Yan Barche

Contexte de la mission : À la suite de vulnérabilités détectées dans son infrastructure Active Directory Tiers 0, l’Oréal

a lancé le projet Titanium V2. Le but de celui-ci est de moderniser l’infrastructure AD et d’améliorer son niveau de

sécurité.

Objectifs :

• Intégration du Tiering Model AD

• Isolation du Tiers 0

• Sécurisation des annuaires AD

Missions Principales :

Sécurisation de l’Active Directory :

• Audit et suppression des protocoles obsolètes

• Identification des chemins d’escalades T1/T2 vers le T0 OnPrem via les outils Forest Druid et BloodHound

• Isolation des permissions/souscriptions Azure (Forest Druid Azure)

• Réduction des mouvements latéraux au sein du T0 (Ad, Azure, PKI, Cyberark, …)

• Audit et sécurisation des trusts (Selective Authentication, SID history, SID Filtering)

• Analyse des vulnérabilités AD DS et AD CS via PurpleKnight

• Analyse des vulnérabilités AD avec les outils PingCastle et TVM

• Création de PSO pour chaque Tiers

Refonte de la topologie AD :

• Mise en place d’une nouvelle architecture

• Création des nouveaux liens de sites

• Déplacements de rôles FMSO vers le nouveau « cœur » de la topologie

• Déplacement des Bridge Head

• Construction de nouveaux DC Azure

• Mise en place du plan de décommissionnement

o Collecte et analyse de logs LDAP

o Identification et suppression des dépendances (DNS, Kerberos)

Déploiement du Tiering Model sur la forêt RD :

• Mise place des OU de Tiering

• Audit des comptes et des serveurs à privilèges

• Intégration des comptes à haut privilèges en tant que Protected Users

• Déploiement des MS Security Baseline

• Création de GPO afin d’isoler les ressources par Tiers

• Audit et sécurisation de l’AD

• Implémentation du Code Signing pour les scripts Powershell

• Création de scripts afin d’automatiser plusieurs tâches

Synchronisation de mot de passe Cross-Forest MIM :

• Installation et configuration de MIM

• Déploiement de l’agent PCNS

• Création des MA et règles de synchronisation

Contexte de la mission : En pleine fusion entre les entités Natixis et BPCE-IT, englobant 93 domaines AD pour 150 000 utilisateurs, la convergence des annuaires bat son plein au sein de l'entreprise. Il en va de même pour la sécurisation de ces derniers étant la cible des attaquants

Objectifs :

• Intégration de PAM afin de sécuriser les comptes à privilèges en respectant le Tiering Model AD

• Audit et sécurisation d'une plateforme Web (recommandations de l'OWASP)

• Maintien en condition opérationnel des annuaires Active Directory

Missions Principales :

• Privileged Access Management : T0 : Plateforme Microsoft Identity Management :

• Conception de l'architecture PAM entre la forêt d'administration et les forêts de production

• Analyse et ouvertures des flux réseaux nécessaires

• Mise en place des relations d'approbations Active Directory

• Création de GPO d'audit d'authentification

• Intégration/Synchronisation des comptes AD dans MIM

• Gestion des privilèges via des SET de sécurité MIM

• Mise en place des Workflows et des Management Policy Rules

• Déploiement des PAM Trust entre les forêts

• Création des PAM Groups des domaines de production

• Conception des PAM Rôles reliant les domaines à un TTL

• Création d'un script permettant d'effectuer l'élévation de privilèges graphiquement

• Suppression des droits à hauts privilèges permanents T1&2: Just in Time Administration:

• Activation de la fonctionnalité « Privileged Access Management »

• Elaboration d'une architecture JITA afin de supprimer les droits d'administration permanents sur les postes de travails ainsi que sur les serveurs

• Création d'une page web permettant aux équipes d'effectuer leurs élévations de privilèges

• Script permettant de répliquer l'élévation au travers tous les sites AD

• Monitoring des élévations via des graphiques Splunk

• Présentation et documentation de la fonctionnalité

• Conception d'une API permettant d'effectuer l'élévation de privilèges

• Suppression des droits d'administration

• Audit et sécurisation d'une plateforme Web :

• Audit d'une plateforme web grâce à l'outil CheckMarx

• Identification et analyse de la criticité des failles détectées

• Rédaction et présentation d'un plan de remédiation

• Correction des vulnérabilités détectées (en se basant sur l'OWASP)

• Mise en place de TA Splunk afin de pouvoir collecter les logs de l'application

• Implémentation de l'authentification Kerberos

• Gestion des accès à la plateforme

• Autoenrollment des certificats pour les contrôleurs de domaines

• Création de GPO autorisant l'autoenrollment

• Création d'un template de certificats

• Gestion des accès et des permissions sur le template

• Ouvertures de flux entre les contrôleurs de domaines et l'autorité de certifications

• Liste des Subject Alternative Name des certificats autoenrollé

• Déclaration du template auprès de l'autorité de certification

• Activation de la tâche planifiée CertificateServicesClient permettant l'exécution de l'autoenrollment

• Sécurisation d'un ADLDS

• Audit des applications utilisant la connexion LDAP via Splunk

• Désactivation du simple bind

• Mise en place d'une EDR

• Renouvellement de certificats

Livrables :

• Rapport des vulnérabilités, recommandations et plan de remédiation

• Présentation d'architectures complexes

• Documentation interne de l'infrastructure utilisé par les administrateurs locaux

Environnements techniques:

Active Directory Domain Services, Active Directory Lightweight Directory Services, Powershell, Visual Basic, Javascript, Microsoft Identity Management, Privileged Access Management, Just In Time Administration, Zabbix, SCOM, Splunk, Control M, CyberArk, Visual studio code, Visual Studio, CheckMarx, Change Auditor, Microsoft Advanced Threat Analytics, CrowdStrike

Contexte de la mission : En charge l'automatisation des tâches de messagerie pour la supervision automatisée - 150 000 utilisateurs (Groupe BPCE)

Objectifs :

• Réalisation de scripts en powershell

• Mise en place du monitoring via Zabbix

• Gestion des scripts de messagerie

Missions Principales :

Automatisation des tâches

• Définir l'expression du besoin client

• Planification, réalisation des tests et déploiement en production

• Création de scripts en Powershell

• Rédaction des documentations techniques et fonctionnelles

Monitoring

• Récupération des données dans Zabbix

• Création de template par application

• Mise en place de groupe applicatif ainsi que des déclencheurs adaptés (CPU, Messaging Queue, Boucle SMTP)

• Réalisation de graphiques Implémentation d'un outil de gestion du versionning : Bitbucket

• Création et mise en place de l'architecture en fonction du type de client

• Mise en œuvre de la politique de gestion des accès et des privilèges à l'outil Bitbucket

• Déploiement de scripts sur Windows Server 2019

• Formations des membres de l'équipe à l'outil BitBucket

Livrables :

• Documentations techniques des scripts

• Slides de présentation lors des sessions de formation

Environnements techniques :

Powershell, Zabbix, Control M, Bitbucket, Jira, Confluence, Planner, Cyberark, Visual studio code, Exchange 2013, Merge1, IronPort, Enterprise Vault