Annoncé le 16 mars 2020 par le président de la République Emmanuel Macron, le confinement bouleverse la vie des Français et des entreprises. Compte-tenu de ces circonstances sanitaires exceptionnelles, la rédaction du Monde Informatique a tenu à maintenir l'édition 2020 de ces cybermatinées sécurité en région en adaptant toutefois son format. En un temps record, il a en effet été décidé de basculer cet événement en webconference avec d'une part un plateau pour l'animation principale, et d'autre part des interventions en très grande majorité en visioconférence et/ou audioconférence avec des intervenants locaux. Pour cette étape, interviews et retours d'expérience ont été à l'honneur en abordant des facettes variées de la cybersécurité allant des moyens de se défendre contre les cyberattaques sophistiquées en passant par les moyens de sensibilisation cyber, les freins à lever pour une application réussie du RGPD ou encore un grand entretien avec un RSSI qui compte dans la région.
Cette cybermatinée sécurité Rhône-alpine, diffusée le 1er avril 2020 (enregistrée les 26 et 27 mars 2020) sur LMI a bénéficié du soutien des clubs Adira, Clusir Rhône-Alpes, Club 27001 et Cefcys au niveau local, mais également d'autres ainsi que des partenaires institutionnels au niveau national à savoir l'AFCDP, l'ANSSI, le Cesin, le Clusif, la Gendarmerie Nationale et la Police Nationale. Pour cette édition, nous avons été ravis d'échanger avec David Garcia (directeur de la Sécurité des Systèmes d’Information de Casino), Raphaël Peuchot (membre, AFCDP et Clusir Rhône Alpes), François De Claviere (RSSI, SDIS 01), Mathieu Delaplace (délégué régional ANSSI), Aline Barthelemy (membre du Cefcys) et Jean-Marc Asensio (RSSI de la DDSP 13). Nous remercions par ailleurs les partenaires sponsors de cet événement, Darktrace, Rubrik, Veeam et VMware/Soluceo qui ont accepté également de se mobiliser en adaptant leurs présentations à ce contexte particulier.
Retrouvez le replay de la cybermatinée sécurité Auvergne Rhône-Alpes à cette adresse
La matinée s'est ouverte sur un débat consacré aux moyens de se défendre contre les cyberattaques sophistiquées avec un point régional. « Il y a deux types d'attaques ciblées ou non qui peuvent toucher toutes les entités grandes ou petites et sont attaquées par opportunité », a indiqué Mathieu Delaplace, délégué régional ANSSI. « Les grandes attaques que l'on voit aujourd'hui reposent essentiellement sur des attaques de vulnérabilités de logiciels qui ne sont pas mis en jour ou des entrées sur des messageries avec du phishing ». Afin d'attaquer les entreprises, les cyberpirates sont loin cependant d'utiliser des techniques sophistiquées mais utilisent bien souvent un simple mail pour rançonner en particulier les plus petites. Du côté du SDSI de l'Ain, a fait remonter plusieurs attaques par ransomwares : « On a eu plusieurs occurrences de malwares de type wiper de corruption de disques durs et de sites Internet et défacement de l'ensemble du type de sites car on n'était pas sur des versions récentes de logiciels et les failles ont été exploitées », a expliqué le RSSI de l'organisme, François de de Claviere. « La plus grosse protection c'est arriver à se cloisonner, ce qui est important c'est la capacité de réaction en cas d'attaque ».
Concernant la gestion des risques, en matière de TPE, l'essentiel de la prévention porte sur la nécessité de complexifier les mots de passe dans un contexte où les mises à jour de systèmes et logiciels sont bien souvent laissées de côté. « Il faut vérifier que les sauvegardes sont à jour et exploitables, on part vraiment d'une situation qui est proche de zero et on n'a pas forcément compris que l'ouverture du SI à Internet ouvre des failles et il faut s'en sécuriser et que le mot de passe est la première protection », a indiqué William Bourgeois, membre du Clusif. « La sécurité numérique n'est plus une question d’informaticien mais une problématique à prendre au niveau direction générale des établissements ».
