Après la revue de presse sécurité Revolve Job Zero, nous vous proposons un nouveau format régulier sur la sécurité Cloud. Dans cette série d’interviews, nous allons à la rencontre de spécialistes sécurité qui travaillent sur le Cloud pour faire un état des lieux des tendances et des pratiques : boîte à outils sécurité dans le Cloud, évolutions de fond, transformation du métier de la sécurité…

Nous recevons aujourd’hui Federico Smith, Global Programme Manager, Cyber Economic Intelligence, GRC & Threat Intelligence Expert Leader. Federico est également enseignant à l’Ecole des relations internationales et sciences politiques, et intervient auprès de l’Octopus Cybercrime Community du Conseil de l’Europe.

Comment définissez-vous la GRC ? Si c’est un modèle vers lequel tendre, où en sont les entreprises françaises ?

La GRC (Gouvernance, risque et conformité) est un corpus documentaire de référentiels législatifs, de méthodes, de standards et des bonnes pratiques, parfois internationaux. En fonction du secteur d’activité de la structure, différentes obligations s’appliquent. La GRC conditionne aussi en grande partie la gouvernance de l’entreprise face aux risques inhérents, les risques cyber comme les risques juridiques. Les risques sont transversaux, certains peuvent être issus du droit, et se transposer dans l’IT de l’entreprise.

La question à se poser est la suivante : quelles sont les données qui vont me permettre d’évaluer au plus juste les risques auxquels je suis confronté, que ce soient les risques connus, inconnus, ou mal connus ? Dans certaines structures, les risques sont parfois sous-évalués, par méconnaissance ou par négligence. La gestion des risques doit d’ailleurs se faire dans un cycle d’évolution permanente, car les risques évoluent chaque jour, qu’ils soient humains, structurels, biologiques, naturels. On a bien vu avec le Covid que sous-estimer les risques pouvait avoir de graves conséquences.

S’il est important de se conformer aux réglementations, il faut aussi avoir l’agilité nécessaire pour identifier les signaux faibles. C’est là que le bât blesse. Et si globalement, les entreprises sont au point sur la GRC, et connaissent la majorité des enjeux auxquels elles sont confrontées, la véritable problématique est toujours d’ordre budgétaire.

Prenons l’exemple du ransomware, pour les pirates c’est un marché mondial qui rapporte 40 milliards de dollars par an. En conséquence, le secteur s’est professionnalisé : les pirates proposent des outils, des services, une sorte de Microsoft de la piraterie, et ils font évoluer leurs produits. C’est existentiel pour eux, s’ils ne le font pas, ils risquent de disparaître face à la concurrence.

Les services de piratage sont aussi industrialisés qu’un produit légal, et les entreprises doivent se protéger en conséquence. Saint Gobain a estimé les pertes dues à WannaCry à 220/250 millions d’euros de CA, quelle leçon en retirer ? Est-ce que ça ne vaut pas la peine d’investir un million dans la sécurité ?

Quel est le niveau de maturité des entreprises françaises face au risque cyber ?

Il est variable selon le secteur d’activité. La banque et la finance sont tenues par un corpus législatif très fort et semblent au point – en tous cas, nous n’avons pas eu connaissance de fuites de données sur les CB. Sur ce sujet, la France s’est bien structurée durant les 15 dernières années, même s’il reste toujours des points d’amélioration. Ce qui est normal : on crée plus de données qu’on ne peut en protéger, il y a donc nécessairement un retard à rattraper. En ceci, nous sommes aidés par les législations récentes comme le Digital Service, ou le règlement DORA sur la résilience opérationnelle numérique (sur ce sujet, lire l’interview de Marc-Antoine Ledieu), qui ont pour vocation d’uniformiser les standards, les pratiques, et les gouvernances à l’échelle du continent.

Le secteur industriel manque encore de maturité. C’est un véritable défi, car l’impact en cas de défaillance peut être massif, notamment dans les activités liées à l’eau et à l’électricité. Il faut aussi composer avec des infrastructures vieillissantes, et cela explique en partie que le secteur de l’énergie soit aussi impacté par le contexte géopolitique. C’est un paradoxe au vu de notre histoire en la matière. On manque parfois de bon sens : jusqu’en 2018, il n’y avait pas de module de sécurité dans les formations des ingénieurs, notamment dans le secteur nucléaire. Cela paraît fou.

La France est un pays très atypique, le plus dynamique d’Europe malgré tous ses bouleversements sociétaux. Ce patrimoine, cette richesse, on le retrouve aussi dans l’entreprise. On progresse bien, mais on peut pas non plus tout faire tout seul. Les systèmes étant  connectés, l’immunité collective informatique est la seule réponse face à une menace, qui est aussi collective et organisée, et qui innove plus rapidement.

