Stratégie

Gérôme Billois : « La destabilisation a été la plus grande motivation des cybercriminels en 2017 »

Retrouvez cet article dans le CIO FOCUS n°150 !

Cybersécurité : nouvelles menaces, nouvelles solutions

Les RSSI réagissent-ils aussi vite que les hackers ? Cette question est posée. Et les participants à la conférence CIO du 21 Novembre 2017 y ont répondu en présentant les meilleures pratiques.Philippe Loudenot (Fonctionnaire de Sécurité des Systèmes d'Information, Ministères Sociaux), Stéphane...

Découvrir

---

CIO a organisé une Matinée Stratégique, «Cybersécurité : nouvelles menaces, nouvelles solutions », le 21 novembre 2017, avec  l'analyse de Gérôme Billois, Partner Cybersécurité et Digital Trust au cabinet Wavestone.

Publicité« L'idée de mon intervention est de faire un état de ce qu'on voit sur le terrain coté menaces et côté évolution des réponses des CISO » note Gérôme Billois en débutant son intervention lors de la CIOnférence consacrée à la cybersécurité, le 21 novembre 2017. Ces menaces sont de plus en plus visibles mais sortent du champ de vision habituel, pour atteindre par exemple les métiers.  « Je ne vais pas vous détailler tous les points de tous les incidents, vous pouvez les retrouver dans le panorama du Clusif en début d'année, mais on a maintenant des cas très complexes à analyser ». Il faut voir quelles étaient les modalités des attaquants ? Se dire pourquoi,  dans mon organisation ou dans mon métier, je peux être attaqué et par qui ? « Donc si je regarde ces cas, cette motivation des attaquants, je vais bien identifier ce qui s'est passé ces derniers mois ».

D'abord, on remarque des attaques produites pour des raisons idéologiques. Vous voyez l'actualité en Catalogne, elle s'accompagne d'attaques des deux camps sur les institutions, espagnoles ou catalanes. Chaque conflit aujourd'hui a un pendant sur le cyberespace.  Il faut mentionner des révélations, comme celles de Wikileaks sur les attaques de la CIA. Shadow broker, dont on ignore toujours les vrais détenteurs, a mis la main sur les outils d'attaques de la CIA, des outils techniques et financiers qui produisent les plus gros incidents.

Deuxième motivation des attaquants, l'argent. Quand on va sur le terrain gérer des réponses à incident on voit que la majorité des attaques sont motivées par des questions financières. Les pirates veulent attaquer pour revendre, pour bloquer des systèmes, ou effectuer des demandes de rançons. La plus célèbre a affecté la Banque du Bangladesh, 81 millions de dollars ont été volés sur un compte détenu par cette banque centrale.

Equifax : le plus grand cas de vol de données personnelles

Le dernier cas connu est celui d'Equifax. Une société qui fait de la gestion d'informations financières sur les américains, un métier qui n'a pas d'équivalent en Europe. Il permet de dire aux banques si les particuliers sont solvables ou pas. « Ils ont réussi à perdre 145 millions d'identités d'américains, soit la moitié de la population. C'est le plus grand cas de vol de données personnelles et de données financières ».

Plusieurs points sont Incroyables dans le cas Equifax. C'est d'abord la manière dont ils ont géré une crise. Il est toujours facile de le dire, mais si vous voulez analyser ce qu'il ne fallait pas faire, c'est leur cas qu'il faut examiner. Je vous donne un exemple, au lendemain de la perte de 145 millions de comptes, le dg fait une vidéo où il dit qu'il est déçu par ce qui s'est passé. C'était beaucoup trop faible comme réponse par rapport à la gravité de l'incident.

PublicitéEnsuite, Equifax a lancé un service d'aide aux clients, pour leur proposer de surveiller leur identité et leur compte sur Internet. Sauf qu'il y avait une petite clause expliquant que si le client souscrit à ce service gratuit, il s'engage aussi à ne pas poursuivre Equifax !  « Vous imaginez le tollé !  L'attorney  général leur est tombé dessus. On continue ? Ils ont lancé un site web spécialisé pour gérer la crise, s'inscrire et trouver des informations. A chaque fois que vous avez ça, vous avez des petits malins qui font des sites proches pour capter les données. Le service communication d'Equifax a même relayé l'adresse d 'un faux site.
Une dernière ? Il y a quinze  jours, le dg a été convoqué au Sénat, deux mois après la crise, pour s'entendre demander si ses données étaient chiffrées. C'est la question °1 que posent les politiques. Le dg a répondu « je ne sais pas » ! Vous imaginez aisément l'impact sur la crédibilité de l'entreprise. »

