Témoignage de Pierre-Antoine, notre responsable Cybersécurité
Pierre-Antoine Bonifacio, Manager Cybersécurité chez AISI : « Les PME et les ETI sont la cible d’attaques très structurées et doivent pouvoir se protéger avec des solutions adaptées à leurs métiers tout en étant viables économiquement. »
Notre expert Cybersécurité, passé par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), Pierre-Antoine Bonifacio, fait le point sur les cyber-menaces et les enjeux que les entreprises doivent anticiper pour 2020 en trois questions.
1. Pourquoi avoir rejoint AISI ?
Auparavant, j’ai travaillé au sein de l’ANSSI dont l’une des missions consiste à diffuser de bonnes pratiques cybersécurité auprès des entreprises et des particuliers. Toutefois, lorsqu’une PME ou une ETI subissent une attaque, elles sont vite désemparées. Dans ce contexte, j’ai rejoint AISI, car je voulais donner un impact plus concret à mon action. Je voulais accompagner ce type de structure et leur offrir des solutions préventives ou curatives en adéquation avec leur contraintes techniques et surtout économiques.
En ce sens, l’approche AISI à la fois bien structurée et pragmatique m’a conquis. Il faut savoir qu’en matière de cybersécurité, les hackers jouent sur la durée et les défaillances humaines. Aujourd’hui, un DSI a du mal à retracer tout l’historique d’un SI qui en outre à sa propre vie si je puis dire, entre les mises à jour automatiques, les utilisateurs qui installent leurs propres applications car leurs droits n’ont pas été bien délimités ou tout simplement lorsqu’ils se connectent avec leurs terminaux personnels.
Dans un premier temps un audit de sécurité et un pen test (test d’intrusion) permet d’évaluer le niveau de sécurité et identifier les priorités. Souvent, les Directions générales ne mesurent pas la hauteur des enjeux liés à la cybersécurité. Cette phase d’audit leur fait prendre conscience de leur vulnérabilité, par exemple on n’imagine pas le nombre d’informations, qui sont disponibles quand on sait bien chercher. Cette cartographie des ressources online achevée, on procède à une attaque sur les services web WEB pour récupérer plus d’information et, peut être, pénétrer le SI via d’autres vecteurs. Aujourd’hui la plupart des attaques démarrent par un phishing, une fois le poste de l’utilisateur corrompu, il est facile d’entrer sur le réseau de l’entreprise. Sur chaque jalon du parcours d’attaque, AISI conçoit une contre-mesure afin de renforcer la sécurité du SI dans sa globalité. L’objectif consiste pour chaque point à pouvoir détecter une activité suspecte, l’analyser et la neutraliser.
Nous proposons une solution qui trouve le juste équilibre entre les besoins de protection et l’expérience utilisateur surtout à l’heure où les salariés sont plus mobiles et l’entreprise plus ouverte auprès de ses parties prenantes.
Nous n’oublions pas non plus l’aspect humain qui est essentiel pour nous. Une équipe interne ne peut avoir un œil sur tout et notamment sur les consoles des solutions de sécurité. C’est pourquoi nous avons une offre de services managés qui intègrent des solutions innovantes avec des niveaux de SLA définis avec le client.
2. Comment se déroule une attaque ?
Tout d’abord, j’aimerais casser un mythe véhiculé par le cinéma le hacker est un informaticien comme un autre. Une attaque se fait en plusieurs étapes. L’entreprise peut donc réagir en se dotant de services de supervision, car il est vrai que lorsque l’intrusion est enfin détectée, il est souvent trop tard. Il faut savoir, que le hacker, une fois introduit va avancer prudemment. Il va tester ses droits d’utilisateur, déployer de nouvelles applications, effacer quelques données pour tester les réactions. Il faut en moyenne trois jours pour devenir administrateur d’un domaine et entre deux et quatre mois avant le chiffrement complet d’un Système d’information (pour des sociétés ayant une plus grande maturité en sécurité).
Les outils automatisés sont indispensables mais il faut toujours néanmoins une surveillance humaine qui permet de comprendre qu’un événement a priori anodin (signaux faibles), est signe d’une attaque.
En 2019, les attaques ont montré un véritable professionnalisme de la part des hackers et malheureusement une forte rentabilité. Beaucoup trop d’entreprises victimes de ransonware ont été condamnées à payer. En effet, quelle organisation peut-elle se permettre de stopper son activité ne serait que quelques jours car son SI est totalement inutilisable sans se mettre en péril ?
Pour 2020, ce type d’attaque où le hacker prend le contrôle, installe le cryptolocker et passe au chiffrement risque de s’amplifier. Nous assisterons à beaucoup d’opérations d’extorsion et d’intelligence économique. Les hackers menaceront de rendre les données totalement inaccessibles ou de les rendre public. Ils pourront également vendre sur le Dark Web, l’accès qu’ils auront créé.
3. Quels sont les types d’attaques les plus récurrentes et les plus problématiques ?
Emotet + Trickbot + Ryuk : le triptyque de l’horreur.
Le hacker aura avancé en toute discrétion pendant des semaines pour devenir maître du domaine. Il déploiera les deux maliciels Emotet ou Trickbot sur tous les systèmes du réseau. Ensuite, le ransomware Ryuk entrera en œuvre simultanément sur tous les poste et verrouillera tout le système.
Ces attaques de type APT (Advanced Persistent Threats) sont fréquentes et c’est pourquoi nous allons y consacrer un Webinar très prochainement.
La cybersécurité est une question complexe et les risques sont souvent méconnus ou mal évalués. La première étape consiste à sensibiliser les décideurs d’une entreprise aux menaces auxquelles ils s’exposent. L’onde de choc d’un incident se répand à tous les niveaux de l’entreprise. L’équipe IT est sous pression aux vues des conséquences économiques en terme de perte d’activité et surtout, le SI étant totalement corrompu, il faut le reconstruire très vite en repartant de zéro, cela génère des coûts supplémentaires.
En matière de cybersécurité il faut savoir dialoguer entre tous les acteurs de l’entreprise qui n’appréhendent pas la question sous le même angle. C’est pourquoi, n’hésitez pas à prendre rendez-vous avec nos équipes pour un workshop gratuit ou répondre à toutes vos questions.
Restez informé de toutes les actus cyber & AISI.