Stratégie

Résilience IT : des stratégies pour mieux faire face aux cyber-risques

Grand témoin de la conférence CIO « Résilience IT : garantir le business contre tous les cyber-risques », Frédéric Leconte, DSI du groupe Afnor, a raconté comment l’entreprise a fait face à une cyberattaque début 2021.

Retour sur la conférence CIO « Résilience IT : garantir le business contre tous les cyber-risques » qui s'est tenue le 16 novembre 2022, sur le toit de la Grande Arche de La Défense.

PublicitéLe 16 novembre 2022, CIO a organisé une matinée sur le thème de la résilience IT, sur le toit de La Grande Arche de La Défense. Cette conférence, intitulée « Résilience IT : garantir le business contre tous les cyber-risques » a été réalisée en partenariat avec Darktrace, Dell Technologies, Pure Storage, Rubrik, Wallix et Check Point.

Le grand témoin de cette matinée a été Frédéric Leconte, DSI du groupe Afnor. Les autres témoins étaient le colonel Barnabé Watin-Augouard, chef de la division proximité au Commandement de la gendarmerie dans le cyberespace (ComCyberGend) ; Cathy Loiseau, RSSI et membre du Cefcys (Cercle des femmes de la cybersécurité) ; Pascal Laffut, CTO de France Télévisions Publicité ainsi que Florence Muscat, DSI du groupe Asendia et Thierry Jeanneret, CISO du groupe Asendia. Enfin, Nicolas Mattiocco, CEO de Patrowl, est venu présenter la plateforme de pentest-as-a-service conçue par cette start-up, qui aide les entreprises à surveiller leur surface externe d'exposition aux cyberattaques.

Le colonel Barnabé Watin-Augouard a partagé les observations et les recommandations du ComCyberGend.

La conférence a démarré avec l'intervention du colonel Barnabé Watin-Augouard, qui a d'abord présenté le ComCyberGend, créé en 2021 pour fédérer l'ensemble des unités de la Gendarmerie qui agissaient dans le domaine de la cybercriminalité. Le ComCyberGend travaille notamment sur la prévention, avec trois grandes cibles : les collectivités territoriales, les PME et ETI et les jeunes scolarisés. Elle met également à disposition une brigade numérique qui répond à toute heure aux questions de sécurité des citoyens. Les autres grandes missions du ComCyberGend portent sur l'investigation, l'expertise technique, en quête de « preuves numériques » et la stratégie partenariale, avec l'ensemble des entités étatiques et l'écosystème privé.

« La cybercriminalité recensée par la Gendarmerie, c'est 130 000 faits par an et déjà 9% de la délinquance que nous constatons », a indiqué le colonel Barnabé Watin-Augouard, ajoutant que dans ce domaine il existe un énorme chiffre noir, la plupart des faits n'étant pas déclarés. Celui-ci a ensuite évoqué les actions de sensibilisation menées par la Gendarmerie auprès des collectivités territoriales et des entreprises, dont la récente mise en place d'un outil de prédiagnostic. Celui-ci permet notamment de faire un état de la menace. Ainsi, sur 300 communes, une sur trois a été victime d'une cybermenace au sens large, dont une sur dix a été victime d'un rançongiciel. Pour finir, le colonel Barnabé Watin-Augouard a partagé quelques recommandations pour se préparer aux cybercrises, insistant notamment sur le fait d'être capable de communiquer et la gestion des priorités, un sujet à anticiper. « En fin de mois, il est peut-être plus important de payer ses employés que de relancer la production », a illustré le colonel Barnabé Watin-Augouard.

Publicité
Alexandre Oiknine, responsable de compte chez Darktrace, a insisté sur la prévention des cyber-risques, à travers la compréhension des vulnérabilités.

Après la présentation de l'étude CIO « Quelles stratégies pour un système d'information réellement résilient ? », Alexandre Oiknine, responsable de compte chez Darktrace a évoqué le volet de prévention des cyber-risques. Alors que la surface d'attaque des entreprises est de plus en plus étendue, celles-ci doivent à la fois comprendre leur surface d'attaque et définir ce qu'il faut mettre en place pour réduire les risques, en hiérarchisant ces derniers. L'enjeu, pour Alexandre Oiknine, est bien « d'impacter le ROI des attaquants », qui privilégient les cibles offrant le plus de gains avec le moins d'efforts. La prévention passe donc par la compréhension de ses vulnérabilités. Grâce aux outils d'ASM (attack surface management) inclus dans la solution Darktrace Prevent, une entreprise peut voir la vision qu'un hacker a de l'organisation, identifier les risques en interne et réduire les failles en libre accès. « La solution fournit une information en temps réel sur votre organisation globale et les chemins d'attaques potentiels qui pourraient être utilisés par un hacker », a expliqué Alexandre Oiknine.

