Retour sur la Mêlée numérique 2023 : focus sur la cybersécurité

Temps de lecture : 8 minutes

La Mêlée Numérique est un festival du numérique et de l’innovation organisé par l’association La Mêlée, qui se déroule chaque année en Occitanie depuis 2000 et est considéré comme le plus grand festival numérique du sud de la France. Cette année, 2023, la 23e édition s’est déroulée du 22 au 29 septembre.

Les sujets abordés sont tous liés à l’environnement numérique, en particulier ceux qui sont d’actualité, comme l’intelligence artificielle, la cybersécurité, le développement durable et les e-sports. Avec cette pluralité de sujets, le public vraiment varié, des data scientists, des analystes cyber, étudiants et même des chefs d’entreprises liées au numérique. En tant que Consultant Cyber Cloud chez Revolve, j’ai choisi de participer à des conférences sur la cybersécurité pendant cet événement.

Photos (c) Mêlée Numérique

L’événement, entièrement gratuit sur inscription, apporte un esprit de partage pour valoriser l’écosystème d’Occitanie, en réunissant startups, TPE, PME, grands groupes et associations qui travaillent avec le numérique pour échanger sur le sujet. Au total, il y a eu plus de 10 000 participants, plus de 150 sessions et 500 intervenants, ce qui montre l’ampleur de l’événement et son importance pour la région.

La Mêlée est divisée en grands thèmes, animés par des conférences, des tables rondes, des ateliers et des moments de networking entre les participants. Il s’est déroulé de manière hybride, au Quai des Savoirs à Toulouse et simultanément retransmises en direct sur YouTube. L’idée était d’aborder les sujets les plus divers liés à l’environnement numérique, en particulier ceux qui sont d’actualité, tels que l’intelligence artificielle, la cybersécurité et la santé. Au programme, des journées consacrées à des sujets spécifiques, comme la journée dédiée au numérique pour les femmes, la journée de la cybersécurité ou encore la journée de l’e-sport. L’événement était organisé en différents formats, ateliers, tables rondes ou concours de pitch, auquel ont participé des startups ou des grandes entreprises comme la SNCF ou EDF.

Dans cet article, je vous présenterai mon retour en tant que participant à la journée dédiée à la cybersécurité.

Cyber risques : la sensibilisation en interne

Pour cette journée cyber, les intervenants ont mis le focus sur la sensibilisation interne des salariés des petites et grandes entreprises. La majorité des cyber attaques se produisent encore par phishing, c’est-à-dire qu’un attaquant envoie des courriels frauduleux aux employés de diverses entreprises, et espère que quelqu’un cliquera sur le lien malveillant contenu dans le courriel afin de propager une attaque sur le réseau de l’entreprise.

Bref, aujourd’hui encore, la plus grande faille de sécurité est le facteur humain. Et les attaquants sont perfides, car ils envoient généralement les liens en fin de journée, au moment où le travailleur est le plus fatigué et où sa capacité d’attention est la plus faible, ce qui le rend plus susceptible de cliquer sur le lien. Un chiffre qui marque: plus de 50% des PME ayant subi une cyberattaque ont mis la clé sous la porte dans les mois suivants ! Cela montre qu’une cyberattaque peut complètement détruire les entreprises les moins protégées.

Prévenir les cyberattaques

La conférence “N’attendez pas que votre entreprise soit victime d’une cyberattaque”, animée par l’avocat Stanley Claisse et le commissaire de police Antoine Dufourg, avait pour objectif de sensibiliser les entreprises aux risques des cyberattaques.

Selon eux, une des attaques les plus récurrentes aujourd’hui est le ransomware. Basiquement, ce sont des logiciels d’extorsion qui peuvent chiffrer et verrouiller toutes les données de votre ordinateur, et demander une ransom, payée avec des crypto-monnaies en échange du déverrouillage de celui-ci. Le problème sur une grande entreprise est que le réseau interne peut être compromis par une seule machine infectée. Une propagation à l’ensemble des machines peut entraîner une paralysie totale des systèmes de l’entreprise.

