Comment Ouest-France est passé au Zero-Trust avant les JO de Paris 2024

Le groupe de presse possède une cinquantaine de sites Web hébergés par AWS, dont Ouest-France.fr, le site phare du groupe, qui eprésente de l'ordre de 180 millions de visites mensuelles. Ces sites sont déployés sur une plateforme Kubernetes qui porte environ plus de 300 applications réparties sur 4 000 conteneurs tous environnements confondus.

Avant les élections législatives de 2024, le groupe avait revu la sécurité de cette plateforme en se concentrant sur la protection périmétrique de son infrastructure. Pour les JO de Paris 2024, c'est sur les volets WAF et DDoS que le groupe breton a souhaité muscler sa sécurité. Jérémy Chomat, Staff Engineer chez Ouest-France explique le pourquoi de cette démarche : « Comme tout acteur présent sur le web avec une audience conséquente, nous faisons l'objet régulièrement des cyberattaques. Nous avons de nombreux événements de sécurité au quotidien, traiter ces événements est un travail du quotidien, et non un travail qui se fait sur un événement précis. Certains de nos partenaires nous ont fait des remontées quant aux risques cyber liés à cet événement, raison pour laquelle nous avons voulu mettre en place un processus renforcé. »

Une surveillance accrue d'AWS lors de l'événement

Une première évaluation du support en place a poussé Ouest-France à activer l'offre support Enterprise On-Ramp d'AWS. Ce niveau de support a permis au groupe de presse de bénéficier de certains outils inclus dans ce service. L'équipe a eu accès à un SA (Solution Architect) dédié pour réfléchir aux améliorations des bonnes pratiques qu'il était possible d'apporter avant les JO. C'est à partir de février 2024 que l'équipe peut commencer à entrer en action. Une revue d'architecture de la sécurité est menée afin de déterminer les points à améliorer rapidement et établir une roadmap.

Pour les JO, l'équipe sécurité à imposé l'authentification à 2 facteurs à toutes les personnes amenées à intervenir sur la plateforme AWS du groupe et a centralisé la gestion d'identité et toutes les informations de sécurité sur son compte root.

La partie périmétrique étant déjà couverte depuis les législatives de 2024, il est décidé de concentrer les efforts sur la gestion de l'authentification et des permissions des utilisateurs. « Le fait qu'un utilisateur ayant des droits sur notre plateforme voit son compte compromis n'était pas totalement couvert » explique Jérémy Chomat. « Il faut pouvoir réagir en cas de détection d'une utilisation de ces droits inhabituelle. » En parallèle, l'équipe projet a travaillé en parallèle sur la mise en place d'outils de traçabilité et de suivi des anomalies.

Vers une plus grande centralisation des autorisations

Pour la partie gestion des permissions par équipe, un diagramme est rapidement dessiné sur la façon dont sont délégués les droits des utilisateurs internes sur l'infrastructure AWS. L'idée est de s'appuyer sur cet existant, de récupérer la base de connaissances qui est dans l'Active Directory (AD) et d'associer le groupe AD avec un rôle AWS dans l'IAM on-premise du groupe. Cette approche doit ensuite permettre de délivrer automatiquement les permissions adaptées à chaque besoin : « L'Identity Provider reçoit le rôle de l'utilisateur qui s'est connecté une fois que l'utilisateur a saisi son MFA. Ensuite, on va lui fournir des droits, que ce soit pour les équipes support ou pour les équipes de développement. L'intérêt de centraliser cette approche est aussi que nous avons de nombreux comptes à gérer et cela nous permet d'avoir une vision plus globale qui remonte jusqu'au compte racine (root) de l'organisation avec lequel on active des services comme CloudTrail, GuardDuty ou Security Hub. »

Le Data Lake CloudTrail d'AWS est exploité par Ouest-France pour stocker l'intégralité des défaillances de droits, lorsqu'un utilisateur essaye de réaliser une action qui n'est pas dans ses permissions. Celui-ci génère alors un événement qui est stocké et qui peut ensuite être analysé et potentiellement générer un incident de sécurité.

