Etape historique des Cybermatinées Sécurité depuis sa création en 2018 avec Nouvelle Aquitaine, l'Auvergne Rhône-Alpes a été l'occasion de plusieurs retours d'expériences entre la rédaction du Monde Informatique et les RSSI de cette région. En l'occurrence de Vulcania avec Mickaël Gérard-Depalle, et de RCF avec Laurent Petit. Le rôle de l'équipe IT n'est pas à sous-estimer loin de là dans une crise cyber, et le témoignage d'EFI Automotiv avec son DSI Philippe Telep a bien été là pour le rappeler. De son côté, Rémy Houselstein, business manager de la start-up Hackuity, a proposé une démonstration de sa plateforme spécialisée en gestion des vulnérabilités. Cette émission a été réalisée en partenariat avec le Clusir Rhône-Alpes, l'Adira et Club 27001, mais aussi au niveau national avec l'Afcdp, le Cesin et le Clusif. Elle a par ailleurs bénéficié du soutien de Darktrace, Veeam, Trend Micro, Rubrik, Sophos, LogMeIn et VMware.
Pour cette édition, Rémi Grivel, vice-président du Clusir Rhône-Alpes, Pierre-Antoine Troubat, délégué général de l'Adira ainsi que Didier Savalle représentant du Club 27001 ont pris la parole. « Il faut arriver à aider les personnes en difficulté et ce qu'il faut faire pour se prémunir et comment les aider à repartir. Le point important c'est le retour au fonctionnement et reprendre les sauvegardes, c'est le nerf de la guerre », a notamment expliqué Rémi Grivel. A noter également William Bourgeois, membre du Club 27001 et du Clusif a eu l'occasion de partager avec Rémi Grivel sa vision de la crise sanitaire et des impacts du Covid-19 sur la sécurité des entreprises. « Tous les projets SMSI et de 27001 ont été reportés de quelques mois car le travail devait être fourni ailleurs, il a fallu passer des audits 100% en virtuel ».
Regarder gratuitement le replay de la Cybermatinée Sécurité Auvergne Rhône-Alpes 2021
A l'occasion de la cybermatinée sécurité du Monde Informatique, le RSSI de Vulcania, Mickaël Gérard-Depalle est notamment revenu sur le hack de juin 2019 qui a frappé son groupe avec le ransomware REvil alias Sodinokibi. « Pendant la nuit, on a subi une attaque dormante sur un de nos serveurs et en arrivant le matin, les serveurs et notre plan de reprise sont tombés », e expliqué Mickaël Gérard-Depalle. « La partie attaquée a été le système de caisse et les postes des utilisateurs ayant besoin d'accéder à Internet mais cela ne nous a pas empêché d'ouvrir le parc, accueillir les visiteurs dans les meilleures conditions et nous permettre de reconstruire en parallèle nos systèmes et nos postes ».
La sécurité 100% cela n'existe pas et n'existera jamais
Mickaël Gérard-Depalle intervenant sur la Cybermatinée Sécurité Auvergne Rhône-Alpes 2021. (crédit : LMI)
Et de poursuivre : « La sécurité à 100% cela n'existe pas et n'existera jamais », a indiqué le RSSI de Vulcania. « Il y a des failles dans tous les systèmes, le tout c'est de bien les corriger au fur et à mesure, appliquer les correctifs fournis par les gros constructeurs ou éditeurs d'applications, essayer de surveiller un maximum ce qui se passe sur notre réseau. Ce que l'on a mis en place surtout c'est de la pédagogie au sein de nos équipes qui sont peut être les moins sensibilisées. On sera sans doute ré-attaqué. Le principe c'est identifier très rapidement, réagir rapidement, isoler, ralentir l'attaque, reconstruire et redémarrer au plus vite son système par la suite ».
Laurent Petit, RSSI de Radio Chrétienne Francophone (RCF), est de son côté intervenu sur l'outillage et la préparation pour lutter contre les cybermenaces. La radio cultuelle RCF, constituée de bénévoles, a pour principal défi de lutter contre les cybermenaces dans un contexte financier contraint et une population d'utilisateurs loin d'être nativement sensibilisés à la sécurité informatique. « Aujourd'hui on met en place des bonnes pratiques, un socle technique. On a repris celles de l'ANSSI, un cloisonnement réseau et de la cartographie de flux cela aide beaucoup », explique Laurent Petit. « L'idée est de faire en sorte que l'attaque soit vue la plus rapidement possible pour éviter que l'assaillant s'installe et arrive par des déplacements latéraux à l'active directory ».
Laurent Petit, RSSI de Radio Chrétienne Francophone lors de la Cybermatinée Sécurité Auvergne Rhône-Alpes 2021 diffusée le 31 mars dernier. (crédit : LMI)
Les métiers doivent être prêts à affronter une crise cyber
Regarder gratuitement le replay de la Cybermatinée Sécurité Auvergne Rhône-Alpes 2021
En tant que DSI d'EFI Automotive, équipementier automobile, Philippe Telep a constaté une évolution de la demande en produits avec intelligence embarquée très sensibles en termes de cybersécurité. En termes d'organisation, un RSSI est présent dans l'équipe de la DSI pour mettre en place les briques cyber essentielles. Est-ce suffisant pour faire face à une crise cyber ? « Même si la DSI met tout en oeuvre pour réparer en temps et en heure, il faut que les métiers soient prêts et aient repérer des plan B pour être en mesure de continuer leur activité en mode dégradé. C'est un élément important pour piloter et faire face à cette crise ». Sur l'axe technique, il faut de la méthodologie et de l'analyse de risques pour savoir sur quoi agir (ISO 27005, ebios...) avec des tests sur les back-ups aussi bien que sur la redondance. « Il faut préparer une organisation avec une répartition des rôles et des tâches au niveau métier, aussi bien au niveau communication que pilotage. Se préparer c'est crucial. Et Philippe Telep d'ajouter à propos de la maturité du groupe en termes cyber, : « sur le volet technique avec l'apport du RSSI et de l'équipe informatique on a fait beaucoup de travail, sur la partie opérationnelle il y a encore des choses à faire ».
Philippe Telep, DSI d'EFI Automotive est intervenu pour un retour d'expérience consacré à la préparation de gestion de crise cyber et des moyens de sensibilisation associés. (crédit : LMI)