Le multicloud comme levier pour la résilience des infrastructures

La résilience IT passe aussi par une infrastructure robuste et moderne. Pascal Laffut, CTO de France Télévisions Publicité, a ensuite présenté l'infrastructure hybride mise en oeuvre dans son organisation. La régie publicitaire du groupe France Télévisions avait différents enjeux. Selon le CTO, il s'agissait d'avoir des infrastructures hautement disponibles, résilientes et adaptables à tous les projets, qui répondaient également à ses exigences de frugalité et de maîtrise des coûts. Un premier projet a permis de rapatrier l'archivage cloud, devenu trop coûteux, sur des solutions Rubrik et NetApp hébergées en interne et associées à un service managé. Ensuite, France Télévisions Publicités a entamé la mise en place d'une infrastructure hybride, avec un cloud privé combiné à plusieurs clouds publics. « L'objectif est toujours d'essayer de bénéficier du meilleur des deux mondes », a souligné Pascal Laffut. Pour garantir la résilience, tant sur le plan technique que business, la régie cherche à être le plus agnostique possible dans ses choix technologiques, ce qui passe notamment par des outils d'infrastructure-as-code et par un système d'orchestration de conteneurs. « Nous essayons d'avoir la capacité de déplacer des workloads en fonction de différentes contraintes : la perte d'un datacenter, un accès difficile vers un cloud public, des pertes de performance », a illustré le CTO, pour qui l'enjeu est l'adaptabilité.

Pierre-François Guglielmi, field CTO EMEA chez Rubrik, a développé les enjeux de sécurisation des sauvegardes.

Pierre-François Guglielmi, field CTO EMEA chez Rubrik, lui a succédé pour une intervention centrée sur le sujet des données. En préambule, celui-ci a rappelé que les rançons ne représentaient qu'une toute petite partie des revenus des cyberattaquants, l'essentiel venant des données volées et revendues. « Les pirates ciblent systématiquement les données quand ils arrivent à rentrer », a souligné Pierre-François Guglielmi. « Lorsqu'on est attaqué, on part du principe que la sauvegarde va permettre de repartir », a poursuivi celui-ci. Mais 70% des cyberattaques visent précisément ces sauvegardes. Il faut donc sécuriser celles-ci, ce qui implique de nombreux aspects : faire en sorte que les sauvegardes ne soient pas atteignables, protéger la plateforme en contrôlant les accès, appliquer le principe du moindre privilège, protéger les logins... L'immuabilité aussi est clef, à condition selon Pierre-François Guglielmi « de ne pas perdre de vue qu'immuable ne veut pas dire non supprimable ». Il a ensuite évoqué le risque de réinfection en cas de sauvegarde corrompue et les mesures à prendre pour s'en prémunir. Autant d'aspects qui selon lui distinguent les plans de cyber-résilience des PRA/PCA classiques.

Cathy Loizeau, RSSI et membre du Cefcys, a expliqué le rôle des analyses de risques, une étape clef dans les projets.

Cathy Loizeau, RSSI et membre du Cefcys, est venue expliquer les enjeux de l'analyse de risque lors des projets IT. Celle-ci a d'abord présenté le Cefcys (Cercle des femmes de la cybersécurité), une association qui promeut les femmes travaillant dans le domaine de la cybersécurité, notamment à travers ses trophées. Après avoir expliqué ce qui différencie l'analyse des risques sur un projet de la cartographie plus globale des risques cyber, effectuée à l'échelle de l'entreprise, Cathy Loizeau a ensuite abordé la question de la méthodologie à employer pour mener des analyses de risques. « Ce qui est important, c'est de créer une méthodologie adaptée à la taille de votre entreprise », a insisté la RSSI. Chaque analyse débouche sur un plan d'action et une acceptation des risques - avec parfois des impacts sur le choix des fournisseurs. Cathy Loizeau s'est également penchée sur quelques freins qui peuvent survenir, notamment le manque de ressources. Lorsqu'une entreprise ne peut pas systématiser les analyses de risques, elle recommande de prioriser certains projets : ceux liés au cloud, les projets avec des données sensibles ou ceux liés à des activités critiques... La RSSI reconnaît que la mise en place des analyses peut être dure au début pour les différentes parties prenantes, insistant sur la conduite du changement jusqu'à ce que cette étape devienne une routine. Cathy Loizeau a aussi expliqué le rôle des RSSI, « des garants du processus », mais qui ne prennent pas la décision « go/ no go ». Pour finir, elle a souligné l'importance des contrôles, pour vérifier que les plans d'action sont bien mis en place.