En parallèle à la mise en place de la gestion des permissions, l'équipe a aussi revu son outillage de sécurité Cloud. L'équipe a utilisé une solution CNAPP afin de lever certaines vulnérabilités dans ses configurations Cloud. Ce travail a permis à l'équipe projet de réparer et de catégoriser les actions les plus sensibles.

Enfin, le groupe de presse a décidé d'activer l'option AWS Countdown du support lors de la période des jeux. Cette option n'est activable qu'une fois par an. « Nous l'avons déclenché sur la période des JO, ce qui nous a permis de demander aux équipes support AWS d'être plus sensibilisées aux différentes ressources critiques de notre plateforme. L'idée est de leur fournir une liste de ressources critiques, d'échanger avec eux sur l'impact d'une dégradation de service sur l'une ou l'autre des fonctionnalités, et ensuite de pouvoir s'assurer que, sur la période, ils auront un niveau de vigilance accru. »

Pas plus d'attaques qu'à l'accoutumée

Alors qu'en termes d'audience, les sites du groupe ont engrangé 45 millions de visites lors des jeux, soit près de 20 % de visiteurs de plus, les plateformes n'ont été l'objet d'aucune intrusion ou de compromission de compte. La disponibilité des sites était de 100 %, une performance plutôt habituelle pour l'équipe. « Nous avons remonté environ 2 millions d'événements de sécurité pendant la période des JO, un chiffre qui peut paraître élevé mais qui reste dans la tendance du trafic habituel. Nous n'avons pas eu de surprise sur ces aspects-là. » Pour préparer les JO, l'équipe n'a eu que quelques mois pour mettre en place des outils et de nouvelles bonnes pratiques et a dû faire des choix, notamment privilégier l'observabilité des événements avant d'aller vers une phase plus proactive de gestion des incidents

Les futures étapes de cette roadmap de sécurité passeront par la mise en place de la solution AWS Identity Center. L'objectif est de passer d'une gestion de l'authentification au niveau des comptes enfants à une authentification centralisée au niveau du compte root. Ainsi, une seule configuration des droits pourra être réalisée, puis une délégation sera accordée aux comptes enfants. L'équipe sécurité compte aussi mettre en oeuvre le programme inclus dans On-Ramp baptisé SIP. Celle-ci vise à démarrer une démarche d'amélioration continue de la sécurité des infrastructures en s'appuyant sur un audit et qui conduit à l'établissement d'une roadmap de sécurité.

Réduire le périmètre d'attaque en retravaillant les droits accordés

Un autre chantier va porter sur la réduction du périmètre d'attaque, notamment mener ce que Jérémy Chomat appelle un downscaling des permissions. « Aujourd'hui, beaucoup d'équipes ont des droits assez ouverts sur des environnements. Afin de limiter l'impact en cas de compromission d'un compte, il peut être très intéressant de réduire les permissions en dehors des heures ouvrées pour les équipes qui n'ont pas besoin de travailler à ces heures-là. Cela va permettre de réduire le risque. »

Un même travail de réduction des droits accordés devra aussi être mené sur les applicatifs. « Nous avons énormément de rôles pour nos applicatifs et pour nos utilisateurs. Cela va demander des efforts, mais itérer sur les rôles existants et restreindre les permissions au minimum pour que tout fonctionne. » Plus complexe, cette restriction des droits accordés aux applications permettra aussi d'atteindre une granularité d'événements bien plus pertinente et sera utile pour les analyses d'incidents remontés dans CloudTrail.

« Chaque événement doit être vu comme un moyen d'améliorer et de compléter nos briques de sécurité. Ce qui compte, c'est que lorsqu'on met en place un dispositif, on doit pouvoir s'appuyer dessus par la suite et progressivement atteindre un niveau de sécurité plus important. »
Jérémy Chomat, Staff Engineer chez Ouest-France