C'est à Aix en Provence que s'est tenue le 15 mai 2019 la 2e étape des Cybermatinées Sécurité. Cet événement a été organisé par la rédaction du Monde Informatique avec le soutien en local du Clusir Paca et du CIP, et au niveau national avec le Cesin et l'AFCDP. Plus de 90 participants, en entreprises utilisatrices, ont pour l'occasion fait le déplacement pour assister à une matinée dense en contenus. Cette dernière a notamment été articulée autour de deux débats (IA et hacking éthique), d'un grand entretien avec le délégué régional de l'ANSSI en PACA Moïse Moyal ainsi qu'un zoom sur l'activité du groupe Cyber de la section de recherche de Marseille de la Gendarmerie Nationale.
Le plateau de témoins a pour cette édition était composé de Franck Chemin (CISO du Crédit Agricole Alpes Provence), Eric Odin (RSSI de TechnicAtome), Jérôme Poggi (RSSI de la ville de Marseille) ainsi que Ely de Travieso (président du Clusir PACA). Mais également Christophe Clarinard (expert et formateur IA ainsi que réserviste opérationnel) ainsi que de l'adjudant chef Patrick Quillet. Les partenaires de l'événement, Darktrace, Morphisec, RSA, Vade Secure et VMware Scala, sont également intervenus.
Plus de 80 participants sont venus assister à la première édition aixoise des Cybermatinées Sécurité qui s'est déroulée le 15 mai 2019 à l'Hôtel Renaissance. (crédit : D.F.)
L'humain pas encore remplaçable
Chez TechnicAtome, spécialisé dans la conception et les services pour centrales nucléaires (ex Areva TA) c'est une stratégie « à petits pas » qui a été mise en place concernant l'implémentation du machine learning au service de la détection avancée des menaces. Avec en particulier un cas d'usage orienté sur l'amélioration des systèmes de gestion des événements de sécurité (SIEM). « Mon retour à chaud c'est qu'il faut se méfier de ce qui est vendu par les fournisseurs, l'idée étant que l'humain dans un projet IA c'est ce qu'il y a de plus important », a fait savoir Eric Odin, RSSI de TechnicAtome.
Du côté de la ville de Marseille, plusieurs solutions d'apprentissage machine au service de la cyber sont en test, dont Darktrace, Cisco et Bitdefender, qui vont permettre d'évaluer la maturité des produits. Et si les premiers retours sont prometteurs dans la capacité de l'IA à faire remonter des comportements anormaux, une fois passée une phase d'apprentissage nécessaire mais longue, l'humain n'est pas prêt d'être totalement écarté. « L'humain ne pourra pas être totalement remplacé et on manque de personnel compétent en cyber », a souligné Jérôme Poggi, RSSI de la ville de Marseille. Un constat également partagé par Ely de Travieso, président du Clusir Paca qui a souligné les gros efforts effectués par l'écosystème, les universités et les Ecoles de la région pour palier cette faiblesse.
Consultant en intelligence économique et stratégique, également réserviste opérationnel, Christophe Clarinard a de son côté apporté un éclairage sur l'usage de l'IA et de la détection comportementale au service de la gendarmerie dans l'aide à la détection des cambriolages. « Cette analyse prédictive a permet de déjouer des cambriolages dans une zone test où les forces de gendarmerie étaient pré-positionnées », a fait savoir Christophe Clarinard. « Pour moi l'important c'est l'humain qui ne doit pas laisser la machine faire autre chose que ce que l'on lui a demandé ».
L'adjudant chef Patrick Quillet est intervenu pour présenter les missions du groupe Cyber de la section de recherche de Marseille de la Gendarmerie Nationale. (crédit : D.F.)
