- Quel est le contexte de la cybersécurité en France ?
- Depuis plusieurs mois, l’équipe de réponse sur incident de CHEOPS TECHNOLOGY est de plus en plus sollicitée sur des attaques de type cryptomalware. Ce constat est partagé dans les différents bilans cyber de fin d’année comme, par exemple, dans le “Panocrim 2020” du CLUSIF. Le contexte COVID a démocratisé le télétravail et ouvert d’autres opportunités pour les attaquants. La messagerie reste le canal de compromission privilégié mais certaines attaques réussissent car beaucoup d’entreprises accusent un retard en matière de cyber-résilience ou n’appliquent pas les basiques de sécurité : pas de gestion de parc, retard sur l’application des correctifs, isolation des systèmes obsolètes, pas de surveillance à 360 des dispositifs assurant la protection périmétrique [Firewall antivirus WAF], règles d’accès trop permissives, absence de plan de secours ….
2021 sera aussi une année majeure pour le domaine de la cybersécurité comme le confirme l’actualité de ce début d’année. Nous pouvons saluer l’initiative “Cyber Campus” de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), qui prévoit de mettre en place des actions visant à fédérer la communauté de la cybersécurité et à développer des synergies entre ces différents acteurs et promouvoir l’excellence française en matière de cybersécurité.
La Division Cloud & Managed Services de CHEOPS TECHNOLOGY a depuis 2 ans mis en place un “guichet” avec la DIPJ de Bordeaux afin d’assister tous nos clients sur les démarches administratives, dès le début du constat de la cyberattaque [ex : prise d’empreinte numérique, comment formaliser un dépôt de plainte …]. Nous travaillons aussi en proximité avec la DGSI et l’ANSSI et encourageons l’ensemble de nos clients à prendre les mêmes mesures afin de mettre en place un maillage pour avoir les bons contacts au bon moment. - La cybersécurité est-elle un vecteur de confiance dans les enjeux du numérique ?
- Oui, la cybersécurité est un véritable gage de confiance vis-à-vis des investisseurs mais aussi des clients et partenaires. Les banques et assurances prennent le facteur risque cyber en compte dans leurs calculs. Quid de la recherche d’investisseurs si votre entreprise a subi une ou plusieurs cyberattaques ayant eu un impact sur votre chiffre d'affaires ? Comment vont réagir vos clients si la solution que vous leur proposez est compromise ?
Il est donc essentiel d’intégrer la sécurité dans la phase build des projets et d’instaurer le «ZeroTrust» au sein de son SI [segmentation isolation des systèmes obsolètes] mais aussi avec les partenaires. Pour certaines sociétés, la souscription à des services externes [SOC] et des solutions techniques plus en adéquation avec ces nouvelles attaques [EDR] peuvent être envisagées. Le but est d’éviter un effet domino.
Là encore, l’ANSSI propose des guides “Organiser un exercice de gestion de crise cyber”, “La cybersécurité pour les TPE/PME en douze questions”, "Agilité et sécurité numériques”. La bibliographie de l’ANSSI est riche et complète, nous n’avons plus d’excuse... - Comment se déroule le traitement d'une attaque ?
- Nous nous appuyons sur la méthodologie du NIST [National Institute of Standards and Technology] pour l’évaluation et de la gestion du risque cyber. Ce framework est largement utilisé et permet de cadrer les actions. Il y a 5 étapes nécessaires pour assurer ce cadrage :
1. Identifier : Il faut rapidement couper les accès externes du SI lors de la détection de l’attaque et isoler les actifs compromis : serveurs, postes, comptes suspects. Cette étape consiste à identifier la source de l’incident, le “patient zéro”, c’est à dire rechercher l’origine de l’attaque. Ces évaluations permettront de cartographier et identifier les impacts sur le système d’information.
2. Protéger : Installer des dispositifs/agents pour neutraliser la compromission. Vérifier l’état des derniers jeux de sauvegarde afin de préparer la reprise d’activité après sinistre. Toutes ces actions doivent s’orchestrer afin d’avoir une gestion unifiée des règles de protection.
3. Détecter : Renforcer le dispositif de défense contre les malwares/ransomwares. Contrôler l’intégrité des données et commencer à dresser des tableaux de bord et rapport pour assurer un suivi régulier.
4. Répondre : Mise en place d’une gestion des correctifs, traitement de la quarantaine des malwares partager l’information avec les instances étatiques, vérifier celle-ci auprès des équipes SOC [Security Operations Centers], CERT [Computer Emergency Response Team], CSIRT [Computer Security Incident Response Team]. L’objectif est de prendre le recul nécessaire pour construire une réponse sur incident adaptée et vérifiée par des tiers, et pas uniquement par une équipe DSI qui subit l’incident.
5. Restaurer : Il s’agit ici de l’étape de reprise d’activité après sinistre. Il faut remettre en condition opérationnelle l’ensemble du système et des activités de l’organisation. - Quel est l'accompagnement de CHEOPS TECHNOLOGY en matière de cybersécurité ?
- Le dispositif de réponse sur incident de CHEOPS TECHNOLOGY ainsi que notre catalogue de service cyber a été renforcé avec l’acquisition de la société DFI Service, à Genève, fin 2020. Cela nous permet de couvrir l’ensemble des besoins avant, pendant et après une cyber-crise.
La question n’est plus “risquons-nous d’être attaqués ? » mais « nous serons attaqués et, ce jour-là, quelle sera notre réaction et notre résilience ?». Il faut travailler sur la résilience technique et humaine.
CHEOPS TECHNOLOGY et sa filiale DFI Service proposent des services adaptés pour travailler ou renforcer la résilience des infrastructures et des équipes :
1. Accompagner et évaluer : notre expertise de haut niveau sur les infrastructures ou la partie infogérance nous permet d’être connectés aux terrains et besoins de nos clients. Nous proposons des campagnes de sensibilisation, d’audit de conformité, des exercices de tests d’intrusion par des personnes certifiées.
2. Protéger et détecter : Nous travaillons avec les leaders du marché de la cybersécurité et pouvons intégrer les dispositifs de protection périmétrique adaptés aux besoins de nos clients [WAF, IPS, Antivirus, Antispam, EDR, scan de vulnérabilité périodique …]. Pour la protection temps réel, nous avons un service SOC et une équipe de réponse sur incident permettant d’analyser rapidement les indicateurs de compromission et de remonter à nos clients une réponse sur incident claire, compréhensible et avec un plan de remédiation associé. Pour nos clients hébergés, nos certifications ISO27001 & ISO2000 permettent d’orchestrer la gestion de l’incident et, si besoin, de la cellule de crise entre les différentes équipes.
3. Proximité et partage : La répartition géographique des 13 agences de CHEOPS TECHNOLOGY permet d’assurer une relation de proximité avec nos clients et de répondre rapidement à leurs besoins. Nous sommes aussi un acteur majeur du Cloud en France, la démarche préconisée par CHEOPS TECHNOLOGY est de cartographier le portefeuille applicatif de l’entreprise pour sélectionner la bonne plateforme Cloud pour chaque application et trouver l’équilibre entre satisfaction des attentes clients et l’optimisation des coûts. C’est le principe du « just enough » : la bonne architecture technique en fonction du besoin réel [SLA]. Les analyses de notre équipe de réponse sur incident sur les failles de sécurité et leurs exploitations sont partagées via des publications sur les sites spécialisés mais aussi via une communication ciblée à destination de nos clients. Un client informé sera plus réactif pour se protéger.