La destabilisation de l'Ukraine a fait boule de neige

Troisième motivation, c'est celle qui a le plus attiré l'attention et déclenché les incidents majeurs. On  a parlé des élections françaises et américaines, d'attaques qui ont révélé des informations sensibles, il y a aussi l'Ukraine un pays qui se fait destabiliser par des attaques cyber a peu près tous les six mois. Vous avez  eu une coupure d'électricité suite à des attaques cyber. Une attaque Not Petya qui a touché1 500 entreprises dans le pays avant de se répandre dans le monde entier, touchant des groupes aussi célèbres que Merck ou Saint-Gobain. Ces entreprises ont été touchées uniquement parce qu'elles étaient des dégâts collatéraux de l'attaque initiale qui, tout le laisse à penser, visait l'Ukraine extrêmement mal entrainée, avec des dégâts assez incroyables.

L'exemple du laboratoire pharmaceutique Merck est marquant, ils estiment qu'ils vont perdre  620 millions de dollars suite à cette attaque, leur production est toujours impactée. Ils ont dû faire appel au stock stratégique de vaccins des Etats-Unis à la rescousse, car ils n'étaient plus capables de reproduire des vaccins en nombre suffisant, donc, on voit comment un incident cyber impacte durablement et fortement l'activité d'une entreprise.

Et puis, dernier type d'incident, on en parle depuis des années, il est devenu vraiment réel, l'attaque  sur des structures pour obtenir de nouvelles capacités d'attaques. Le cas n° 1 c'est Medoc, une société ukrainienne spécialisée dans les logiciels de comptabilité, une des deux recommandées par l'Etat pour déclarer ses impôts en Ukraine. Les attaquants ont pris le contrôle de ses serveurs pour  s'emparer du mécanisme de mise à jour, et ainsi distribuer le malware. C'était donc un canal tiers, mais extrêmement efficace pour attaquer de manière ciblée, toutes les sociétés réalisant du business en Ukraine.

Même les régulateurs sont atteints

Autre cas, celui de CCleaner, plus grand public, un système  de nettoyage d'ordinateur, lui aussi piégé en deux attaques pour viser au final de grands noms  de l'IT. Dernier cas, il plaira aux banquiers, celui de l'Autorité des marchés financiers  en Pologne (la Polish Financial Supervision Authority), ceux qui insistent beaucoup sur les règles de cybersécurité. Ce site web finalement distribuait des malwares spécifiques pour les banques de Pologne qui téléchargeaient un document infecté, ils ont réussi  à piéger 50 banques dans le pays à partir du site du régulateur.

L'observation de ces différents cas amène à se reposer la question des piliers de la cybersécurité : protéger, détecter, réagir. « Ces 3 piliers d'une stratégie de sécurité sont toujours là, on voit bien qu'il faut continuer à investir sur les basiques, mais ne pas hésiter à investir sur l'innovation, marcher sur ses deux jambes et ce n'est pas toujours, toujours, évident. »

Sur la détection, il y a eu de vrais progrès,  en 2011 c'était 500 jours en moyenne, si on regarde en 2016, c'était 100 jours, on a divisé par 5 la durée, c'est encore très long, on voit qu'il y a eu des investissements  et des progrès.  Dans les SOC des entreprises, on voit du petit ransomware, du petit incident, et finalement ça endort les équipes, dépassées quand vient un incident grave, parce que les équipes ne sont pas assez préparées.

Plus de PC, plus d'annuaire, plus de mail

« Sur la partie réponse, la capacité à réagir, on voit clairement des choses à repenser ».  C'est : je prends mon PC, j'alerte les collègues, j'envoie des emails. Pour gérer la crise, on a vu que les dernières grandes attaques comme Wanacry ou Not Petia ont amené la destruction des systèmes d'information, incapables de gérer la crise. A un moment, vous vous retrouvez avec plus rien, vous n'avez plus de PC, plus d'annuaire téléphonique, plus de possibilités d'envoyer des mails. Vous n'avez plus rien, donc, la première réaction de la cellule de crise c'est de se dire comment on fait ? C'est de basculer sur les adresses mails des collaborateurs,  de créer des groupes sur  WhatsApp, créer des sites gratuits rapidement pour communiquer  et donc ça fait perdre du temps et fait prendre d'autres risques. Je pense qu'en 2018, il faut prendre d'autres mesures, en fonction de ce qui a été observé en 2017 ».