Il existe en France un tabou sur l’intelligence économique, et c’est regrettable. On a pourtant la capacité de créer une industrie en moins de 10 ans. Lorsque Fleur Pellerin est arrivée au numérique, il n’y avait rien ou presque en France, et en moins de 10 ans nous sommes parvenus à un résultat qui tient la route. Mais on manque d’une vision collective, qui serait insufflée par l’Etat, à travers un département régalien du numérique. C’est un sujet qui dépasse largement le cadre de l’économie : on peut déstabiliser un Etat avec des fake news. Le sujet est trop important pour ne pas s’engager, d’autant que la France dispose de la capacité à porter ce message à l’échelle européenne.

Comment l’IA et l’apprentissage automatique vont modifier le paysage de la cybersécurité ? Y’a t il un risque d’augmentation du nombre de menaces, ou d’une professionnalisation accrue ?

L’essor de l’IA indéniable, ChatGPT a réveillé des vieilles peurs, même si le chat conversationnel est au point depuis très longtemps. A vrai dire, je pense que l’IA peut beaucoup apporter, notamment avec la possibilité de l’utiliser comme assistant virtuel pour améliorer sa production. Je me forme actuellement en hacking éthique sur ChatGPT, il est possible de contourner les limites de l’outil pour le rendre capable d’exfiltrer les données d’un site et les cacher sur Internet.

C’est intéressant pour imaginer des scénarios de fuite de données assistées par IA. Les hackers utilisent déjà beaucoup l’automatisation et la viralisation dans leurs outils, donc du côté cybersécurité on doit aussi exploiter autant que possible l’IA, notamment pour anticiper certains phénomènes.

Quels sont les principaux axes d’amélioration en cybersécurité ?

Face à la capacité des groupes d’attaquants à recruter, à viraliser et faire évoluer leurs techniques, il faut s’entraîner. Les procédures, c’est bien, mais disposer d’une équipe préparée, entraînée à de multiples possibilités d’attaques permet de mieux réagir en cas d’incident, et de mieux contenir : mener des stress test et évaluer la réactivité, tester les plans de reprise sur activité (se reposer sur un PRA qui n’a pas été testé représente un risque énorme).

Quels sont les challenges en matière de protection des données ?

La question de la protection des données relève de l’intérêt général, cela dépasse le cadre de l’entreprise. Si une personne est peu renseignée, peu sensibilisée à la protection des données dans sa vie personnelle, elle ne le sera pas plus au travail. Et c’est un problème, notamment avec le Bring your own device : comment s’assurer que chaque appareil entre dans le cadre de la politique de sécurité ?

Il suffit d’un smartphone infecté pour viraliser toute l’entreprise et tout bloquer pendant plusieurs semaines. En matière de cybersécurité, il ne faut pas sous-estimer les petites choses. Une autre exemple, le DNS. Est-ce que le nom de domaine principal est sécurisé, est qu’il y a une clé de chiffrement, des procédures pour empêcher le transfert ou la modification des données ? Si le nom de domaine est détourné, l’impact peut être catastrophique, notamment pour les entreprises de e-commerce.

Et concernant les données personnelles des utilisateurs ?

La question de la vie privée est également un risque à prendre en compte pour les entreprises. En France, on n’a pas la culture de la class action, il y a eu cependant des initiatives de ce type dans des pays voisins, notamment à l’encontre de Facebook/Meta, qui a pris de lourdes amendes. Les Français ont plutôt tendance à déléguer la prise en charge à un service d’état comme la CNIL, mais quand les actions de groupe vont se multiplier, ce sera un risque nouveau à prendre en compte.

Le RGPD intègre déjà ces risques, dans une certaine mesure, mais ne couvre pas tous les scénarios, et la prise de conscience grandissante des droits des individus sur leurs données personnelles. Que ce soit pour les protéger contre une exploitation commerciale, ou contre des usages plus dommageables comme l’usurpation d’identité.

En résumé : attention à l’éveil des parties prenantes. Les directives sont souvent vues comme éloignées, et les entreprises ont tendance à ne pas intégrer la logique de la directive dans leur veille. Il faut pourtant essayer de converger dans cette direction, et devancer autant que possible sa mise en application.

Concernant les cryptos, comment les réglementations vont-elles influencer les pratiques ?

MiCA (Market in Crypto Assets Regulation) qui a été publiée en avril 2023, ouvre le chemin de la régulation. Il a été complété par la directive européenne DAC08 qui met fin à la volonté d’anonymat autour des crypto-monnaies.

Les prestataires européens devront identifier leurs clients, et les Etats vont fiscaliser les cryptos. Et c’est plutôt une bonne chose, car jusque-là c’était le far-west. Mauvaise nouvelle pour les pirates, car les compagnies d’assurance vont de plus en plus faire appel à des experts cyber qui seront capables de faire du “forensics” sur les environnements blockchain et crypto. En d’autres termes, tracer les mouvements, de façon à ce que les assureurs et les autorités puissent poursuivre les pirates qui se font payer en cryptos ou qui détournent les portefeuilles d’actifs crypto (wallet).