Pour l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les entreprises ne doivent pas jouer le jeu des cybercriminels en payant les sommes demandées pour la levée d’un ransomware. Premièrement, il n’y a pas de garantie que les attaquants restituent les données chiffrées, ou demandent plus d’argent. Ils peuvent bien sûr décrypter les données, et laisser une backdoor – une ouverture laissée dans un logiciel permettant d’y retourner après sa conception – et revenir des mois ou des années après avec la même attaque. Enfin, en payant la rançon, les entreprises victimes financent directement les activités des cybercriminels, donc cela perpétue un cycle vicieux. Alors, que faire dans le cas d’un ransomware dans votre entreprise ? Voici les recommandations de l’ANSSI :

  • rechercher l’assistance technique d’experts ;
  • communiquer au maximum sur l’attaque et les futurs risques à avenir au sein de l’entreprise ;
  • restaurer les systèmes touchés depuis des sources saines ;
  •  déposer plainte
  • ne pas payer la rançon demandée.

Le ransomware est une attaque potentiellement dévastatrice pour l’entreprise, il est important que chacun prenne conscience des risques, des bonnes pratiques pour les éviter, et sache comment agir si l’entreprise est touchée.

OSINT : attention à vos traces numériques

L’atelier « La puissance de l’OSINT » a traité d’une technique d’attaque qui utilise les données publiques sur internet : l’Open Source Intelligence (OSINT). Le CEO de l’entreprise Predicta Lab, Baptiste Robert a présenté le sujet et fait une démo de son utilisation.

Avec le mail d’une possible cible (mail aléatoire sans nom/prénom du propriétaire), l’intervenant a commencé à chercher plus de données sur Internet. Il a utilisé la plateforme OSINT de sa propre entreprise (il en existe d’autres) pour vérifier où ce mail était utilisé pour créer un compte.

L’outil (dans sa version free) rassemble les informations existantes sur internet et cherche quels types de comptes sont liés a ce mail, comme skype, github, trello, etc. La version premium va chercher encore plus de comptes. Avec ces premières données, il a réussi à découvrir un compte skype avec le mail et son Nom/Prénom ainsi que la photo liée à ce compte. Avec son nom/prénom, il a réussi à trouver le profil public de cette personne sur Instagram (un profil public est fortement déconseillé par le CEO) et donc, en regardant une story, à découvrir la localisation exacte de la personne, un restaurant. La démonstration s’est arrêtée là, mais on voit bien tout le potentiel de l’OSINT à partir d’une simple adresse mail.

L’intervenant a insisté sur le fait que les réseaux sociaux sont vraiment très sensibles et il faut être 100% vigilant avec ses posts, principalement lors de l’exposition non nécessaire d’un profil en public. Quand une donnée est sur Internet, elle ne vous appartient plus. Baptiste Robert conseille de faire une recherche simple de son nom et prénom sur Google/Bing, et voir ce que cela donne. 

Les données et les photos sur internet constituent l’empreinte numérique, aussi appelée ombre numérique ou empreinte électronique. Ce sont toutes les données que vous laissez derrière vous quand vous utilisez Internet. Cela inclut aussi les sites Web visités, les emails que vous envoyez et les informations que vous soumettez en ligne.

Parfois, vous trouverez des infos dont vous ne savez pas qu’elles sont disponibles sur internet, et c’est à vous de réaliser le nettoyage de votre empreinte numérique. Placez-vous dans la peau d’un attaquant en posant la question : est-ce que j’envie qu’un attaquant à accès à cette donnée? Est-ce que cette donnée peut être utilisée contre moi d’une façon quelconque? Tous ces outils pour obtenir des données à partir d’un mail ont des données live, ce qui signifie qu’après un bon nettoyage de votre empreinte, un pirate aura beaucoup de mal à trouver quelque chose pour une attaque.

