 2016, le groupe Casino a mené un pentest pour « comprendre quelles sont les menaces majeures et connaître quel est le niveau de maturité du RSSI face aux problématiques ». Le résultat de cet audit en interne est sans appel, « le niveau de sécurité était globalement très faible dans les environnements Microsoft. Tous les paradigmes autour de la sécurisation AD et les modes d’administration complexes n’étaient pas maîtrisés à tous les niveaux ». En 2018, la gouvernance de la sécurité a changé pour une approche plus transverse sur l’ensemble des filiales. Philippe Faure a alors demandé aux RSSI des filiales de lancer Ping Castle, un outil de cartographie des Active Directory au sein des entreprises. La version standalone a été choisie pour le tester. « Les premiers rapports ont été rouges, très rouges » se souvient le responsable.
Face à ce constat, Philippe Faure a décidé de réaliser des ateliers pour en discuter. Plusieurs constats sont alors apparus : « les filiales disposent d’un historique important avec des reliquats, des administrateurs connectés un peu partout. Les actions sont difficiles à prioriser et la correction est très chronophage et coûteuse si l’on passe par Microsoft ». D’où l’idée de continuer avec Ping Castle, « il y a des méthodes qui permettent d’avoir un suivi assez global avec des scénarios compréhensibles et une variété de techniques pour être plus granulaires. Les priorisations sont déjà faites et les différents trends sont classés par criticité ».
Une montée en gamme pour une vision centralisée de la sécurité des AD
Après cette première démarche, le RSSI a constaté la difficulté pour créer des rapports sur les retours des filiales. Il regrettait de ne pas avoir une vue globale et agrégée pour avancer de manière cohérente. « Nous sommes donc passés à la version entreprise de Ping Castle en mai 2019 pour avoir des agrégats de rapports et être capable de créer des tableaux de bord depuis une console centralisée et de les router pour suivre les avancées et avoir un historique ». Cet exercice a plusieurs bénéfices comme « l’hygiène AD, les régressions ou la découverte de domaines et on a été surpris de découvrir des domaines que l’on ne connaissait pas et adopter une approche structurante et commune pour les différents chantiers ». Au final, « les RSSI des filiales ont des outils pour le pilotage des travaux sur la sécurisation de l’AD et les DSI des filiales ont de la visibilité sur le nombre d’éléments, des régressions et des inventaires ».
Du côté groupe, « il y a une plus grande visibilité pour pouvoir prioriser les échanges et la mise en place d’une politique de sécurité commune sur Active Directory ». Philippe Faure souligne le fait « d’avoir une métrique commune sur l’appréciation du risque et de savoir quel est le coût et le temps de correction. Certaines filiales avancent plus vites, d’autres ont besoin d’aide ». Il salue aussi « la facilité d’installation de la solution Ping Castle et la rapidité de déploiement où en moins d’un mois nous avions un vision centralisée de l’AD » et de conclure en remerciant « l’aide et l’accompagnement des équipes d’Engie-Ineo ».