Cybermatinées Sécurité 2021 : exposés aux menaces, les RSSI tiennent bon

Lancé en 2018, le cycle de conférences Cybermatinées Sécurité de la rédaction du Monde Informatique en région a adopté depuis l’année dernière – crise sanitaire oblige – un format webconférence. Si la forme a changé, le fond a toujours pour objectif de vous faire partager des retours d’expérience, des cas pratiques et des démonstrations de solutions, nombreux autant que variés.

A l’occasion de cet événement, la rédaction vous propose en effet des témoignages de RSSI, DPO et responsables informatiques confrontés à des problématiques diverses en cybersécurité. Cette année, six étapes ont été programmées en région Paca, Auvergne-Rhône-Alpes, Occitanie, Hauts-de-France, Nouvelle-Aquitaine et Pays de la Loire. Pour chacune d’entre elles, les clubs d’utilisateurs régionaux cybersécurité et IT sont partenaires de l’événement qui bénéficie par ailleurs d’un soutien national avec le Cesin, le Clusif et l’AFCDP. Cloudflare, Darktrace, LogMeIn, Netskope, Rubrik, Sophos, Trend Micro, Veeam et VMware ont été les partenaires des Cybermatinées Sécurité 2021.

Zoom sur les étapes et les intervenants 

Cette année, le cycle de webconférences des Cybermatinées Sécurité a débuté le 10 mars 2021 avec une première étape en Paca en partenariat avec le Clusir Paca et le CIP Med. Olivier Gosselin, directeur adjoint en charge de la SSI au conseil départemental du Vaucluse, Zakaria Hadj, RSSI de Pro BTP, et Alexandra Barberis, avocate au barreau, ont témoigné.

Le 31 mars 2021, c’est la région Auvergne-Rhône-Alpes qui a été à l’honneur avec l’appui des clubs régionaux Clusir Rhône-Alpes, Adira et Club 27001. Parmi les retours d’expérience, vous avez pu retrouver ceux des RSSI de Vulcania (Mickaël Gérard-Depalle) et de Radio Chrétienne Francophone (Laurent Petit), mais aussi du DSI d’EFI Automotiv (Philippe Telep). Darktrace, Veeam, Trend Micro, Rubrik, Sophos, LogMeIn et VMware ont participé à cet événement.

Troisième étape en région des Cybermatinées Sécurité 2021 du Monde Informatique : l’Occitanie, le 14 avril dernier avec la Mêlée/Ocssimore et le Club 27001. Lors de cette webconférence, ont témoigné en particulier Fabrice Cartron, RSSI du groupe Cahors, Grégory Bouet, RSSI de la ville, de la métropole et du CCAS de Toulouse, Yohann Bauzil, RSSI Airbus OneWeb Satellites, ainsi que Sébastien Rabaud, RSSI d'Actia. 

Avec les Cybermatinées Sécurité 2021, LMI propose des témoignages de RSSI, DPO et responsables informatiques confrontés à des problématiques diverses en cybersécurité. (Crédit LMI)

La quatrième étape s’est déroulée le 5 mai en région Hauts-de-France avec le Clusir Nord de France et le DSI Gun. Parmi les retours d'expérience, nous vous avons proposé ceux de : Frédérick Meyer, RSSI d’Auchan Retail et membre du Cesin, Jérôme Pellois, RSSI de La Redoute, et Nicolas Bourgeois, DPO Mobivia et membre de l’AFCDP.

Le 9 juin dernier, la rédaction du Monde Informatique a diffusé son émission Cybermatinée Sécurité Nouvelle-Aquitaine. Toujours au format webconférence, cet événement était réalisé en partenariat au niveau local avec le Clusir Nouvelle-Aquitaine, Digital Aquitaine ainsi que le Club DSI Bordeaux Aquitaine. Gurvan Quenet, RSSI de l’aéroport de Bordeaux et président du Clusir Aquitaine, Cyrille Deliaire, RSSI et directeur informatique de Le Belier, Cécilien Charlot, RSSI de la banque Floa, ainsi que Jean-Baptiste Boix, son responsable fraude et cyber, ont témoigné.

Enfin, dernière étape des Cybermatinées Sécurité 2021 : Pays de la Loire, le 29 juin, avec le club ADN Ouest et son entité ADN Cyber. Luc Dufresne, RSSI d’Angers Loire Métropole, Gérard Gaston, RSSI de LNA Santé, Dominique François, membre de l’AFCDP, RSSI adjoint et DPO de l’académie de Nantes, ainsi qu’Anaïs Babin, DSI du groupe Mousset, ont partagé leurs retours d’expérience. 

Panorama des menaces : contrer les ransomwares et les cryptomineurs 

Au cours des émissions, nous avons pu dresser un panorama des menaces auxquelles les entreprises et les administrations sont confrontées. Ainsi, le géant de la distribution Auchan Retail s'avère, à l'image d'autres grands groupes, particulièrement exposé aux rançongiciels. « On est soumis à des attaques, à des incidents de sécurité et à des ransomwares », a expliqué son RSSI, Frédéric Meyer. Pour lutter et remédier, Auchan mise sur des moyens en cloud service posture management (CSPM) pour contrôler les accès. « Ce n'est pas parce que l'on est dans le cloud que l'on révolutionne la sécurité, ce n'est peut-être pas très innovant et disruptif, mais on est très attaché à la gestion des identités et des accès », a indiqué le RSSI et par ailleurs membre du Cesin. A la question de savoir où placer le curseur entre la sécurité pour des environnements cloud ou legacy, on pourrait répondre que ce qui compte avant tout ce sont les règles d'hygiène, de configuration, de patch management mises en place et ce, quelle que soit leur nature. « Pour protéger le cloud et le on premise, ce ne sont pas forcément les mêmes outils, il faut les combiner pour adresser l'un ou l'autre de ces environnements », a prévenu Frédéric Meyer.

