Après un déploiement réussi auprès du département du Gers, le DSI d’Hérault Logement met en place le WAF édité par Ubika. Une solution efficace et adaptée à une petite structure qui ne dispose pas d’un RSSI interne.
Bailleur social basé à Montpellier, Hérault Logement est un EPIC, une entité privée, mais avec une mission de service public. Il agit en tant que relai du conseil départemental de l’Hérault dans la construction et la gestion de logements sociaux. Avec environ 15 000 logements en gestion, Hérault Logement compte 260 collaborateurs répartis sur 40 sites sur tout le territoire de l’Hérault.
« Nous vivons de l’encaissement des loyers pour payer les charges, l’entretien. La DSI a donc un devoir de disponibilité et de continuité des services et de respect du RGPD, un point particulièrement important pour nous », expliquait Karim Seddaoui, DSI de Hérault Logement lors des Assises de la sécurité 2022.
Le service informatique ne compte qu’une douzaine de collaborateurs aidés par quelques prestataires externes, mais ne dispose par de RSSI ni d’expert en cybersécurité. Afin de protéger son infrastructure, le DSI a fait le choix de déployer le Cloud Protector, le WAF édité par Ubika (ex-Denyall). « Le déploiement de Cloud Protector a été réalisé en quelques clics, puis nous avons mis en place une automatisation de la sécurité de bout en bout afin d’assurer notre cyber-résilience. La solution est aujourd’hui exploitée par des non-informaticiens que nous avons formés et si, pour des raisons budgétaires, nous avons décidé de ne pas mettre en place de SOC, le support fourni par l’éditeur est de très bonne qualité et très pertinent. »
Un WAF qui a fait ses preuves au département du Gers
Le DSI a fait le choix de cette solution pour sa simplicité de mise en place et de fonctionnement, mais aussi parce qu’il connaît particulièrement bien ce WAF. Il l’a déjà mis en œuvre alors qu’il était directeur informatique adjoint du département du Gers. Les circonstances de ce déploiement était alors bien particulières : « Comme beaucoup de collectivités, nous avons subi une cyberattaque au moment de la crise du Covid. Nous disposion d’une passerelle Citrix pour permettre aux télétravailleurs d’accéder à distance au système d’information en mode Web. La cyberattaque a bloqué ce service au moment où était décrété le confinement. » 500 collaborateurs sont à l’arrêt, de même que les 25 sites web du département comme les médiathèques, les piscines, les inscriptions pour les collèges, etc. La DSI est alors sous une forte pression pour rouvrir tous ces services. La cellule de crise réussit à rétablir rapidement la passerelle mais alors que celle-ci esr prête à être reconnectée à Internet, il faut songer à sécuriser l’infrastructure pour ne pas voir le hacker réitérer son attaque. « Bien que nous étions accompagnés au moment de cette crise, nous n’avons pas eu le temps d’identifier la menace et déterminer ce qui s’était passé exactement » souligne Karim Seddaoui.
Peu avant cette crise, le responsable avait évalué diverses solutions WAF et c’est vers l’un des éditeurs qu’il va se tourner. « J’étais alors en contact avec Denyall et leur solution répondait pleinement à nos objectifs : respecter le RGPD avec un hébergement sur le territoire français, des objectifs de déploiement rapide. » Si rien n’est encore contractualisé avec l’éditeur, le département du Gers obtient rapidement un accès au service et, après une formation express de 30 minutes avec les ingénieurs de Denyall, le responsable informatique active le WAF pour ses sites : « Le backend de la solution est très facile à appréhender, et on peut réellement déployer une nouvelle application en 5 minutes. Il suffit d’inscrire l’application sur le backend de Cloud Protector puis, 30 à 35 minutes plus tard, selon la propagation des zones DNS, l’application est déployée. » Le service informatique ayant la maîtrise de ses zones DNS pour la grande majorité de ses applications, le DNS en zone publique a rapidement pu être reparamétré. « Nous avons pu remettre en service en une journée tous les services web ainsi que notre passerelle Citrix avec le niveau de protection le plus élevé sur Cloud Protector par prudence, car nous venions d’être attaqués. Nous avons tout rouvert et, derrière, nous avons géré les exceptions, ce que Cloud Protector bloquait et ne devait pas. »
« La solution répond pleinement à nos objectifs : respecter le RGPD avec un hébergement sur le territoire français et des objectifs de déploiement rapide » Karim Seddaoui
L’activation du WAF a permis au service informatique d’identifier des zones à risque dans son système d’information. Le backend a ainsi remonté les applications qui étaient encore paramétrées sur les mots de passe standards, et des applications encore déconnectées de l’Active Directory. « Nous avons pu mettre en place une mécanique SSO rapidement, avec une table de correspondance ave les identifiants Active Directory et ces bases d’annuaire déportées. » Le WAF a aussi détecté de nouvelles tentatives d’attaques, heureusement sans impact pour l’informatique département.
A la suite de ce projet, le département a déployé la version on-premise de la solution afin de sécuriser les applications qui ne sont pas exposées sur Internet mais sur lesquelles un tiers peut avoir un accès. Certaines sont très sensibles, avec de 400 à 500 utilisateurs et parfois des milliers d’habitants concernés. « Nous ne savions toujours pas si le loup était dans la bergerie, donc la solution on-premise a permis de sécuriser tout l’écosystème applicatif, soit 115 applications en moins de 2 mois. » conclut Karim Seddaoui
Alain Clapaud
