Mars 2020 a été synonyme de confinement pour la France entière. Pour la ville de Marseille, cette période s'est doublée également d'une cyberattaque d'une ampleur inédite. Aux côtés de la métropole d'Aix Marseille et d'autres villes comme Martigues et Istres, la cité phocéenne a vu son système d'information paralysé par le ransomware Mespinoza/Pysa. « Quand il y a une cyberattaque on ne s'y attend, on ne veut surtout pas y croire », nous a expliqué Jérôme Poggi, RSSI de la ville de Marseille. Cette cyberattaque qui a eu lieu le 14 mars 2020 a eu un impact considérable et constitue une crise inédite dans un contexte très particulier. « Elle est arrivée la veille du premier tour des élections municipales et du confinement. On s'en serait bien passé », raconte Jérôme Poggi.

Avant la restauration et la remise en route de son système d'information, la ville a veillé à ce qu'aucune autre charge malveillante soit prête à être redéclenchée. « On a mis un peu de temps à remonter car on a été très précautionneux, il fallait confirmer qu'il n'y avait plus d'impact particulier sur le SI », poursuit Jérôme Poggi. Suite à cette cyberattaque par ransowmware, des services ont pu tenir longtemps sans informatique comme l'Etat Civil, mais cela a été beaucoup plus compliquée pour la gestion des cimetières et des concessions et 72h ont été nécessaires pour retrouver un SI fonctionnel pour gérer ce besoin métier.

Un pare-feu applicatif cloud déployé en quelques jours

La ville de Marseille a été touchée malgré des moyens et ressources déjà mobilisés comme de la segmentation réseau interne et du firewall applicatif avec Cloud Protector de Rohde & Schwarz Cybersecurilty. « Quand on ne pense pas qu'on va être ciblé on est jamais assez préparé », glisse Jérôme Poggi. Depuis cette cyberattaque, la ville a fortement augmenté son niveau de sécurité en musclant une partie de ses défenses en profondeur, isolation d'éléments critiques et segmentation.

La solution Cloud Protector apporte du pare-feu applicatif dans le cloud et a permis à Marseille de ne plus avoir à gérer en interne toute l'infrastructure de filtrage, la surveiller et la mettre à jour. Au départ seulement quelques sites étaient protéger avec une augmentation conséquente par la suite. « C'est une solution clic and forget, on configure et on laisse faire », confie Jérôme Poggi. « On revient rarement dessus, de temps en temps pour vérifier et confirmer des règles et des paramétrages. Il n'y a pas besoin d'agent et de sondes, c'est de la redirection DNS, il y a très peu de choses à configurer ». Cloud Protector a permis d'éviter de nombreuses attaques sur les sites web de la ville de Marseille et ce malgré un contexte de confinement délicat. La mise en oeuvre de Cloud Protector s'est avérée très simple, en quelques jours, et s'est déroulée de façon transparente exception faite de quelques redirections DNS et du paramétrage lié au niveau de sécurité souhaité, les accès à bloquer et les listes blanches et noires. 

La technique au service de l'humain

La ville de Marseille ne compte pas s'arrêter en si bon chemin pour étoffer ses moyens cyber, avec le recours à centre de sécurité opérationnelle dans un futur proche. « On va avoir un appel d'offres sur un SOC externalisé, c'est quelque chose de nécessaire. On n'a pas les moyens et le temps, on a beau avoir des gens très bons techniquement à la ville de Marseille, au vu marché recruter est extrêmement compliqué donc on fait appel à de la prestation externe », explique Jérôme Poggi. Pour autant il ne s'agit pas de basculer à terme totalement vers de l'externalisation. « Le 14 mars ce qui nous a sauvé c'est la réactivité de nos équipes et quand on a de l'externalisé c'est plus compliqué. En période de crise, le temps se compte en minutes. Il suffit qu'on loupe l'information et le ticket et c'est trop tard.

L'expertise humaine en cybersécurité apparait donc essentielle aux yeux de la ville de Marseille avec une bonne répartition de charge avec l'outillage. « La technique doit être au service de l'humain et lui permettre de faire moins de tâches répétitives et perdre moins de temps », analyse Jérôme Poggi. « C'est ce que doit faire un EDR qui va faire de l'analyse comportementale et remonter des alertes à l'humain ». Avec plus de 2 000 événements de sécurité par seconde, difficile voire impossible d'en confier l'analyse à un humain. « On va pouvoir faire ressortir que la moelle de l'attaque, ce qui est important et laisser de côté les scans de masse et autres attaques qui n'ont que peu d'effets ». Les mois à venir vont être chargés en termes de projets cyber pour la ville de Marseille avec notamment la mise en place d'un Bastion (Wallix), des évolutions de la solution EDR de F-Secure, le SOC externalisé pour capitaliser dessus. Sans compter aussi l'amélioration de changements au niveau du coeur de réseau et une relation accrue avec l'Anssi.