Retour sur la Matinale Cybersécurité
Le mois de la cybersécurité est l’occasion de faire la lumière sur un sujet prégnant dans l’actualité. Avec l’expertise de professionnels de la cybersécurité en poste au sein de Naval Group et de la Gendarmerie Nationale nous avons balayé les sujets de l’anticipation d’une crise cyber puis la réaction à adopter face à une attaque.
Afin de rendre tout cela plus concret, notre formateur en cybersécurité a plongé les participants dans un jeu de rôle pour simuler une cyberattaque, le tout piloté à l’aide du cyber-range.
Jordan Grossemy, pilote et formateur en cybersécurité à la Fab’Academy partage sa définition de la cybersécurité :
Selon le baromètre1 de la cybersécurité des entreprises du CESIN, 54% des entreprises ont constaté au moins une cyberattaque lors des 12 derniers mois.
Mais qu’est-ce qu’une cyber-attaque ?
Une cyberattaque se définit comme une action volontaire, offensive ou malveillante envers un dispositif informatique destinée à provoquer un dommage aux informations et aux systèmes qui les traitent, pouvant ainsi nuire aux activités dont ils sont le support entraînant des pertes financières significatives et/ou une atteinte à l’image de l’organisation.
C’est dans ce contexte de menace très présente que la Fab’Academy a souhaité avec ses partenaires, organiser le 13 octobre un événement pour le mois de la cybersécurité afin de participer à l’effort de sensibilisation des professionnels de l’industrie.
En plus de faire de la sensibilisation, la Fab’Academy répond aux enjeux de formations au travers des formations dispensées sur le centre de Nantes avec le lancement de la première promotion du Bachelor Systèmes, Réseaux et Cybersécurité ainsi que l'ouverture à la rentrée prochaine du Mastère Architecte en Ingénierie Système, Réseaux et Sécurité.
L'accompagnement en cybersécurité à la Fab'Academy se traduit par :
- La formation initiale en apprentissage
- La formation continue de vos collaborateurs
- La prestation de conseil sur-mesure
Retour sur le contenu de la matinée :
Comment se préparer aux cyber menaces ? Intervention de Jean-Baptiste et Pascal, spécialistes de la sécurité informatique au sein de Naval Group.
Question : Les investissements pour la sécurité informatique peuvent être très lourds pour les entreprises. Selon vous, est-il possible de mesurer le retour sur investissement ?
Il existe de nombreux retours d’expériences qui nous permettent de connaître le coût d’une cyberattaque. Je pense notamment à Saint Gobain qui a subi une attaque en 2017. Cela leur a couté 257 millions d’euros, ce qui est nettement supérieur au coût nécessaire pour sécuriser son service informatique.
Pour comparaison, chez Naval Group nous avons un réseau informatique dédié sur chacun des sites industriels et cela n’a pas couté 257 millions d’euros.
De plus, on ne pense pas toujours aux coûts engendrés pour la remise en état du réseau de l’entreprise qui peut prendre jusqu’à plusieurs mois.
Une cyberattaque représente :
- Un coût financier
- Un coût pour l’image de marque
- Un coût lié à l’arrêt de l’activité
Q : Comment se compose le service sécurité informatique de votre site ?
Pascal : Nous avons 3 OSSI (officiers de sécurité des systèmes d’information), 1 RS2I (responsable systèmes d’informations industriels), des alternants et nous avons aussi un prestataire qui nous aide sur la mise en place de certaines actions.
Tous les sites de Naval Group en France sont sensiblement constitués de la même manière depuis un tournant dans la politique RH en 2018-2019 qui a décidé d’harmoniser la structuration des services sur l’ensemble des sites.
Q : Comment se passe l’accompagnement pour les alternants ?
Jean-Baptiste : L’accompagnement se fait au quotidien, nous avons un réel besoin de recrutement. Nous avons d’ailleurs eu un apprenti en BTS SIO (Service Informatique aux Organisations) qui a intégré la première promotion du Bachelor Système, Réseaux et Cybersécurité. Cette année nous avons aussi un apprenti en BTS SIO en formation à la Fab’Academy.
Il a fallu répondre à un besoin de recrutement en créant de nouvelles filières car les qualifications n’étaient pas disponibles sur le marché de l’emploi.
Pascal : Pour ma part, j’étais automaticien, j’ai un BTS mécanique et automatisme industriel puis j’ai repris mes études en informatique, j’ai donc un Master Architecte et Concepteur Informatique. Lorsque j’ai repris mes études, c’était la période des premières attaques sur les systèmes d’information industriels en 2010.
Je me suis dit qu’il y avait un réel travail au niveau des systèmes d’information industriels donc j’ai souhaité monter en compétences. On a du mal à faire communiquer un informaticien et un automaticien donc l’idée est de pouvoir comprendre les deux domaines de compétences et réussir à faire avancer les processus de manière à bien protéger tout le monde.
