Red team, Black box, Rock thug…
La cyberdéfense en action

Environ 10 % de l’activité de Meritis est dédiée à la cybersécurité pure, c’est-à-dire au volet SSI, Sécurité du système d'information. Johan Klein nous explique : « Au niveau stratégique, cela va relever de la GRC, c’est-à-dire tout ce qui touche au volet Gouvernance, risque et conformité. Au niveau opérationnel, les métiers de cybersécurité pure concernent les pentesters, c’est-à-dire ceux qui lancent des attaques pour tester les failles des systèmes d’opération. Il y a deux types majeurs d’attaques. Celles qu’on lance de l’extérieur, ce que l’on appelle les Black box pentest ou les tests d’intrusion red team. Dans cette situation, le hacker est en-dehors de l’entreprise et analyse ce qu’ils voient de l’extérieur pour essayer d’y entrer. Et puis il y a les tests qui sont faits de l’intérieur des systèmes d’information de l’entreprise, les White box pentest. On appelle ça vulgairement le test du stagiaire. Typiquement, le hacker va cibler une personne récemment arrivée dans l’entreprise et va la tester pour voir dans quelle mesure elle est vulnérable à des intrusions potentiellement malveillantes. »

Le profil des attaquants est varié. Il y a ceux qui vont tenter de commettre de petits larcins et qui peuvent utiliser des formes d’attaque déjà sophistiquées, disponibles sur le darknet. Il y a les mercenaires du web qui sont appelés et contractés pour attaquer une cible particulière. Et il y a des groupes très organisés qui mènent des actions de déstabilisation au niveau des États. Comme dans les films… Pour le premier profil, si l’entreprise montre qu’elle est protégée, il est plus que probable que les hackers se tournent vers des cibles plus faciles. Pour le reste, c’est plus complexe. Ces types d’attaques semblent avoir toujours à peu près la même construction et on parle de cyber kill chain. « On note d’abord un travail de renseignement de la part des attaquants, puis un travail d’ingénierie sociale. En clair, les hackers cherchent les biais humains parmi les collaborateurs de l’entreprise qui sont souvent la porte d’entrée dans le système d’information interne. D’où l’importance de sensibiliser les collaborateurs en continu. C’est certainement l’un des premiers enjeux. »

Sensibilisation, machine learning et centralisation des logs,

les trois outils opérationnels des défenseurs

En matière de sensibilisation, il y a plusieurs approches, du dialogue descendant simple pour avertir les collaborateurs de la menace cyber à des sensibilisations plus pratiques, en situation. Meritis utilise l’IA pour cibler ses exercices d’attaques de manière individualisée. « Si la cible travaille aux ressources humaines, la simulation d’attaque va prendre une forme adaptée. L’attaquant va utiliser des entrées qui ressemblent à LinkedIn, Monster ou Pôle Emploi. Il va proposer des candidatures fictives pour inciter au clic. »

Le deuxième enjeu porte sur l’IA car une fois le clic passé, tout l’enjeu est de stopper l’attaque au plus vite. Pour Johan Klein : « Aujourd'hui, nous avons des outils très puissants grâce à l'IA et au machine learning et cela permet de recouper des comportements qui se sont passés sur une machine. L’antivirus basique a quasiment disparu aujourd’hui, ce que l’on appelle l’EPP ou Endpoint platform protection. C’est l’EDR, Endpoint detection and response qui a pris le pas. Il faut comprendre ici que le endpoint, c'est le point de terminaison, ça peut être un PC, ça peut être un PC portable ou un smartphone. Ce que l’on cherche à faire, c’est de détecter l’attaque et tout de suite, de proposer une remédiation qui va permettre de bloquer l’attaque. »

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) évalue à 38 minutes le temps moyen de déroulé d’une attaque. Le temps moyen de détection d’une attaque se compte lui en jours. En moyenne, une entreprise met 19 jours à réaliser qu’elle a été attaquée et les hackers attaquent très fréquemment le vendredi soir les weekends de pont, augmentant d’autant plus le temps de détection. « Il y a actuellement un gap énorme entre le moment de l’attaque et le moment où l’entreprise le réalise. C’est la raison pour laquelle une bonne utilisation de la technologie du machine learning devient si importante. En comparant très rapidement des extraits de comportement utilisateur-machine avec des chaînes d'attaque connues, l’IA va tout de suite pouvoir détecter un événement qui ressemble à une attaque et la machine va pouvoir être isolée pour éviter la propagation de l’attaque plus loin dans le système, ce qui pourrait occasionner des blocages d’ampleur. »

Pour Johan Klein, le troisième enjeu majeur en matière de cybersécurité pure concerne la centralisation des données de log. « Un log, c’est tout ce qui va être généré par une machine, par un utilisateur qui se connecte, par un logiciel qui traite quelque chose… Vous avez des logs systèmes et des logs d’applications. Aujourd’hui chaque outil génère son propre log. L’analyse des logs en matière de cybersécurité est incontournable. Et tout l’enjeu est de les centraliser quelque part pour que les intelligences artificielles s’y retrouvent. C’est très difficile de reconstruire une attaque à partir de morceaux de logs éparpillés qui utilisent des langages numériques différents. L’idée est de tout centraliser au même endroit et de normaliser, a minima de les mettre sous le même langage. »

Règles et bonnes pratiques

Plusieurs référentiels existent au niveau règlementaire. On peut citer les bonnes pratiques de l’OWASP, l’Open web application security project, et du NIST américain. Meritis a été certifié ISO 27001 par l’AFNOR. D’autres référentiels sont aussi utilisés.

« Ce qui est intéressant pour la certification ISO, c’est qu’un auditeur prend le temps de venir toute une semaine sur site. Le siège de Meritis a été certifié il y a trois ans et on vient d’étendre cette certification à nos agences, les certifications ISO ont en effet des périmètres précis. Tous les ans, des révisions sont proposées par l’AFNOR avec des pistes d’amélioration mineures ou majeures. C’est plutôt une démarche de cercle vertueux pour améliorer ses process en continu. Ce qu’il faut savoir, c’est qu’aujourd’hui, une telle certification nous demande de filtrer nos partenaires de supply chain. Nous avons en effet des fournisseurs et si le système informatique d’un fournisseur n’est pas sécurisé, cela peut devenir une porte d’entrée à une cyberattaque. Les grandes entreprises ne sont en général pas attaquées directement. Les hackers ciblent ses failles. Et un fournisseur peut être une porte d’entrée. Pour travailler avec certains clients, cette certification ISO était une exigence. »

La totalité des 5 milliards d’IP est scannée 1 à 2 fois par jour pour trouver des failles de sécurité et un Security scorecard joue le rôle du Nutriscore du cyber. Sans être paranoïaque, les attaques ne sont plus l’exception et ciblent presque plus aujourd’hui les institutions les moins sécurisées pour espérer entrer dans les cibles. Si le droit de la guerre cyber n’est pas encore écrit, en pratique, tous les coups sont permis.