Grégory Bouet, RSSI de la mairie de Toulouse, est quant à lui revenu sur les différentes cyberattaques subies fin 2019, dont une qui a frappé une des communes de la métropole toulousaine avec un cryptolocker. Mais ce n'est pas tout puisque Grégory Bouet a aussi dû faire face à des piratages de comptes, ainsi qu'en avril 2020 à un cryptomineur qui a visé les sites institutionnels de la collectivité et métropole de Toulouse. Une variante du ransomware Mamba a également frappé une commune de la métropole. « Nous n'avons pas un SI totalement mutualisé avec les 37 communes mais on leur offre des services notamment une plateforme SIG et d'autres outils. Ce qui a été le plus délicat à gérer c'est d'apprendre par voie de presse la cyberattaque et non pas par la commune elle-même. On a agi rapidement sur le SI en bloquant un certain nombre d'accès et en s'assurant que les comptes des agents n'aient pas été compromis, ce qui aurait pu engendrer une propagation au reste du SI », a raconté Grégory Bouet.

Les Cybermatinée Sécurité du Monde Informatique sont enregistrées dans un studio boulonnais. (crédit : LMI).

RSSI de Pro BTP, Zakaria Hadj a aussi pris la parole pour un retour d'expérience sur la détection d'intrusion et les mesures à prendre pour faire face à un ransomware ou à des tentatives sophistiquées de cybermenaces. Pro BTP, un groupe de protection sociale gérée conjointement par les entreprises et les salariés du BTP, a organisé sa sécurité autour de deux piliers : stratégie et opérationnel. Pour détecter les intrusions et lutter contre les cybermenaces, qui montent en puissance, l'association mise sur une défense préventive passant notamment sur du WAF mais aussi un SIEM pour collecter des journaux d'événements et en ressortir des alertes pertinentes liées à différents cas d'usage.

« Nous avons été attaqués mais nous sommes tous attaqués. La plupart du temps, on a réagi de manière très très rapide : si une machine est affectée par un virus ou un ransomware, des mécanismes d'automatisation sont mis en place avec du confinement machine. C'est extrêmement important pour ne pas que cela se propage », a indiqué Zakaria Hadj.

Détecter les cybermenaces : EDR, SIEM et SOC externalisés au programme

« Le gros intérêt en développant les CERT régionaux est d’accroître la réponse aux incidents, mais aussi les appels à projets et parcours avancés intéressants pour les RSSI des collectivités comme nous », a réagi Olivier Gosselin, directeur adjoint en charge de la SSI du conseil départemental du Vaucluse, interrogé sur la mise en place du plan Cybersécurité annoncé par le président de la République. (crédit : LMI)

Un autre volet des émissions a concerné la détection et l’outillage. « Comme beaucoup de structures, nous avons été dans le passé en mode bastion pour une protection périmétrique, aujourd'hui on est en phase transitoire avec le déploiement d'un outil d'UBA pour de l'analyse comportementale au niveau des utilisateurs et un SIEM pour gérer les événements et indicateurs de sécurité ce qui a été très utile en phase de télétravail », a relaté Olivier Gosselin, DSSI du conseil départemental du Vaucluse. En ligne de mire : aller vers un outil d’EDR, voire XDR, et un SOC externalisé avec un prestataire dédié, sans pour autant se délester de toutes les compétences cyber.

Parmi les autres retours d'expérience, il y a eu aussi celui de Yohann Bauzil, RSSI d’Airbus OneWeb Satellites, qui est intervenu sur plusieurs points cyber du groupe dont l'ensemble du SI a été calqué sur le modèle d'Airbus Defence & Space. « Passé depuis deux ans sur de l'EDR, il est indispensable si on regarde la complexité de la menace en devenant une brique essentielle au même titre que l'antivirus », a rappelé le RSSI. « On a intégré cette surveillance de l'EDR dans les tâches récurrentes d'une personne dédiée 100% à la sécurité. » En plus, la société s'appuie sur un SOC, couplé à une solution Darktrace, avec Airbus Cybersecurity qui propose son propre centre opérationnel de sécurité, piloté par cette filiale. A l'occasion de sa prise de parole, Yohann Bauzil a mis en avant les bonnes pratiques liées à ses exercices de gestion de crise réalisées à titre personnel mais dont les apports pour ses missions sont des plus pertinentes. « Il faut agir de façon structurée sinon on est vite submergé. En gestion de crise, on a énormément d'informations qui arrivent et il faut de la structuration », a souligné le RSSI.

De son côté Fabrice Cartron, RSSI du groupe Cahors, a témoigné sur la mise en place de la sécurité de ses liens réseaux à l'international et la mise en place d'un SOC. « Il y a trois ans, compte tenu des contraintes, on a fait le choix d'abandonner Orange, qui n'apportait pas complètement satisfaction sur les liens avec l’Asie, pour passer chez Tata Communications », a raconté Fabrice Cartron. Avec des plus grosses usines en Inde et en Chine, il était primordial pour le groupe d'avoir des liens réseaux de qualité. Avec pour corollaire en termes de gestion, la bascule d'un SOC d'Orange vers Tata. « D'un point de vue purement technique et cyber, c'est plutôt positif. On n'a pas eu d'incident sur les deux dernières années. » Pour autant si d'un point de vue métier et rapprochement des équipes ce choix se justifie, il peut poser question en termes de sécurité. « Le déploiement de la 27001 a été mené par Orange Cyberdéfense. Le SOC va monitorer le MPLS mais on a la capacité d'intervenir sur le firewall, le proxy HTTPS et on se réfère au RGPD et autres normes de sécurité.