Clément Guidoux, ingénieur avant-vente chez Pure Storage, es revenu sur la sécurité des sauvegardes, qui dépend aussi des infrastructures de stockage.

« Les sauvegardes, c'est ce qui vous sauve » : reprenant un propos de Frédéric Leconte en introduction, Clément Guidoux, ingénieur avant-vente chez Pure Storage, a souligné à quel point la sécurisation des sauvegardes était clef. Il a ensuite détaillé deux situations rencontrées chez des clients. Quelques-uns savent cartographier leurs applicatifs et données, du plus critique au moins critique, mettre des SLAs en face de chaque élément pour les temps de restauration et chiffrer le coût d'une minute d'interruption. « C'est vraiment le cas parfait », a noté Clément Guidoux. Dans ce type de configuration, les applicatifs les plus critiques sont associés à un stockage performant pour permettre au business de redémarrer rapidement. Mais le plus souvent, les entreprises ignorent ce qui est critique ou pas, mais ont besoin d'une sécurité de la donnée et d'un temps de restauration très rapide. Pour cela, il faut garantir une donnée saine, avec des mécanismes d'immuabilité et de protection contre les assaillants (sauvegardes non modifiables, non supprimables). « Quand quelqu'un essaye de supprimer une sauvegarde chez nos clients, nous avons une triple authentification, le client est prévenu, mais les équipes de Pure Storage sont également appelées pour confirmer l'identité », a partagé Clément Guidoux.

Le témoignage de Frédéric Leconte, DSI du groupe Afnor, a permis aux participants d'entendre le récit d'une cybercrise et les enseignements tirés de celle-ci.

Après la pause, Frédéric Leconte, DSI du groupe Afnor, est revenu sur la cyberattaque vécue par l'entreprise en février 2021, impliquant le ransomware Ryuk. Après avoir relaté les circonstances de l'incident, celui-ci a expliqué comment le groupe avait affronté la crise. « Les pirates étaient dans nos systèmes depuis plusieurs jours quand ils ont déclenché l'attaque », a décrit Frédéric Leconte. L'antivirus, l'active directory puis tous les fichiers Windows ont successivement été touchés. « J'ai prévenu immédiatement la direction générale et nous avons arrêté le système d'information et bloqué l'utilisation des PC », a confié le DSI. En parallèle, l'entreprise a prévenu son cabinet de conseil en cybersécurité, avec deux experts qui ont démarré les analyses dans la foulée. Ensuite, la direction générale et le Comex ont entamé les réunions de gestion de crise, tandis qu'une communication a été adressée aux employés, dont beaucoup étaient chez eux en raison du Covid et n'arrivaient pas à accéder au SI, ni à téléphoner. « Il faut communiquer, auprès des collaborateurs, des clients, des fournisseurs », a martelé Frédéric Leconte. Dans un premier temps, le groupe a utilisé une plateforme d'envoi de SMS, puis en quelques jours une plateforme de messagerie a été montée avec une adresse externe.

Une fois ces éléments rétablis, l'enjeu était de comprendre ce qui s'était passé. Environ trois jours plus tard, l'analyse était effectuée. « Ensuite, nous avons reconstruit un nouveau système d'information, différent de l'ancien, car le pirate avait très bien pu laisser des portes dérobées », a expliqué le DSI. Un point important porte sur l'ordre de mise en place des briques. S'il faut démarrer par l'infrastructure, l'ordre de rétablissement des différentes applications métiers a donné lieu à des discussions au niveau du Comex. Enfin, à plus long terme, le groupe a poursuivi sa démarche ISO 27001 entamée avant la crise, obtenant la certification en juillet 2022. « Une façon de sortir par le haut de cette crise », selon le DSI.

Ronan Croguennec, sales manager chez Wallix, a présenté le modèle NIST et développé certains points clefs de celui-ci.

Pour renforcer la cyber-résilience, les organisations peuvent s'inspirer de frameworks nationaux ou internationaux, tel le modèle de cybersécurité du NIST (National Institute of Standards and Technology). L'intervenant suivant, Ronan Croguennec, sales manager chez Wallix, a choisi de détailler les différents aspects de la cyber-résilience en partant des cinq grands piliers du modèle NIST l'identification, la protection, la détection, la réponse et la reconstruction des activités. « Aujourd'hui, les entreprises vont se concentrer sur les trois premiers piliers, et les autres sont un peu laissés de côté », a constaté Ronan Croguennec. Celui-ci a ensuite insisté sur certains points, comme l'importance de tester les plans et dispositifs de crise ou la mise en place d'une collaboration efficace entre les différents acteurs concernés, pour finir par une présentation de la solution de sécurisation des accès Wallix PAM4All.

