Le 10 mars 2021, la rédaction du Monde Informatique a eu le plaisir de donner le coup d'envoi à la 4e édition de son cycle de conférences Cybermatinée Sécurité. Pour la première étape, en Paca, Olivier Gosselin directeur adjoint en charge de la SSI au conseil départemental du Vaucluse, Zakaria Hadj RSSI de Pro BTP, ainsi que Alexandra Barberis avocate au barreau et vice-présidente du Clusir Paca et Guillaume goury président du CIP Med ont témoigné. Benoit Malchrowicz, co-fondateur et directeur général de la start-up locale ProHacktive.io a aussi pris la parole. Cette édition, en partenariat au niveau national avec l'Afcdp, le Cesin, le Clusif et MyFrenchStart-up ainsi qu'en local avec le Clusir Paca et le CIP Med, a par ailleurs bénéficié du soutien de Veeam, Trend Micro, Rubrik, Sophos, LogMeIn et Darktrace.
Dans cette émission, Olivier Gosselin est intervenu en tant que grand témoin pour évoquer les actions menées au sein du conseil départemental du Vaucluse en termes de protection des SI et la transition engagée entre la détection comportementale des menaces vers un centre de sécurité opérationnel. Lancé dans un schéma directeur 2021-2023, intégrant pour la première fois la cybersécurité autour de plusieurs piliers dont la gestion de crise, le département du Vaucluse est ainsi outillé avec plusieurs solutions et technologies cybersécurité.
Regarder gratuitement le replay de la Cybermatinée Sécurité Paca 2021
Le département du Vaucluse en route vers l'XDR et le SOC externalisé
« Le gros intérêt est de développer les CERT régionaux qui vont permettre de développer la réponse aux incidents, mais aussi les appels à projets et parcours avancés intéressants pour les RSSI des collectivités comme nous », a réagi Olivier Gosselin directeur adjoint en charge de la SSI du Conseil départemental du Vaucluse interrogé sur la mise en place du Plan Cybersécurité annoncé par le Président de la République. (crédit : LMI)
« Comme beaucoup de structures, nous avons été dans le passé en mode bastion pour une protection périmétrique, aujourd'hui on est en phase transitoire avec le déploiement d'un outil d'UBA pour de l'analyse comportementale au niveau des utilisateurs et un SIEM pour gérer les événements et indicateurs de sécurité ce qui a été très utile en phase de télétravail », a expliqué Olivier Gosselin. En ligne de mire : aller vers un outil d'EDR voire XDR et un SOC externalisé avec un prestataire dédié, sans pour autant se délester de toutes les compétences cyber.
A l'occasion de sa prise de parole, la rédaction de LMI a également interrogé le directeur pour connaitre son avis sur la Plan Cybersécurité annoncé au plus haut niveau de l'Etat par Emmanuel Macron qui ne le laisse manifestement pas indifférent : « Le gros intérêt est la création de CERT régionaux qui vont permettre de développer la réponse aux incidents, mais aussi les appels à projets et parcours avancés intéressants pour les RSSI des collectivités comme nous », a réagi Olivier Gosselin qui fait par ailleurs également parti d'un Club des RSSI des collectivités territoriales. « C'est un réseau d'entraide et de confiance entre collectivité autour de la cyber. Les objectifs sont multiples: favoriser la mutualisation des ressources à l'échelle d'un ou plusieurs territoires, faciliter le dialogue entre ses membres et l'ANSSI et pourquoi pas aussi avec des offres et services ».
Des moyens de défense préventive et de SIEM chez Pro BTP
« Il faut se préparer, rédiger ses procédures et les confronter au terrain et créer des scénarios d'intrusions pour voir où sont le faiblesses et les lacunes », a expliqué Zakaria Hadj, RSSI de Pro BTP. (crédit : LMI)
RSSI de Pro BTP, Zakaria Hadj a aussi pris la parole pour un retour d'expérience sur la détection d'intrusion et les mesures à prendre pour détecter et faire face à un ransomware et des tentatives sophistiquées de cybermenaces. Pro BTP est un groupe de protection sociale gérée conjointement par les entreprises et les salariés du BTP, a organisé sa sécurité autour de deux piliers : stratégique et opérationnel. Pour détecter les intrusions et lutter contre les cybermenaces qui montent en puissance, l'association mise sur une défense préventive passant notamment sur du WAF mais aussi un SIEM pour collecter des journaux d'événements et en ressortir des alertes pertinentes liées à différents cas d'usage.
« Nous avons été attaqués mais nous sommes tous attaqués. La plupart du temps on a réagi de manière très très rapide : si une machine est affectée par un virus ou ransomware des mécanismes d'automatisation sont mis en place avec du confinement machine, c'est extrêmement important pour ne pas que cela se propage », a indiqué Zakaria Hadj. Pour le RSSI, les bonnes pratiques à mettre en place sont loin d'être uniquement techniques, mais également opérationnelles. « Il faut se préparer, rédiger ses procédures et les confronter au terrain et créer des scénarios d'intrusions pour voir où sont le faiblesses et les lacunes. En 15-20mn de mise en situation on arrive à d'excellents résultats avec des quicks-wins ».
Regarder gratuitement le replay de la Cybermatinée Sécurité Paca 2021
Accompagner dans la crise pour mieux rebondir
Alors que les mesures de couvre-feu et même de télétravail viennent d'être assouplies, les premières leçons ont pu être tirées de la crise sanitaire. Notamment au niveau des clubs Clusir Paca et du CIP Med. « Nous avons créé une cyber task force en faisant appel à nos RSSI, consultants et adhérents pour avoir la capacité d'aider pour répondre à des questions, faire de la mise en relation, de l'intermédiation et faire jouer le réseau pour répondre à des problématiques en premier lieu de sécurisation du télétravail », a expliqué Alexandra Barberis, vice-présidente du CIP Paca. « On leur a imposé du jour au lendemain l'implémentation du télétravail. Pour celles victimes de cyberattaque, la mise en relation grâce à notre réseau a été déterminante pour les aider à gérer une crise à la fois sanitaire et cyber ». Et Guillaume Goury président du CIP Med d'indiquer : « Aujourd'hui le Covid a complètement bouleversé nos vies, nos modes de fonctionnement et de travail. La filière numérique est plutôt chanceuse car elle a su s'adapter rapidement face à cette pandémie et nos adhérents ont pu aider certains autres sur le télétravail. Finalement, les sociétés les plus impactées ont été celles du consulting, car les projets ont été mis en stand by. Mais maintenant les entreprises commencent à revenir sur le mode projet pour développer et commercialiser leurs produits ».