eGouvernement au Vietnam : la cybersécurité agile avec Net Freed

A l’occasion du premier anniversaire du lancement du portail national eGov du Vietnam, revenons sur l’un des aspects de l’intervention de NumeriCité sur ce vaste chantier : c’est avec notre partenaire Net Freed que nous avons traité les enjeux primordiaux de la cybersécurité de la plateforme.

Lancé le 9 décembre 2019, le portail national du gouvernement Vietnamien va bientôt souffler sa première bougie ! Développé sous la supervision de NumeriCité, dans le cadre d’une mission d’Expertise France financée par l’Agence Française de Développement, il offre aux citoyens et entreprises Vietnamiens un accès à des services administratifs en ligne. Notre mission de conseil ne s’est cependant pas arrêtée à la mise en ligne du portail. De nombreuses problématiques annexes sont traitées dans la continuité, sur des questions notamment juridiques, mais aussi en lien avec la cybersécurité.
 
Ainsi, pour renforcer le portail, NumeriCité a fait appel à l’expertise de son partenaire Net Freed, qui s’est spécialisé sur les sujets de sécurité des systèmes d’information et de cybersécurité. L’objectif : identifier les vulnérabilités du portail et proposer des solutions pour les corriger, sur les aspects à la fois de développement mais aussi de configuration de serveurs. L’intervention auprès du Bureau du Gouvernement et en coordination avec l’ensemble des acteurs du portail national Vietnamien s’est ainsi déroulée du 8 au 19 juin 2020.
En raison de la conduite à distance de la mission, celle-ci fût atypique, réalisée sur des créneaux inhabituels compte tenu du décalage horaire et pilotée de façon agile pour tenir compte des exigences opérationnelles du Portail National. Après une analyse formelle du périmètre et des risques potentiels, elle a consisté en plusieurs séries de tests menés sur 10 jours et a été ponctuée de points réguliers – daily & review meetings – afin d’assurer non seulement la transparence des travaux et des constats mais aussi permettre que les potentiels défauts critiques puissent être pris en charge très rapidement. La phase de tests a été complétée d’un rapport détaillé établissant les résultats et les recommandations pour corriger les défaillances.
 
Dans le détail, les tests d’intrusion – pentest en anglais – ont été menés comme suit : tout d’abord, après une analyse formelle basée sur les éléments de connaissance « récupérables » en ligne sur le portail, celui-ci a été mis à l’épreuve durant trois jours en mode « boîte noire » – sans aucune information communiquée officiellement sur la plateforme cible. Ensuite, six jours de tests en mode « boîte grise » ont été réalisés – c’est-à-dire avec quelques éléments fournis par l’opérateur sur les composants internes. Un troisième mode de test, dit « boîte blanche », consistant à simuler une attaque menée en interne, n’a pas été utilisé.
 
Au-delà de l’identification des failles et de la proposition de correctifs adaptés, il s’est également agi pour Net Freed, à travers les meetings réguliers avec les parties prenantes vietnamiennes, de les sensibiliser aux problématiques de cybersécurité, comme toujours dans un souci de partage de l’information et de montée en compétence de nos correspondants.