Renforcement de la défense du système de gestion de l'identité chez Global Telecom Altice Portugal

Intervenants : Jose Alegria, Chief Security Officer d'Altice Portugal ; Pedro Inacio, Head of Cyber Security and Privacy d'Altice Portugal Altice Portugal est la cinquième plus grande entreprise du Portugal, et le premier opérateur. Nous détenons environ 50 % des parts de marché dans le secteur des télécommunications. Nous employons environ 20 000 personnes, ce qui est très important pour la taille de l'Active Directory, car chacun d'entre eux possède un compte. Active Directory est très important parce que nous l'utilisons comme principal écosystème pour l'authentification. Nous n'avons pas de produit propre, comme Okta ou Ping Identity, pour fournir l'authentification aux utilisateurs. Nous avons compris que nous avions beaucoup de lacunes parce qu'Altice Portugal est le résultat d'un grand nombre de fusions et d'acquisitions, de différentes entreprises, de différents écosystèmes Active Directory, avec différents niveaux de maturité, et notre défi est de les mettre tous au même niveau. Mon souci n'est pas d'être attaqué, car nous subissons des attaques tous les jours. Ce qui me préoccupe, c'est que l'une de ces attaques devienne catastrophique. Mais il est important pour un RSSI de comprendre quels types d'attaques. Pour un opérateur, le premier est le ransomware, derrière lequel se cache généralement quelqu'un qui a volé des informations d'identification pour permettre l'attaque. Le deuxième niveau est l'espionnage. Il s'agit d'attaquer l'opérateur pour atteindre l'un de ses employés. Le troisième niveau est la fraude. La fraude en termes de service de télécommunication. Mais le plus important, celui qui me fait perdre le sommeil la nuit, c'est le ransomware ou le wipeware, selon ce qui fonctionne. C'est la raison pour laquelle vous devez vous assurer que vos infrastructures critiques, comme Active Directory, sont totalement sécurisées et résilientes. Nous avons décidé d'investir dans une technologie qui, premièrement, accélérera la reprise. Deuxièmement, nous aurons la possibilité de détecter les comportements anormaux. Mais l'aspect le plus important était la capacité de récupération. La raison pour laquelle nous avons opté pour Semperis est que le module ADFR de Semperis me garantit que la sauvegarde est séparée de l'écosystème de sauvegarde normal. Je peux donc récupérer les sauvegardes de Semperis directement en quelques heures. Notre principale préoccupation était de gérer le nombre considérable d'événements produits par l'écosystème Microsoft Active Directory. Il était assez difficile de planifier des cas d'utilisation pour détecter des attaques ou des situations potentiellement dangereuses. DSP était l'outil qu'il nous fallait, car il simplifie considérablement le travail de nos techniciens, et il fonctionne toujours et produit les informations dont nous avons besoin. La DSP est une technologie très simple et transparente. Elle aide notre équipe à comprendre ce qui se passe. Elle aide à comprendre les erreurs de configuration. Elle nous aide à nous conformer aux meilleures pratiques que nous devons appliquer dans nos écosystèmes Active Directory. Dans le cas de la solution Semperis, le module DSP est intégré à notre centre opérationnel de cybersécurité, de sorte qu'un comportement anormal est automatiquement signalé aux analystes pour qu'ils puissent réagir. Enfin, ce qui est peut-être le plus important pour notre discussion sur la résilience d'Active Directory, c'est la capacité de récupération. C'est la raison principale pour laquelle nous avons acquis Semperis, le module ADFR , afin de nous assurer que notre capacité de récupération de l'Active Directory est séparée des sauvegardes normales, et nous pouvons garantir que nous récupérons l'Active Directory beaucoup plus rapidement qu'auparavant.