Jean-Baptiste : C’est vraiment important et c’est ce qui est à l’origine du recrutement de talents comme Pascal qui sont encore plus rares dans le domaine de la cybersécurité.
Et ça me permet aussi de souligner l’impulsion de la Fab’Academy qui a pour vocation de former des spécialistes de la cybersécurité sur le métier de l’informatique industrielle. Ce qui n’est pas le cas de tous les experts qui connaissent généralement les technologies de façon plus superficielle or il est nécessaire de les connaître en profondeur car nous sommes sur des technologies qui sont fermées ou opaques, c’est-à-dire que chaque constructeur possède sa propre technologie.
Par exemple dans l’IT, la bureautique et les systèmes informatiques de calculs, les durées de vie sont très courtes de 3 à 5 ans.
Dans l’OT (Operational Technology), la partie industrielle, les durées de vie sont de plusieurs décennies.
Ainsi, aujourd’hui notre enjeu c’est de protéger contre les cyberattaques des machines qui ont peut-être plus de 20ans. Il y a 20 ans ces systèmes-là n’étaient pas prêts à faire face à des cyberattaques parce qu’ils n’étaient même pas connectés à un réseau. Cela explique pourquoi on a décidé de protéger particulièrement notre outil de production et qu’on forme des personnes qui sont des spécialistes pour l’avenir parce que cela va être un enjeu de taille.
Aujourd’hui, une cyberattaque si elle aboutit peut paralyser un système physique donc pour nous c’est notre outil de production par exemple. Pour d’autres infrastructures comme un barrage hydraulique, un hôpital ou une centrale électrique par exemple, cela peut avoir des conséquences très « palpables » comme on a pu le voir récemment avec la cyberattaque d’un hôpital dans l’Essonne.
Q : Quels sont les enjeux prioritaires que vous allez mener prochainement chez Naval Group pour la sécurisation encore plus forte des systèmes d’information et systèmes industriels ?
Jean-Baptiste : L’enjeu du moment est de sensibiliser les collaborateurs sur leur empreinte numérique. Aujourd’hui, les collaborateurs n’ont pas encore conscience que leur utilisation personnelle d’internet peut avoir des conséquences sur leur environnement professionnel. C’est assez nouveau et propre à notre activité aussi parce que nous travaillons plutôt en milieu fermé. Un attaquant qui sait ce qu’il cherche va essayer de repérer sa cible en faisant du renseignement, il va identifier sa cible et la travailler c’est-à-dire qu’il va la solliciter par mail par exemple.
Ce mail ne sera plus seulement du simple hameçonnage (ou phishing) mais du harponnage (ou spear-phishing) car le contenu va intéresser particulièrement la cible ou alors le collaborateur va tout simplement être contacté directement de façon humaine.
Nous avons eu récemment des attaques de type Golden Job, c’est-à-dire que sont ciblés les collaborateurs particulièrement jeunes en alternance voire en stage. Ils sont ciblés en priorités car moins sensibilisés, et ils n’ont pas forcément de visibilité quant à leur avenir professionnel. Ces collaborateurs sont donc tentés par le job de leur rêve qui va leur être proposé, avec un salaire très attractif. Cela va fortement fonctionner pour ce type de population.
Donc pour résumer, notre enjeu prioritaire est de sensibiliser les collaborateurs pour leur expliquer que leurs activités personnelles peuvent avoir des conséquences pour l’entreprise et leur métier.
Par exemple, les colonnes de l’armée russe ont été repérées notamment parce que Waze indiquait des embouteillages. Il y a aussi eu des hackers Ukrainiens qui ont attiré des soldats à des endroits stratégiques via des sites de rencontre. Ce processus s’appelle le social engineering.
Le deuxième axe sur lequel on se concentre aujourd’hui, c’est la sécurisation de nos sous-traitants et nos partenaires. On observe que Naval Group ne va plus forcément être attaqué en frontal mais ce sont plutôt nos sous-traitants et notre écosystème qui vont être attaqués pour essayer de nous atteindre à terme. Pour certains de nos sous-traitants ce sont des TPE, PME qui ne sont pas encore attachées aux sujets de sécurisation de leur système informatique et qui seront plus vulnérables. Ainsi nos informations sensibles peuvent être atteintes.
Q : Comment sensibilisez-vous les collaborateurs notamment ?
Jean-Baptiste : Nous exposons des cas concrets que l’on retrouve dans la presse afin de montrer que cela arrive réellement et qu’une cyberattaque peut avoir des répercussions sur la chaine de logistique en autres. On éveille les consciences au fait qu’on n’utilise pas l’outil informatique comme à la maison.
