#SSI S01E01 : Alsid surveille Active Directory (qui en a bien besoin)
Illustration : lesinformationsdieppoises.fr

#SSI S01E01 : Alsid surveille Active Directory (qui en a bien besoin)

Rencontre avec Alsid, une startup française qui propose une solution de surveillance en temps réel des annuaires Active Directory. Et ce n'est pas un luxe...

Voici le premier billet d’une série consacrée aux startups rencontrées dans le cadre de mon activité professionnelle. Et parce que le marketing nous a démontré qu’un contenu exceptionnel n’est rien sans un concept efficace, j’ai décidé d’inaugurer une marque (pardon, un branding) pour cette série : ce sera le « SSI ».

Il ne s’agit cependant pas ici de l’acronyme habituel de la Sécurité des Systèmes d’Information, même si les startups en question évolueront dans ce domaine. Il s’agit plutôt, en toute simplicité, du Saiz Startup Index (le marketing, coco, le marketing).
Ainsi pour chaque startup rencontrée l’index indiquera le niveau de confiance ou d’excitation qu’elle suscite. En parfaite subjectivité, évidemment, comme son nom l’indique.

Ce premier épisode de l’index commence par une question : quel est le point commun entre la plupart des grandes intrusions du moment ?

Des pirates financés par un gouvernement étranger ? Des malwares sophistiqués ? Une boisson énergisante et un sweat à capuche ? Peut-être. Mais plus prosaïquement il y a surtout un annuaire compromis dès les premières étapes de l’opération. Et -part de marché oblige- ce dernier est souvent un Active Directory de Microsoft.

Cela n’est guère étonnant car pour un pirate compromettre l’annuaire de sa cible est l’assurance de bénéficier d’une autoroute qui le mènera au coeur de son Système d’Information : l’annuaire permet non seulement l’ouverture des sessions de tous les postes de travail, mais il définit aussi les droits d’accès des collaborateurs et, cerise sur le gâteau, il contrôle les politiques de sécurité appliquées aux postes de travail.

Pour Luc Delsalle et Emmanuel Gras tout cela n’est pas vraiment un secret. En quelques années passées au sein de l’ANSSI le duo a eu à intervenir sur de grandes affaires de piratages, telles celles qui ont frappé Areva ou TV5MONDE. Toujours en mode pompier et toujours avec des annuaires Active Directory compromis. « Notre rôle était de concevoir le plan de remédiation sur la base des analyses menées par les équipes forensiques et de réponse à incident. Notre mission était de mettre l’attaquant dehors et de nous assurer qu’il ne puisse plus revenir. Et cela passait, entre autre, par mieux protéger et mieux contrôler la configuration des annuaires Active Directory » , explique Luc Delsalle.

Une telle mission, que Emmanuel Gras assimile à « un Big Bang au sein de l’organisation« , est une tâche complexe qui peut exiger jusqu’à trois mois de travail intensif à une équipe d’une dizaine de personnes. « Et pour l’entreprise qui doit le mettre en oeuvre c’est une révolution qu’elle doit opérer à marche forcée, sur l’espace de quelques semaines à quelques mois pendant lesquels plus rien n’avance » , poursuit Emmanuel Gras.

Pour la victime le coût d’une telle intervention, lorsqu’elle n’est pas prise en charge par l’ANSSI, est évidement colossal. D’où l’intérêt d’agir en prévention. Et dans ce cas, où placer la prévention sinon au coeur de l’organisation, dans le Saint des Saints qu’est l’annuaire ?

Nos deux fondateurs, forts de l’expertise acquise dans la protection des annuaires d’entreprise, ont ainsi fondé Alsid. La société commercialise une solution de surveillance en temps-réel des annulaires Active Directory.

« Notre cible est l’entreprise qui souhaite avoir une meilleure visibilité et un meilleur contrôle sur ses Active Directory » , explique Luc Delsalle.

Développée en interne depuis 2016, la solution analyse en temps réel la configuration des annuaires Active Directory et présente au RSSI un tableau de bord indiquant l’état de conformité aux bonnes pratiques de l’ensemble de ses annuaires, ainsi que les défauts de configuration pouvant induire des risques : présence de mots de passe dans des fichiers de GPO, attributs et paramètres dangereux, GPO orphelines, attribut SIDHistory oublié (car son usage doit être temporaire), etc. L’outil contrôle, suggère et surveille en temps réel. Il sera ainsi le plus à même, par exemple, de détecter l’apparition d’une backdoor liée à un changement de configuration ou de stratégie.

La vision proposée par le dashboard est quand à elle granulaire : elle peut se faire par composant, par thématique, par architecture, par localisation, par type de politique de sécurité, etc. Il propose une timeline de l’évolution des paramètres surveillés, et permet de créer des profils d’alertes afin de router ces dernières aux bonnes personnes dans l’organisation (les responsables d’AD concernés, par exemple).

L’aspect temps réel est le vrai différentiateur de la solution : « l’infrastructure évolue en permanence, alors qu’un audit est un instantané. Surveiller les annuaires en continu nous permet ainsi par exemple de lever des alertes sur des modifications que l’on juge étranges, sur la base de nouveaux droits suspects qui viennent d’apparaître, des changements illogiques, etc » , explique Emmanuel Gras. Et pour chaque défaut un plan de remédiation est proposé, assorti de conseils de correction argumentés.

L’offre est proposée en mode SaaS ou on-premise à l’aide d’appliances dédiées. Dans les deux cas Alsid promet un déploiement simplifié : pas de client à installer localement, pas de sondes réseau à positionner et surtout pas de compte administrateur à demander sur l’annuaire. La solution fonctionne en effet à travers les API officielles de Microsoft et n’accède qu’aux attributs objets et à la liste de droits de chaque compte. Les données personnelles, notamment, ne sont pas collectées : seul l’objet « User » et ses droits d’accès sont nécessaires au fonctionnement.

Enfin la solution d’Alsid dispose de connecteurs vers plusieurs SIEM du marché (QRadar d’IBM, RSA Security Analytics et via Syslog), afin d’alimenter un éventuel SOC.

Plus d’information : 

Note : ce billet est rédigé sur la base de sources ouvertes et d’un entretien avec les fondateurs.

Fiche technique

 Les technos : Le backend est développé en C et le moteur d’analyse en C#. Le frontend est développé sur la base d’Angular et Node.JS, et le tout fonctionne sous Microsoft Azure avec MongoDB et Redis.

 Les clients : Alsid revendique deux clients grands comptes « de type CAC40 » et 200 000€ de CA sur ses six premiers mois d’activité. Par ailleurs l’intérêt semble bien présent, si j’en juge par les échos entendus à son sujet au sein d’autres cercles professionnels. 

 Les Publications : les deux fondateurs ont publié dans le magazine MISC et ont présenté au SSTIC.

 Les Prix : la startup a gagné le concours du cabinet d’avocats Auguste Debouzy. Elle bénéficie ainsi pendant un an d’un accompagnement juridique dédié.

 Le #SSI : Positif. Alsid répond à une problématique de gouvernance et de conformité forte par une expertise vérifiable (sur la base de l’expérience acquise à l’ANSSI) servie par une plateforme technologique scalable.

   

Lire les articles précédents :
Amis RH : Et si vous conceviez votre Welcome Pack avec le responsable sécurité ?

Plutôt que de se débarrasser des vieux goodies des salons passés en les offrant au nouveau venu, pourquoi ne pas...

Fermer