Après Lyon le 31 mai dernier, les rédactions du Monde informatique et de CIO se sont envolées pour Bordeaux le 29 juin à l'occasion de la seconde étape de ses CyberMatinées Sécurité en région. Au programme, trois débats : « Contrer les nouvelles menaces », « La place du RSSI face au DSI, aux métiers et à la DG pour prouver son efficacité », et également « Relever le défi de la cybersécurité as a service ». Des présentations technologiques assurées par les partenaires de cet événement, Hub One, Vade Secure, Vmware-CIS Valley et Darktrace ont aussi été au menu, tout comme une session de pen test assurée par le cabinet de formation BlueCyForce.
Organisé au siège de Bordeaux Métropole, la CyberMatinée Sécurité a été l'occasion pour Guy Flament, délégué sécurité du numérique Nouvelle-Aquitaine de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) de revenir sur les cybermenaces qui ont marqué les derniers mois. « Parmi les grandes attaques qui ratissent larges on trouve toujours du spear phishing mais qui est amené en 2018 à devenir un phishing ciblé de masse grâce aux outils de bots que les pirates utilisent pour leurs actions », a expliqué Guy Flament. Egalement amené à apporter son témoignage sur la recrudescence des cyberattaques, l'adjudant-chef Jean-Christophe Fedherbe a de son côté pointé du doigt l'explosion des ransomwares et de variantes (Crysis, Zepto...) aboutissant pour les entreprises à de lourdes pertes. « On s'aperçoit que beaucoup d'entre elles n'ont pas de sauvegardes et perdent tout. Certaines n'ont même plus les éléments comptables nécessaires pour déclarer leurs impôts », a fait savoir Jean-Christophe Fedherbe. Parmi les premiers conseils distillés au cours du premier débat, Vincent Riou, CEO de l'organisme de formation Bluecyforce ainsi que Stéphane Jourdan, secrétaire général du Clusir Aquitaine, ont été à l'unisson pour porter le message qu'une politique de sécurité efficace doit d'abord et avant tout passer par une politique efficace de formation et de prévention aux risques cyber.
Faire appel au cloud c'est bien, assurer la sécurité des données par un tiers spécialisé c'est mieux
A la question de savoir comment le RSSI est en mesure de prouver son efficacité face aux DSi et aux métiers, Guy Flament a expliqué que ce dernier devait avant tout « dépasser la technique » pour arriver à faire comprendre aux organes de direction les enjeux de sécurité numérique qui sont d'abord, d'après lui, un enjeu de gouvernance. Militant pour que le responsable de la sécurité des SI siège en comité de direction, le délégué sécurité du numérique Nouvelle-Aquitaine de l'ANSSI prône un rapprochement entre DSI et RSSI pour « marcher main dans la main ». Cette formation de choc est-elle dès lors efficace pour résister à tous les vents ? Oui, à condition que de ce tandem puisse se dégager des actions, a indiqué Jean-Noël Olivier, adjoint au directeur général de la stratégie et des systèmes d'information de Bordeaux Metropole. « On va mettre en place un comité stratégique de la sécurité présidée par le président de Bordeaux Métropole [...] Avec l'augmentation de la cybermenace, il est important de faire évoluer le cadre réglementaire pour sécuriser la mutualisation des services numériques à l'échelle du territoire ». Une mutualisation des services qui va de pair, bien entendu, avec la mise en oeuvre d'une politique de gestion des données respectueuse du RGPD, comme a pu par ailleurs le souligner de son côté le DPO du CHU de Bordeaux et administrateur de l'AFCDP, Moufid Hajar.
Concernant le débat sur la sécurité as-a-service, Jean-Noël Olivier de Bordeaux Métropole a expliqué s'appuyer sur des containers sécurisés hébergés chez Thales pour sécuriser les données sensibles de son environnement Microsoft Office 365, les autres, étant dans le cloud public de Microsoft. Si à ses yeux cela ne pose pas de problème de recourir au cloud public d'un acteur américain, le représentant de l'ANSSI a réagi. « Pour sécuriser les données, qu'elles soient cloud on non, mieux vaut faire appel à des gens dont c'est le métier », a ainsi alerté Guy Flament. « Le réflexe c'est de faire appel à des personnes dédiées et agréées, des organismes et des entreprises certifiées et qualifiées ayant reçu le visa sécurité de l'ANSSI ».
Outre les débats, l'un des temps forts de la CyberMatinée Sécurité de Bordeaux du 29 juin a été la session de pen test (test d'intrusion) réalisée par Vincent Riou, CEO de l'organisme de formation BlueCyforce. Cette dernière a eu pour objectif de comprendre la mécanique d'une attaque par déni de service et vivre une simulation d'attaque de type Man in the Middle permettant à un pirate d'intercepter incognito des identifiants à l'insu de l'utilisateur. Le vecteur d'attaque mis en pratique a été celui du typosquatting. Plusieurs étapes ont été mises en avant, à savoir l'utilisation par un pirate d'un nom de domaine à l'orthographe quasi similaire à l'original avec un 0 à la place du o dans l'URL du site web d'une mairie fictive, l'exploitation d'une vulnérabilité non corrigée du site wordpress sur lequel tourne le site original de la mairie tourne jusqu'à l'interception des identifiants du maire via une redirection sur un site de phishing miroir de la mairie mais entièrement contrôlé par un pirate. Une session de pen test largement plébiscitée par les participants, et que l'on pourra retrouver lors du prochain tour de France de la rédaction du Monde Informatique en région, l'IT Tour.