La sensibilisation se fait aussi en collaboration avec les services de l’Etat dont la Gendarmerie qui est en capacité de venir sensibiliser au sein des entreprises. Lorsqu’une personne extérieure vient renforcer notre parole, cela à plus d’impact notamment sur les comités de direction. Aussi nous faisons des campagnes pédagogiques, on sollicite les collaborateurs en leur envoyant de faux mails d’attaques pour voir s’ils répondent et comment ils réagissent.
Ensuite il existe aussi des événements dits de sécurité pour les cas supérieurs lors d’événements de sécurité relevés sur certains collaborateurs. Nous les recevons pour voir ensemble comment ils peuvent éviter que cela se reproduise. Cette méthode fonctionne bien, les personnes ont tendance à davantage s’en souvenir et à en parler autour d’eux, aux collègues notamment. Cela permet d’avoir une adhésion de la part des collaborateurs.
Les réflexes à avoir face aux cyber-menaces. Interview de Jean-Marc Vignon, Chef de Section Cyber sécurité à la Gendarmerie Nationale.
Nous avons vu comment une cyberattaque se passe en interne, nous allons poursuivre avec la Gendarmerie Nationale qui va nous expliquer comment s’en sortir et quelles sont les actions à mener.
Q : Pouvez-vous nous expliquer votre rôle et vos missions ?
Jean-Marc : Je suis chef de la section opérationnelle de lutte contre les cybermenaces, dans ce cadre nous servons aussi de DSI (Direction des Systèmes d’Information) pour l’ensemble des Gendarmeries de la Loire Atlantique. Dans le cadre de la cybersécurité, nous faisons de notre mieux pour couvrir tout le spectre du domaine depuis la prévention auprès des entreprises et collectivités jusqu’au niveau répressif puisque nous appuyons les brigades de gendarmerie sur toutes les enquêtes qui nécessitent l’appui technologique.
Q : Combien de personnes constituent cette entité de lutte contre les cybermenaces ?
Jean-Marc : Nous sommes 14 dont 10 techniciens pour la partie DSI, ils font aussi de la prévention et 4 enquêteurs qui ont pour mission l’investigation dans les supports numériques. Les 14 personnes sont réparties sur le département de la Loire-Atlantique.
Q : De nombreux chiffres sont disponibles, celui faisant état que la moyenne des rançons est de 128 000€ revient particulièrement. Beaucoup d’entreprises peuvent être tentées de payer cette rançon.
Comment les entreprises victimes de cyberattaque que vous accompagnez réagissent ? Avez-vous observé une hausse constante des cyberattaques ces dernières années ?
JM : Le phénomène des cyberattaques est réellement appréhendé depuis 5 ans environ. L’augmentation des attaques est très claire. Nous avons de grandes difficultés à les recenser, notre seul moyen est de comptabiliser les dépôts de plainte. Or en moyenne, il n’y a qu’une victime de cyberattaque sur 250 qui dépose plainte. Cette donnée intègre à la fois les entreprises, les collectivités et les particuliers. Les chiffres que nous observons sont croissants mais bien en dessous de la réalité dû au trop faible nombre de dépôts de plainte.
Q : Quel est le ratio dans les dépôts de plainte entre les entreprises et les particuliers ?
JM : C’est plutôt équilibré, si j’essaie de comparer selon les différents types d’entreprises : artisans, TPE, PME, Grandes Entreprises et qu’on ajoute les collectivités et les particuliers nous arrivons environ à une répartition 15% pour chaque cible. Donc cela veut dire que les cyberattaques touchent tout le monde et que dans 90% des cas les attaquants n’ont pas de cible précise au départ, ils arrosent de leur virus et vont à la pêche aux résultats ensuite.
Q : Concrètement quelle est la mission de la Gendarmerie Nationale lorsqu’une entreprise vient déposer plainte ?
JM : Tout dépend du moment où l’entreprise vient déposer plainte.
Si elle vient une semaine après l’attaque parce que l’assureur à réclamé un dépôt de plainte, pour nous cela devient compliqué car nous n’avons plus tellement d’éléments à récupérer. Les systèmes informatiques ont été remis en service, notre action consiste alors à recueillir la plainte et remonter à la source de l’attaque si nous parvenons à récupérer des preuves numériques.
Q : Qu’est-ce qu’une preuve numérique ?
JM : Pour ce qui est du piratage informatique de manière générale, nous demandons à l’entreprise piratée si elle a identifié le patient 0, c’est-à-dire l’ordinateur qui a été la première victime. On leur demande ensuite de couper les ordinateurs du réseau de façon à stopper l’infection puis nous nous déplaçons pour récupérer la mémoire vive, celle qui est dans la rame. Nous faisons alors un dump (une copie) de cette mémoire pour récupérer le virus, l’analyser et le comparer éventuellement avec d’autres virus à l’échelle mondiale.
