Face à une surface d’attaque en constante évolution, liée à l’ouverture de ses systèmes d’information à de multiples partenaires, la DSI de Brest Métropole doit surveiller en continu ce qui est exposé sur Internet. Plus de 1 000 services ou applications sont aujourd’hui à surveiller.
Brest Métropole regroupe huit communes et représente un bassin de vie de 400 000 habitants. Sa DSI, mutualisée avec plusieurs communes membres, gère un parc de 650 serveurs hébergés sur site (« on premise »), un choix peu courant dans le secteur public. La direction conserve ainsi la maîtrise de ses infrastructures et de leur maintien en condition opérationnelle.
Comme le souligne Alexandre Druet, responsable du service infrastructure à la DSIT, cette architecture s’inscrit dans une logique d’ouverture : « Un établissement public de coopération intercommunale ouvre ses systèmes à de multiples partenaires : les communes, les délégataires de services publics, les associations, les fournisseurs, et bien sûr les usagers. Toutes les activités nécessaires au bon fonctionnement d’une métropole sont d’une façon ou d’une autre matérialisées numériquement et exposées sur Internet. »
Cette ouverture augmente mécaniquement la surface d’attaque, c’est-à-dire l’ensemble des points d’entrée exploitables par un attaquant. Or, les tests d’intrusion ponctuels, menés chaque année, ne permettent pas de maintenir une vision à jour de cette exposition.
Cartographier l’exposition réelle d’un territoire numérique
En juin 2024, la DSI décide de réallouer le budget du pentest annuel à une plateforme de cybersécurité offensive, Patrowl, capable de surveiller en continu les actifs exposés sur Internet. Ces actifs désignent ici tout élément du système d’information visible depuis le web : serveurs, sous-domaines, services mal configurés, applications tierces ou métiers, parfois oubliés ou mal référencés.
« Une cartographie exhaustive est à la base d’une bonne sécurité. »
Alexandre Druet, responsable du service infrastructure à la DSIT
Une fois les noms de domaine fournis, la solution cartographie automatiquement l’ensemble des éléments rattachés à la collectivité : « Des centaines de services sont apparus. Depuis, nous découvrons chaque semaine deux ou trois nouveaux actifs exposés, principalement en provenance de nos partenaires, qui ne songent pas toujours, compte tenu peut-être de notre éloignement physique, à en avertir la DSIT. » Patrowl alerte également sur les vulnérabilités détectées, en les classant selon leur niveau de sévérité, ce qui facilite le pilotage des priorités.
D’une réponse réactive à une sécurité structuré
Les équipes techniques entament alors un travail continu de tri, de requalification des actifs et de dialogue avec les partenaires. En fonction de la criticité des failles, une remédiation – c’est-à-dire la correction de la vulnérabilité – est demandée. « Nous constatons que la question est désormais prise très au sérieux et généralement une exposition problématique est corrigée rapidement, et dans les cas les plus longs en deux ou trois jours maximum. »
La DSI bénéficie d’un tableau de bord clair, intégrant les lignes de commande, les liens vers les recommandations, et les moyens de reproduire les tests. Ce niveau d’assistance permet aussi à des profils techniques moins expérimentés de prendre en main les actions correctives.
L’équipe attend désormais une fonctionnalité de tri massif des actifs pour aller plus loin dans l’automatisation. À terme, six ingénieurs réseaux et systèmes auront également accès à l’outil, jusque-là réservé au RSSI et au responsable infrastructure. « Il y a 10 ans, le phishing représentait un risque majeur. Aujourd’hui, ce sont les objets connectés, les appliances de gestion ou les services exposés non déclarés qui deviennent critiques. »