« Quatrième pilier à ajouter à notre sens, celui de la reconstruction. Les entreprises se retrouvent avec des dizaines des milliers de PC à réinstaller, donc on a développé des stratégies de cyber-résilience, pour décider comment se remettre en route rapidement. Est-ce que je peux demander à mes collaborateurs de le faire ? Faut-il du matériel en stock et mettre en place des services de  découplage des activités internes et des activités cloud ? Faut-il autoriser le télétravail pour  le byod,  ne serait-ce  que pendant une semaine pour continuer à travailler ? On avait eu des alertes,  avec les attaques sur Sony ou Saudia Aramco, on  a eu plusieurs attaques majeures en 2017, on ne peut pas passer à côté du sujet de la destruction massive. Voilà sur la stratégie ».

Un autre sujet est une vraie révélation en 2017, selon Gérôme Billois c'est devenu un sujet de direction  générale. « Jamais on a été autant mobilisés par les directions générales, jamais on a reçu autant de questions directes ». Il y a le cas Not Petya, l'affaire Yahoo avec une perte de 350 millions d'euros lors de la revente, ces cas parlent aux directions générales, l'affaire Vinci n'a pas eu d'incident, mais a marqué et ouvert l'attention des dg.

Mesurer l'impact de ses projets de cybersécurité

Il existe deux grandes situations sur le marché. La grande majorité  des entreprises qu'il faut convaincre d'investir. C'est par le levier des incidents, le levier du benchmark, c'est assez efficace. La capacité d'écoute des dg est bien meilleure. Certaines entreprises ont déjà franchi le cap et savent mesurer l'impact de leur projet de cybersécurité. Elles ont passé les étapes, de spécifications et d'appels d'offres. Même si elles ont leur utilité, il faut déployer sur le terrain les outils et les processus et former les gens.

« Notre sentiment est que le CISO doit changer de casquette et devenir un chief investment  security officer, se mettre dans cette logique de démontrer à sa dg qu'il y a eu des investissements et qu'ils vont avoir des effets. Je ne parlerai pas du ROI de la cybersécurité, j'ouvrirai une boîte de pandore, c'est un  sujet serpent de mer. Il faut démontrer que, quand on investit, le risque diminue et derrière pour avoir cet accord de la dg il faut structurer le budget. Souvent  c'était des petits budgets, des centaines de milliers d'euros à gauche ou à droite,  des projets d'une DSI ou d'une entreprise. A  partir du moment où on va être dans un programme cohérent et une masse critique, la dg va s'y intéresser. On parle de programmes de cybersécurité quand on est sur des programmes cohérents avec des KPI claires. Les chiffres dépendent de la  structure de l'entreprise, de sa taille et du secteur d'activité. On parle de programmes à partir  du moment où on est sur plusieurs millions d'euros de budget, aujourd'hui ce qu'on voit c'est  15/20 millions d'euros et ça monte jusqu'à des  150 millions d'euros investis sur 3 ans. Quand on est sur cette tendance-là, on est capable de faire venir dans l'équipe sécurité un directeur de programmes, qui va  être capable de faire aboutir les projets,  on va voir l'ampleur que ça prend,  le « board » va appuyer".

Les grandes entreprises s'y mettent

« Vous allez dire c'est une vision théorique, pas tant que ça, on voit comment ça a démarré, 25 % des groupes du CAC 40 ont fait ce choix avec  un reporting au niveau du board. C'est clairement un progrès, si je regarde dans le rétroviseur. Depuis toutes ces années où on accompagne les entreprises, il y a un vrai changement, 75 % n'en ont pas, mais la tendance va dans la bonne direction ».

Pour conclure, Gérôme Billois insiste sur deux points. Ceux qui sont les plus avancés ont des problèmes pour faire bouger les équipes opérationnelles, en particulier les équipes opérationnelles de la DSI. « On a l'accord de la DG, on pense que tout va avancer tout seul, malheureusement on a des structures ancrées dans leurs habitudes, difficiles à bouger ». Wavestone a fait une étude sur les sites Web. « 40% de ceux qu'on a audités, à l'audit suivant, avaient des failles graves. Ce qu'on voit, c'est  souvent que ces audits ont lieu, mais les actions à la base ne sont pas réalisées. Pour moi, un des challenges dans les années à venir, sera quand une dg agit, d'avoir un suivi sur le terrain, c'est aussi une conduite du changement. Je dirai que les équipes cyber n'en ont pas forcément l'habitude ».

Second point, enfin, il faut être capable de prouver  l'efficacité de la cybersécurité. « C'est un sujet de réflexion, je ne vous dirai pas aujourd'hui que j'ai la solution, c'est quelque chose sur lequel  on réfléchit beaucoup en interne, parce que les dg une fois qu'elles ont donné de l'argent, ont  finalement vu l'avancement des projets. Mais  comment faire avec une menace qui évolue en temps réel pour être efficace ? Il y a une attente de la DG, pour qu'on lui prouve que la sécurité augmente ».

Article rédigé par

Didier Barathon, Journaliste

Partager cet article