le bug bounty pas encore intégré à la culture de toutes les entreprises
Parmi les temps forts de la matinée, le grand entretien avec le délégué régional de l'ANSSI pour la région Paca a permis d'aborder les différents leviers d'actions de l'agence pour accompagner les entreprises dans leurs démarches de luttes contre les cyberpirates. « Nous faisons de la sensibilisation et de l'évangélisation. Nous ne venons pas en région avec une casquette d'officier d'Etat qui vient imposer une réglementation lais diffuser des messages », a indiqué Moïse Moyal. Afin d'élever le niveau de maturité cyber, qui part encore de bas en particulier dans les plus petites entreprises, un panel d'outils sont mis à leur disposition, prenant aussi bien la forme de guides, rapports que de services en ligne comme cybermalveillance.gouv.fr. « le problème souvent rencontré vient de la difficulté d'impliquer le plus haut niveau de l'entreprise au risque cyber ». Interrogé sur l'existence d'une spécificité régionale en termes de cybercrime dans la région PACA, le délégué a indiqué que les attaques sont proches voire équivalentes à celles retrouvées ailleurs, bien que davantage d'entreprises du secteur industriel soient touchées s'expliquant par leur plus forte représentativité.
Le second débat de cette cybermatinée sécurité a été consacrée au hacking éthique. « Il est dur d'avoir un bon pen testeur en interne. La solution c'est de passer par un prestataire externe en s'assurant de ses compétences et de la nécessité de le challenger », a prévenu Franck Chemin, CISO du Crédit Agricole Alpes Provence. « En premier lieu il faut faire un scan de vulnérabilité 1 fois par mois et ensuite des audits de sécurité interne à échéance plus espacée complétés par des tests de sécurité plus ou moins automatisés ». Existe-il une recette magique pour réaliser un pen test efficace ? Il s'agit avant tout d'une question d'homme et de confiance afin de s'assurer de l'intégrité de la personne mobilisée. Mais pas seulement. « Le recours à du hack éthique est très cadré chez nous, on n'est pas en mode red team pur, on a signé une convention d'audit signée entre les différentes parties afin d'encadrer juridiquement cette prestation », a précisé Eric Odin. Passer par des plateformes de bug bounty pour détecter ses failles peut s'avérer utile mais loin encore d'être vraiment intégré dans la culture des entreprises françaises, même si la maturité progresse sur ce terrain. « C'est intéressant le bug bounty mais je fais comment pour payer les primes », lance Jérôme Poggi. « Je suis régi par le code des marchés publics qui définissent un niveau de rémunération, je ne peux pas faire n'importe quoi ».
La sensibilisation par le jeu aux problématiques cyber ? Le CESI s'est penché dessus avec quelques enseignements en termes d'organisation et bénéfices. (crédit : D.F.)
Comment s'organise l'activité du groupe Cyber de la section de recherche de Marseille de la Gendarmerie Nationale ? Pour répondre à cette question, l'adjudant chef Patrick Quillet est intervenu pour dresser les grandes lignes de son activité. La formation des unités spécialisées s'avère variée, avec un parcours passant soit une licence professionnelle en alternance d’une durée de 10 semaines (5 semaines au CNFPJ de Rosny sous boie et 5 semaines à l’UTT de Troyes), ou bien via un master II durant 6 mois (Sécurité des Systèmes de l’Information) auprès de l’Université de Technologies de Troyes).
Aux seules fins de constater les crimes et les délits punis d'une peine d'emprisonnement commis par la voie des communications électroniques, et lorsque les nécessités de l'enquête ou de l'instruction le justifient, les officiers ou agents de police judiciaire agissant au cours de l'enquête ou sur commission rogatoire peuvent, s'ils sont affectés dans un service spécialisé et spécialement habilités à cette fin dans des conditions précisées par arrêté du ministre de la justice et du ministre de l'intérieur, procéder sous pseudonyme à certains actes sans en être pénalement responsables. Parmi lesquels participer à des échanges électroniques, y compris avec les personnes susceptibles d'être les auteurs de ces infractions, extraire ou conserver par ce moyen les données sur les personnes susceptibles d'être les auteurs de ces infractions et tout élément de preuve, et acquérir, après autorisation du procureur de la République ou du juge d'instruction saisi des faits, tout contenu, produit, substance, prélèvement ou service, y compris illicite, ou transmettre en réponse à une demande expresse des contenus illicites.
Ely de Travieso (président du Clusir PACA) et Yvon Defour (président d'honneur du CIP) réunis à l'occasion de la cybermatinée sécurité à Aix en Provence le 15 mai 2019. (crédit : D.F.)