Association des Scouts et Guides de Pologne (ZHP)

ZHP compte sur le projet Galileo pour l'aider à protéger sa réputation et bloquer le trafic malveillant.

L'association des Scouts et Guides de Pologne (Związek Harcerstwa Polskiego, ZHP) propose des programmes éducatifs et des formations à l'encadrement pour les jeunes de 6 à 25 ans. La ZHP compte plus de 90 000 membres à ce jour (en 2022).

Cette organisation nationale exerce principalement en Pologne et comporte également d'autres associations de scouts polonais à l'étranger, par exemple au Royaume-Uni et en Islande. Ces associations basées dans d'autres pays sont indépendantes, mais partagent les mêmes valeurs et la même mission.

Les projets de la ZHP

La ZHP est l'un des plus gros organisateurs de vacances d'été et d'hiver, dont l'une des options populaires en la matière s'articule autour du camping en forêt.

L'association s'est actuellement engagée à rendre service dans le cadre de la crise en Ukraine, à la fois à la frontière et par le biais d'une assistance locale en continu. Des membres de la ZHP étaient notamment présents aux postes frontaliers, de même que dans les gares routières et ferroviaires, afin d'apporter une aide aux réfugiés. Ils ont ainsi mis en place des logements temporaires, mais aussi collecté et distribué des vivres et des fournitures. Ces actions étaient organisées au niveau national pour la ZHP, de même que dans chaque région et chaque secteur.

L'association a, par exemple, organisé un petit-déjeuner pour 200 réfugiés à Lublin lors du week-end de Pâques 2022. De manière similaire, ses membres ont contribué à aider les collectivités au début de la pandémie de COVID-19 par l'intermédiaire d'activités.

Les produits Cloudflare utilisés par l'association

La ZHP s'appuie sur la plateforme principale de Cloudflare, notamment la solution de protection contre les attaques DDoS et le pare-feu d'applications web (WAF). Elle aimerait commencer à utiliser Access pour restreindre les connexions aux systèmes et ainsi renforcer sa stratégie de sécurité.

La manière dont elle dirige ses opérations informatiques

La ZHP ne dispose pas d'une structure informatique formelle. Elle s'appuie sur une équipe de bénévoles qui consacrent du temps à l'association après leur travail afin d'essayer de maintenir les sites web opérationnels et de tenir à jour la base de données des membres. Du fait de la structure même de l'organisation, qui regroupe plusieurs entités locales autonomes, cette dernière doit gérer 500 sites WordPress différents. Chaque unité dispose de son propre site, chacun doté d'une configuration spécifique. L'hébergement de ces sites n'est d'ailleurs pas centralisé et s'effectue à différents endroits. Ce mode opératoire complique largement l'entretien et la sécurisation de ces sites, notamment en cas d'infection.

L'intégration à Cloudflare

Lorsque la crise en Ukraine a démarré, la ZHP s'est beaucoup inquiétée des attaques par déni de service susceptibles d'abattre ses sites et ses systèmes. Elle a d'ailleurs repéré certaines de ces attaques dans les journaux de leurs serveurs web. Les premiers jours du conflit se sont révélés stressants et personne ne savait trop à quoi s'attendre dans les jours à venir. L'association était particulièrement préoccupée et souhaitait renforcer sa sécurité.

Elle utilisait l'offre gratuite de Cloudflare à l'époque, mais principalement pour ses domaines secondaires. Les membres de son équipe informatique ne pouvaient pas faire appel à l'offre gratuite pour le domaine principal, du fait d'exigences DNS spécifiques. Ils ont alors effectué une recherche autour des mots clés « Cloudflare pour ONG » sur Google, qui les a conduits sur la page du projet Galileo.

Ils ont finalement rempli le dossier de candidature et, quelques jours plus tard, cette dernière était acceptée. L'équipe a ensuite dû déplacer la zone DNS sans temps d'interruption des serveurs. Cette opération s'est révélée particulièrement difficile, car tout le monde essayait d'aider les réfugiés. Paweł Kowalczyk, le directeur de l'équipe de sécurité informatique et expert en cybersécurité de l'association, s'affairait sur les sites de logements temporaires mis en place dans sa ville, Lublin, à préparer des lits et tout ce dont les réfugiés avaient besoin. Dans le même temps, il se trouvait sur son ordinateur portable afin de soutenir ses collègues qui travaillaient dans d'autres villes frontalières, tout en dirigeant également le processus de migration. L'équipe a ainsi passé quelques week-ends particulièrement éprouvants.

La ZHP dispose d'une zone DNS gigantesque, gérée via GitHub selon une approche d'infrastructure en tant que service. C'est cet élément qui a demandé le plus de temps lors de l'intégration. L'association utilise GitHub, car cette plateforme l'aide à automatiser les modifications de sa configuration DNS requises par chaque unité différente (une économie de temps compte tenu de son parc de 500 instances WordPress, chacune avec sa propre configuration). Une fois la migration du DNS terminée, l'intégration à Cloudflare s'est effectuée de manière très rapide et la ZHP a pu commencer à utiliser les outils Cloudflare pour sécuriser ses sites et ses systèmes informatiques.

« Jusqu'ici, nous avons intégré les sites de niveau national, soit environ 40 domaines contenant des sites web ou des systèmes internes », déclare Kowalczyk. « Il s'agit des sites web et des systèmes utilisés par l'ensemble de l'organisation et responsables de la majorité du trafic. »

Les principales préoccupations de la ZHP

La base de données des membres occupe une place particulièrement importante parmi les systèmes qu'elle utilise, car l'association s'appuie sur cette dernière pour garantir sa conformité au RGPD et vérifier que les membres sont bien à jour de leurs cotisations avant de participer aux activités.

En règle générale, la ZHP s'inquiète énormément du détournement et du déplacement de contenus. Ces attaques ont été identifiées comme la principale menace lorsque la crise en Ukraine a débuté. Âgée de 100 ans, l'association des Scouts et Guides de Pologne jouit d'une longue histoire. Sa réputation a été quelque peu ternie lors de l'époque communiste en Pologne, du fait de sa coopération avec le gouvernement. Il s'agit toujours d'un sujet très sensible en Pologne, aussi l'association cherche-t-elle à rester aussi neutre et distante que possible vis-à-vis de la politique. Un acteur malveillant qui parviendrait à pirater un de ses sites et à y inclure du contenu suggérant à tort une affiliation à des partis politiques ou des idées nuirait encore davantage à la réputation de l'association.

L'aide apportée par Cloudflare pour renforcer la sécurité de la ZHP

Grâce aux outils d'analyse de Cloudflare, la ZHP a découvert qu'une grande partie du trafic destiné à son site provenait de sources extérieures à la Pologne. Comme elle trouvait cette activité suspecte, elle a commencé son enquête sur le sujet. Elle a ainsi trouvé sur son site du spam SEO dont elle ne connaissait pas l'existence au préalable.

L'association a également remarqué que l'un des sites qu'elle utilise en tant que système de questions-réponses s'exécutait sous une version logicielle obsolète et était donc infecté. Cette faille a été découverte grâce aux outils d'analyse de Cloudflare. Comme elle ne peut désactiver ce système, l'association a rédigé une règle de pare-feu comprenant une action de test gérée. Près de 17 000 tests ont été proposés sur une plage de 24 heures et seuls 326 d'entre eux ont été résolus.« Grâce à Cloudflare, nous avons de la visibilité sur une grande quantité de trafic bloqué et le rapport entre les CAPTCHA résolus et les CAPTCHA proposés s'élève à moins de 1 %. Je trouve ce produit formidable ! », poursuit Kowalczyk.