Ce mouvement de régulation a été en partie accéléré par la chute de FTX, et on constate aux Etats-Unis une vraie volonté de poursuivre les escrocs. N’importe qui peut d’ailleurs déposer une plainte sur le site de la FTC. Il faut dire que beaucoup de plateformes sont juste des Ponzi. J’ai fait le test, et sur 19 plateformes où j’ai ouvert un compte, 17 ont disparu en trois semaines.

Donc globalement, l’écosystème est peu viable, avec beaucoup d’escroqueries, et tout cela avec un coût énergétique énorme. Les nouvelles réglementations, et celles à venir, vont structurer les pratiques et les normes, et éviteront d’augmenter considérablement la surface d’attaque, notamment sur les objets connectés. Quand les véhicules autonomes et les drones seront largement répandus, ils constitueront de nouveaux vecteurs d’attaque.

Comment mesurer l’efficacité de sa stratégie de cybersécurité et de conformité ? Quels sont les indicateurs à surveiller ?

Au quotidien, il faut suivre les activités sur le réseau, la fréquence et la répétition de certains incidents peuvent annoncer une tentative de hacking. Plus généralement, lorsqu’on revoit ses plans d’analyse de risque, il faut prendre en considération les faits majeurs de l’année passée.

Est-ce qu’on était concernés par la faille des serveurs ESX ? Si oui, et qu’il n’y a pas eu d’incident majeur pour autant, alors on doit tout de même vérifier si on est toujours robustes. Sur tel type d’infrastructure, sur tel logiciel, où en sommes-nous ? Toute la difficulté est de mener cette réflexion en continu, et faire évoluer les systèmes en conséquence.

On doit aussi se poser la question de la sensibilisation des collaborateurs aux risques cyber. Le social engineering fonctionne maintenant de façon étendu, le pirate peut aussi aller chercher l’employé dans sa sphère personnelle, et par exemple utiliser un keylogger pour voler des informations sensibles. Encore une fois, les appareils personnels présentent un risque accru : même le Président de la République a été mis sur écoute par le Maroc, parce qu’il n’avait pas utilisé son téléphone Thalès sécurisé, mais un Iphone.

Il y a encore beaucoup à faire en matière d’éducation numérique, notamment auprès des plus jeunes, qui vivront demain dans une société hyper digitalisée. Le phishing est l’attaque la plus commune depuis 20 ans, pourtant elle continue à fonctionner, donc il faut continuer à sensibiliser. Et lutter contre une certaine forme de paresse intellectuelle, en partie entretenue par les influenceurs : l’argent facile n’existe pas, et nulle part il n’est possible d’investir 1 euros pour en récolter 300. Tout demande des efforts, et la seule clé du succès, c’est la constance.

Quelles sont les principales étapes à suivre lors de la création d’un plan de réponse aux incidents ?

Pour moi il y a six étapes : 

1 – Être bien préparé, et disposer d’une équipe dédiée. On ne peut pas se permettre d’avoir un CERT low cost. Qui dit investissement low cost, dit réponse low cost.

2 – Identifier : toute la difficulté est de définir les critères qui déclenchent l’intervention d’une équipe CERT, en tenant compte des signaux faibles et des incidents mineurs.

3 – Confiner, et notamment s’assurer de l’isolation des environnements de restauration. Si ce travail a été mal fait, ça devient compliqué. C’est un sujet à revoir régulièrement dans l’année, en fonction des évolutions de l’architecture, et estimer si on tient toujours la route. Malheureusement, disposer d’un DAT à jour, c’est le point faible de nombreuses entreprises. Comment bien réagir si on connaît mal ses briques d’architecture et leurs mises à jour ?

4 – Éradiquer : lancer un processus de restauration, dupliquer l’image de tous les systèmes, et supprimer les traces malveillantes, collecter des données pour la partie post incident, et la riposte juridique si nécessaire.

5 – Bien préparer la phase de retour à la normale.

6 Les enseignements: qu’est-ce qu’on a appris de tout ça ? Se concentrer sur ce qui doit être amélioré, identifier les points où on a été moins bons

J’ajouterai que dans la logique anglo-saxonne, on associe souvent des indicateurs de ROI aux mesures de sécurité. C’est une projection, mais le calcul se base sur des éléments argumentés, pourquoi on investit dans la sécurité, et à quel niveau on se protège. Une cyber assurance est également indispensable, même si à terme, la gestion de ces contrats va devenir un casse-tête pour les assureurs.

C’est pour cela, face à l’émergence d’une cybercriminalité toujours plus organisée, qu’il est essentiel d’uniformiser les pratiques, par continent et par secteur d’activité. Si on s’en donne les moyens, on verra clairement les résultats dans les 10 années à venir, avec une industrie forte, partiellement souveraine, et des créations d’emplois.

Cependant, rappelons que quels que soient les moyens techniques, les référentiels ou la bonne volonté des tech, la problématique la plus profonde est celle du changement des organisations.