« On est passé à la virtualisation du desktop avec une sécurisation des accès homogène », a indiqué François De Claviere RSSI, SDIS de l'Ain. (crédit : LMI)
Des attaques par bots utilisant plus de 100 000 adresses IP repoussées par Casino
Pour cette étape lyonnaise, David Garcia le directeur de la sécurité des systèmes d'information de Casino a accepté d'être le grand témoin et exposer les mécanismes et stratégie sécurité du groupe comptant 220 000 salariés dans le monde dont 80 000 en France, 1 000 magasins de proximité et des marques comme Franprix, Leader Price et le site e-commerce CDiscount. Dans ce contexte de télétravail, le groupe a pris des mesures de sécurité réseau spécifiques : « On est sur un ratio de X20 par rapport au nombre d'utilisateurs classiques », a expliqué David Garcia. « Il fallait absolument concerner un niveau de vigilance optimum sur l'ensemble de notre sécurité, pour éviter de polluer les équipes en charge sécurité, j'ai dédié deux personnes uniquement à la surveillance des alertes, veille darknet et threat intelligence pour vérifier qu'il n'y avait pas d'attaques spécifiques. Le reste de l'équipe a été affecté à la gestion des droits de 3 à 12 personnes à temps plein pendant 8 jours ».
Confronté à la multiplication de mails de phishing, en particulier orientés autour du sujet du coronavirus, le groupe Casino a vu sa surface d'attaques augmenter notamment avec des attaques opportunistes et l'accroissement « industriel » de scans de ports, des attaques ciblées sur des sites e-commerce où sont les données clients, transferts d'argent, stockage de cagnottage et des attaques agressives avec des bots utilisant plus de 100 000 adresses IP, des virus de plus en plus sophistiqués, des e-mails de phishing très bien faits. « On a vu clairement une professionnalisation forte des attaques en ce moment on s'est adapté avec deux pôles, dédié à la surveillance d'attaques ciblant nos confrères, des services de veille et amélioration continue sur tous nos systèmes d'alertes ».
« Ce qui m'importe ce n'est pas tellement d'avoir une sauvegarde, c'est de savoir la restaurer », a fait savoir David Garcia, directeur de la Sécurité des Systèmes d’Information de Casino. (crédit : LMI)
Une prise de conscience des cyberattaques encore trop faible
A l'occasion du second débat consacré à la sensibilisation cyber, Jean-Marc Asensio, RSSI de la direction départementale de la sécurité publique à Marseille, coordonne également la zone de défense Sud comprenant 21 départements. « Chaque fois qu'il y a des nouveaux arrivants de personnels de police ou administratifs, j'assure la sensibilisation auprès des utilisateurs en leur présentant les risques sur les réseaux sociaux, les habilitations qu'ils vont avoir et leur expliquer les risques encourus ». « En matière de sensibilisation, la bonne méthode c'est expliquer, mesurer, expliquer, mesurer et expliquer mesurer », insiste William Bourgeois. Et Mathieu Delaplace de poursuivre : « Pour ceux qui pensent que leur entreprise a peu d'intérêt à être ciblée par des cyberattaques il faut essayer de les approcher par tous les moyens. La prise de conscience augmente mais elle est encore trop faible ».
Pour les entreprises dans le grand bain du RGPD, plusieurs actions de sensibilisation sont également mises en place avec par exemple le déploiement de serious game spécifiques. « La sensibilisation de toute l'entreprise et en particulier de certaines populations amenées à travailler sur des données personnelles est un point critique de l'implémentation du RGPD. Cela peut se faire avec des moyens classiques type page intranet, e-learning et de la privacy notice [...] j'ai eu recours à la gamification et j'ai trouvé que cela a été un très bon outil de jeu concours en temps réel cela peut fonctionner en entreprise sur une population ciblée, IT qui ont un fort ADN gamer mais doit être adapté à l'ADN de l'entreprise et être utilisé à bon escient ». Au-delà la prévention faut-il mettre la pression sur les utilisateurs pour les contraindre à respecter les règles pour éviter que leur entreprise soit dans le viseur d'institutions comme la CNIL risquant de faire pleuvoir des amendes pour non conformité ? « Je ne crois pas beaucoup à la communication par la peur, j'évoque les amendes pour expliquer que nous ne sommes pas des paranoïaques en train de prêcher la fin du monde mais qu'il y a un réel enjeu. Je crois plus en un dialogue concerté », poursuit Aline Barthelemy.
« La sensibilisation de toute l'entreprise et en particulier de certaines populations amenées à travailler sur des données personnelles est un point critique de l'implémentation du RGPD », a expliqué Aline Barthelemy, membre du Cefcys. (crédit : LMI)
Retrouvez le replay de la cybermatinée sécurité Auvergne Rhône-Alpes à cette adresse