Il existe une coopération resserrée avec le FBI, Europol, Interpol et les polices de l’Union Européenne car un même virus peut infecter plusieurs entreprises dans différents pays.
Q : A l’échelle internationale, les compétences sont-elles égales ? Comment cela se passe-t-il ?
JM : Au sein de la coopération, il existe aussi de la formation et de la sensibilisation, nous sommes en capacité de comparer nos méthodes d’investigation. Nous nous enrichissons aussi de ces échanges et des compétences diverses.
Q : Quelles sont les différentes étapes lorsqu’une entreprise vient déposer plainte dans les bons délais ?
JM : Un dépôt de plainte, lorsqu’il est pris immédiatement, il y a une remontée des informations à la centrale et il y a un déclenchement d’une procédure qu’on essaie de rendre la plus courte possible et la moins délicate pour les entreprises. C’est-à-dire que nous nous déplaçons sur site pour tenter de récupérer les éléments de preuves numériques. Nous investiguons ensuite en essayant de laisser l’entreprise reprendre son activité classique même si cela peut nécessiter plusieurs semaines voire plusieurs mois.
Q : Quels réflexes doit avoir l’entreprise suite à une attaque ?
Jean-Marc : Le premier réflexe à avoir est d’anticiper une attaque et de définir un plan de continuité d’activité pour ne pas se faire surprendre par une attaque. Le principe est le même que les méthodes adoptées pour prévenir les incendies par exemple avec un plan défini à l’avance et des exercices réguliers de mise en situation. Il est nécessaire de définir en amont quelle communication adopter, quels services prévenir et anticiper le coût, ce sont autant de paramètres à prévoir pour se prémunir d’une éventuelle attaque. Une bonne anticipation permet de réagir plus vite et plus efficacement face à une cybermenace.
Q : Nous avons évoqué l’hôpital dans l’Essonne qui a été victime de cyberattaque. La rançon réclamée était de 10 millions d’euros, selon vous faut-il négocier avec les cyberattaquants ou payer la rançon demandée ?
Jean-Marc : Pour nous, la réponse adéquate est de ne pas payer. Cependant il est possible de se retrouver face à des fuites de données sensibles et des demandes de rançons assez exceptionnelles. Il est donc possible de faire durer les négociations le temps que l’IT se mette en marche et tente de récupérer les données qui peuvent l’être. Le risque est de se retrouver dans le cas de Corbeil-Essonnes où nous avons accepté de communiquer sur le sujet, la rançon a été diminuée à un million mais une semaine après une partie des données étaient exfiltrées. D’un point de vue général, nous recommandons de ne pas payer les rançons réclamées.
Q : Comment négocie-t-on avec des hackers ? Il s’agit d’une négociation virtuelle ou bien téléphonique ?
Jean-Marc : Oui, nous sommes en communication avec eux. Avant cela, nous avons contact avec la figure d’autorité de l’entité hackée afin de déterminer si la négociation a un intérêt et quel est l’objectif à atteindre et combien est-il prêt à payer pour l’atteinte de ces objectifs.
Encore une fois, l’objectif n’est pas uniquement d’obtenir une clé de déchiffrement mais de gagner du temps pour essayer de localiser les pirates et éviter que les données sortent sur internet. Il faut prendre en compte que les pirates ne sont pas forcément des experts techniques et sont souvent incapables de fournir une assistance technique pour pouvoir revenir à une situation d’avant attaque.
Question des participants : recommandez-vous d’héberger les données de l’entreprise sur un cloud ?
Jean-Marc : Tout dépend du lieu d’hébergement du serveur.
Les clouds les plus célèbres aujourd’hui sont Microsoft, Google et Amazon donc des serveurs hébergés aux Etats-Unis avec qui nous n’avons pas d’accord particulier, les Etats-Unis peuvent utiliser les données à leur convenance. Donc je dirai que si le serveur du cloud est à l’étranger il vaut mieux éviter le cloud
Jean-Baptiste : Pour ce qui concerne Naval Group, nous raisonnons davantage sur la sensibilité de nos données. Les données relatives aux secrets de défense ne peuvent pas être hébergées sur des clouds non souverains. Nous faisons aussi attention à nos sous-traitants en s’organisant en groupes de travail afin de voir comment ils peuvent traiter nos données sans qu’elles se retrouvent par capillarité sur des clouds étrangers.
De manière générale, il existe aussi beaucoup de clouds européens encore peu connus qui sont très performants et répondent aux législations européennes. Il est intéressant d’étudier ces options.
Le sujet de la cybersécurité vous intéresse ? A la Fab’Academy, via l'ESIAC, nous pouvons faire monter en compétences votre entreprise, et ce de plusieurs façons.
Notre offre complète d’accompagnement en cybersécurité : formation initiale, formation continue ou prestation de conseil pourra apporter les réponses nécessaires aux enjeux de cybersécurité.