Une histoire de talents - Robinson Delaugerre, Responsable Réponse à incident et investigation numérique

L’éthos de mon métier, c’est l’aide aux victimes. Faire en sorte que des sociétés qui ont été victimes d’un incident de sécurité, victimes d’actions malveillantes, puissent reprendre le contrôle et repartir.

Il y a plusieurs définitions du même mot… Un incident de sécurité, pour nous, c’est le résultat d’actions malveillantes, volontaires, de quelqu’un qui cherche à nuire.

Toute violation de sécurité numérique peut être qualifiée d’incident, mais pour moi il peut s’agir d’accidents : il peut y avoir quelque chose d’involontaire. La réponse à un accident est relativement simple. On peut intervenir auprès de celui qui a fait une erreur ou après une fraude.

Je parle d’incident quand j’ai un attaquant, quelqu’un en face qui joue contre moi. Je parle « d’agent de menace », quelqu’un qui va réagir à ce que je fais et qui va continuer à apporter de la malveillance. C’est une distinction très importante.

Oui ! On a deux grands moments dans un incident de sécurité. On a l’intrusion et la détection.

Ce premier moment de l’intrusion, c’est le moment où l’attaquant rentre chez vous. La détection, c’est le moment où vous vous en rendez compte. Et entre les deux, il y a une zone : l’attaquant est chez vous, vous ne le savez pas, il fait ce qu’il veut. Plus ça dure longtemps, plus c’est dangereux.

De l’autre côté, après la détection, il y a une même zone en miroir, c’est celle où vous savez que l’attaquant est là, mais lui ne sait pas encore qu’il est repéré : il y a là un avantage opérationnel très important. C’est le moment clef.

Oui, c’est là qu’il faut qu’on soit intelligent. Un attaquant suffisamment doué, suffisamment intéressé pour rester là où il est, il le fait. Il construit une forme d’attaque complexe à détecter et qui va lui permettre de revenir six mois après la première détection. Il revient à partir de ce qui avait été détecté en face la première fois.

Il y a beaucoup de choses que l’on peut faire dans ce moment-là.

La première chose, c’est essayer d’identifier la typologie de l’attaquant et pourquoi il est là ? Ce sont les deux premières questions : Qui est-il ? Que vient-il faire là ? Si c’est une attaque opportuniste (l’attaquant est là mais pourrait être ailleurs), on peut agir très vite, très fort. On lui fait peur en coupant tous les accès, en déployant des solutions de sécurité, en un mot : on tape fort !

Mais s’il s’agit d’une attaque complexe, intelligente, et que l’on a du mal à identifier tous les moyens de contrôle dont l’attaquant dispose, il reste à l’intérieur, et en plus, il sait qu’on est là, il sait ce que l’on a vu, les moyens dont on dispose, et ce que l’on n’a pas encore vu. L’attaquant s’en va, ou continue à cacher des éléments, prend ses précautions pour un retour futur.

Eh bien non !  C’est contre-intuitif, je sais. Chaque seconde compte pour réagir, mais cela demande une forte maturité. J’ai des clients qui me disent : face à un ransomware il faut agir au plus vite ! Mais moi, je ne vais pas courir pour éteindre le feu quand la maison a déjà brûlé, elle a déjà brûlé !

Tout dépend de la capacité à détecter tôt, mais à détecter les éléments subtils. Si je réagis dans les dix minutes, l’agent de menace n’a qu’une seule patte dans le SI, je coupe la patte, je ferme la porte, il ne rentre plus, d’accord. Mais qui ai-je repéré ? Qu’est-ce que j’ai repéré ?  

Si l’on prend l’analogie médicale qui est celle de la gangrène : on détecte l’attaque très tôt et l’on fait comme le médecin, on coupe. Dans ce cas, oui, on a une réponse rapide et nette. Il y a très peu de dégâts. Mais quelles données l’attaquant a-t-il réussi à récupérer dans ce laps de temps ? Quelle est la potentialité d’un retour par d’autres portes ? Est-ce que je réagis à T + 10 minutes ou T + 20 minutes ?

Dans les dix dernières années, ce qui s’est passé, c’est l’avènement des crypto-monnaies. Ça a été le début de la fin. Cela a permis à certains attaquants de trouver un moyen de se faire payer en prenant en otage les données des particuliers, qui plus est de façon beaucoup plus sûre pour eux. Le business-model des attaquants (non-étatiques) a été révolutionné : jusque-là, ils monétisaient leurs attaques via le vol de cartes bancaires dans des sites marchands. Mais ces entreprises étaient assez bien défendues.

Il y a quatre, cinq ans, les amateurs se sont professionnalisés et se sont retrouvés assis sur des millions en bitcoin. Mais il faut blanchir cet argent. Et c’est là que se sont montés des réseaux, que les attaquants se sont rapprochés de la criminalité organisée, et ce sont de véritables mafias de la cybercriminalité qui sont nées. On n’imagine pas qu’ils sont organisés comme des firmes, avec une hiérarchie, des équipes, des services, même un département RH !

Oui, ces attaques ne sont plus forcément ciblées lorsqu’elles sont lancées. Elles deviennent ciblées selon l’opportunité et la réponse.

Non, pas forcément. C’est purement opportuniste. Ils se trouve que les hôpitaux sont très informatisés et ne peuvent pas s’arrêter de fonctionner, donc plus vulnérables. Les attaquants entrent dans un hôpital parmi d’autres cibles, mais ils attendent le bon moment, le vendredi soir par exemple. Et puis si l’on en parle davantage, c’est parce que cela a évidemment un impact très important, c’est la continuité des soins qui est en jeu. Il y a un risque pour la santé, voire la vie des patients.

Persévérance, rigueur, curiosité et écoute/empathie.

La gestion du stress, à la fois le nôtre et celui des victimes, ainsi que le fait que nous n’avons pas le droit à l’erreur. Et c’est toute une organisation de ne pas avoir ce droit.