Florence Muscat, DSI et Thierry Jeanneret, CISO du groupe Asendia, ont partagé les enjeux de la gestion des risques dans un groupe international avec des centaines de partenaires.

Après cette présentation, Florence Muscat, DSI du groupe Asendia et Thierry Jeanneret, CISO du groupe Asendia, ont rejoint la scène pour partager leur expérience autour du passage à l'échelle d'un plan de gestion du risque. Entreprise de logistique codétenue par le groupe La Poste et Swiss Post, Asendia propose à ses clients des services d'export de marchandises dans 220 pays. « Notre système d'information est structurellement interconnecté avec des centaines de SI de partenaires, très réglementé, international, et il repose sur du SaaS et du cloud public », a expliqué Florence Muscat. Avec une importante croissance externe et une hausse des tentatives d'attaques observées, la sensibilisation du conseil d'administration aux risques IT a augmenté. La sécurité, historiquement portée par la DSI, est devenue un sujet porté par un sponsor au comité exécutif. « La première étape a été une évaluation à 360° de ce qui était en place, sur la base du framework NIST, accompagnée d'une analyse de risques Ebios sur les grands métiers », a indiqué Thierry Jeanneret. Cette analyse a abouti à un plan de transformation de la cybersécurité prévu sur plusieurs années.

À court terme, le groupe a également développé certaines pratiques, telle la gestion de ses partenaires, à la fois IT et métiers. « On peut s'interdire de travailler avec certains partenaires logistiques s'ils ne sont pas au niveau », a confié la DSI. Le dispositif de gestion de crise a également été renforcé, de même que la sensibilisation. Enfin, Asendia a déployé une communauté avec des relais régionaux sur la sécurité. « Il faut savoir informer sur les impacts business des crises cyber, montrer que la cybersécurité est un allié pour le business, avec régularité et en communiquant aussi sur ce qui est bien », a souligné Florence Muscat en conclusion.

Jean Baptiste Galeota, avant-vente spécialiste de la protection des données chez Dell Technologies, a relaté une cyberattaque qui a donné naissance à la solution Cyber Recovery de Dell.

Succédant au témoignage d'Asendia, Jean Baptiste Galeota, avant-vente spécialiste de la protection des données chez Dell Technologies, est revenu sur le thème de la résilience. « La stratégie de sauvegarde 3-2-1 ne suffit plus aujourd'hui, car on n'a pas de certitude que les données que l'on veut récupérer sont saines », a pointé Jean Baptiste Galeota. Celui-ci a ensuite présenté la solution Cyber Recovery de Dell Technologies, née à la suite d'une cyberattaque très coûteuse vécue par Sony Pictures. « La particularité de cette attaque, c'est qu'il y avait deux vecteurs », a relaté Jean Baptiste Galeota. Le premier était un malware dormant, avec une période d'incubation de 18 mois, correspondant à la plus longue durée de rétention des sauvegardes au sein du groupe, et le second, l'embauche de deux employés complices de l'attaquant à des postes clefs : un administrateur de stockage et un administrateur de sauvegarde. Pour éviter ce type de scénario du pire, la solution conçue par Dell technologies s'appuie sur quatre piliers : l'isolation dans un sanctuaire, la copie des données dans un stockage immuable au travers d'un air gap, une analyse proactive des données acquises et enfin la fourniture de moyens de restauration autonomes.

Nicolas Mattiocco, CEO de Patrowl, a présenté sa solution de Pentest en continu.

La start-up invitée, en partenariat avec MyFrenchStartup, était Patrowl, représentée par son CEO Nicolas Mattiocco. « Patrowl est une solution française de cybersécurité qui a pour objectif de faire des tests offensifs en continu sur tout ce qui est exposé sur Internet ». Elle répond à un enjeu commun à tous les DSI et RSSI, qui ont besoin de comprendre quelle est leur surface d'attaque exposée sur Internet, sachant que celle-ci change aujourd'hui constamment. « Notre objectif est d'automatiser au maximum tout ce qui est possible, tous les outils que les pentesters ont à leur disposition pour augmenter la fréquence des contrôles et diminuer le temps de correction des vulnérabilités. »