IA et cybersécurité

Pour finir, un retour sur l’atelier : “L’IA et la Cybersécurité, en fait ça fonctionne bien”, animé par William Ritchie (CTO Custocy) et Cédric Lefebvre (expert Cyber Custocy).

Le but était de montrer l’usage de l’IA dans les outils de sécurité pour distinguer les attaques réelles des faux positifs, et faciliter le travail de l’analyste en cybersécurité, qui aura moins de cas à analyser et ne perdra pas de temps avec les faux positifs. Selon les intervenants, l’IA est, en fait, indispensable pour détecter des attaques plus sophistiquées et inconnues, où nous n’avons pas de données de comparaison et qui seront automatiquement détectées comme attaque probable par l’IA.

Cependant, la combinaison IA + Cyber est également utilisée à des fins malveillantes: un pirate initialement limité au territoire français peut utiliser ChatGPT pour traduire parfaitement un texte en chinois, et envoyer un e-mail de phishing à des entreprises chinoises également, élargissant ainsi ses cibles. Il faut donc utiliser tous les outils disponibles pour nous protéger, parce que leur côté, les pirates font déjà usage de l’IA.

Cédric Lefebvre a lancé une simulation d’attaque pour montrer l’apport de l’IA. Le scan de ports, procédure où un attaquant va tester toutes les portes d’une infrastructure pour voir si il y a des ouvertures oubliées, n’a pas été identifié par l’IA comme une attaque. Pourquoi l’IA n’a pas donné l’alerte ?

En fait, c’est un comportement voulu de l’IA, car il s’agissait d’une tentative d’attaque et pas d’une attaque réelle en cours. Les attaquants lancent des scans de port tous les jours, contre de nombreuses entreprises, et nous n’avons pas envie d’ être alertés à chaque scan pour vérifier ce qui s’est passé. Un attaque, par définition est caractérisée par un enchaînement d’actions.

Après un scan de port, il faut donc confirmer qu’il y a eu une intrusion : tentative de login/mot de passe pour accéder un système,  tentative d’obtenir des droits d’administrateur ou une autre type d’action que montre que l’attaquant n’est plus en train de scanner des ports au hasard.

Lors de la démonstration, une deuxième tentative d’attaque a été lancée. Après le scan l’attaquant a trouvé une porte ouverte, et l’IA a détecté l’attaque alors qu’il était en train d’ exécuter une tentative d’accéder au système avec login/mot de passe. Cela montre que la force de l’IA réside dans sa faculté à éviter les faux positifs et faciliter le travail des analystes cyber.

Pour en savoir plus sur la Mêlée numérique :

Commentaires :

A lire également sur le sujet :

Le Cloud souverain : pour qui, et pourquoi ...

  • 10 mars 2021
Alors que le Cloud Souverain fait à nouveau les grandes lignes de l'actualité, ...

Sécuriser une application : comment faire d...

  • 28 mars 2019
Créer, stocker ou transférer des secrets au sein d’une application a toujours é...

Comment choisir sa méthode d’authenti...

  • 20 septembre 2018
Développé par Hashicorp, Vault est un outil de gestion des secrets (mots de pas...

La souveraineté dans le Cloud par le chiffr...

  • 12 janvier 2023
Rappel des articles précédents : La souveraineté dans le Cloud par le chiff...

A PROPOS DE L'AUTEUR

Daniel Amaral

Après une expérience en développement front-end/mobile, Daniel a découvert la cybersécurité et s'est pris de passion pour le sujet. Durant les 3 dernières années, il a travaillé sur différents sujets de sécurité mobile et sécurité Cloud, avant de rejoindre Devoteam Revolve pour aider ses clients à sécuriser leurs systèmes sur AWS. Amateur de foot, il aime autant jouer que vibrer dans les stades. Daniel est aussi fan de randonnée et de vélo.

Le blog reBirth

Nous luttons contre les raccourcis intellectuels, proposons des alternatives, challengeons les pratiques, partageons nos expériences et provoquons une réaction. En ce sens nous ENTREPRENONS et révélons les singularités.