Erium mieux se préparer aux attaques Cyber

Revenir aux fondamentaux : challenger les solutions Cyber et mieux se préparer aux attaques

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Arnaud LE MEN

Pour répondre au risque Cyber, les orga­ni­sa­tions ont ten­dance à empi­ler les tech­no­lo­gies de pro­tec­tion, avec une com­plexi­té opé­ra­tion­nelle sou­vent contre­pro­duc­tive. ERIUM fait le pari de tirer le meilleur de l’existant : fac­teurs tech­no­lo­giques, humains et organisationnels.

Entre­tien avec Arnaud Le Men, cofon­da­teur de l’entreprise.

Comment caractérisez-vous les enjeux auxquels font face les entreprises en matière de cybersécurité et la nature de votre approche ?

Le risque est sys­té­mique, il sera per­ma­nent avec une inten­si­té crois­sante. Les entre­prises doivent mieux se pré­pa­rer au com­bat Cyber dans une phi­lo­so­phie « Anti-Crise ». Les édi­teurs et prin­ci­paux offreurs de ser­vices ont bien sai­si le poten­tiel colos­sal de ce mar­ché. L’enjeu des entre­prises est donc de répondre à la pres­sion Cyber en pre­nant garde aux pro­messes magiques et sim­pli­fi­ca­trices face à des attaques dont la com­plexi­té est crois­sante. En une phrase : « Les courbes d’efficacité ne doivent pas décro­cher par rap­port aux courbes d’investissement ».

Notre socié­té concentre son éner­gie sur ce champs d’application : la sécu­ri­té opé­ra­tion­nelle (alias la SecOps). Ce domaine traite notam­ment de la mise en œuvre de capa­ci­tés tech­niques et l’animation de moyens humains pour faire face à des évé­ne­ments Cyber sou­vent vio­lents. Au-delà des com­pé­tences tech­niques, le trai­te­ment de nos pro­blé­ma­tiques néces­site une approche prag­ma­tique, très opé­ra­tion­nelle et une excel­lente connais­sance des modes opé­ra­toires des attaquants.

Notre quo­ti­dien consiste à for­mer et entraî­ner 3 popu­la­tions clés : les col­la­bo­ra­teurs, les experts Cyber (et leurs tech­no­lo­gies), les diri­geants et les mana­gers. In fine, l’objectif est de per­mettre à cha­cun de ces acteurs de réagir vite et effi­ca­ce­ment face à des évé­ne­ments de sécurité.

Rete­nons notamment :

  • Que les réflexes des col­la­bo­ra­teurs évitent des attaques et donc des crises,
  • Que les tech­no­lo­gies Cyber, mieux uti­li­sées et para­mé­trées, per­mettent de contrer les attaques. 90 % des attaques res­tent non détec­tées pen­dant 175 jours en moyenne : est-ce acceptable ?
  • Que des diri­geants et des res­pon­sables mieux pré­pa­rés à déci­der effi­ca­ce­ment en situa­tion de crise peuvent évi­ter l’enlisement opé­ra­tion­nel et les effets dominos.

Est-ce véritablement la mission des collaborateurs que d’éviter les attaques ?

Plus de la moi­tié des attaques a pour ori­gine une erreur ou un mau­vais réflexe : alors oui, miser sur l’apprentissage et les bons réflexes est incontournable.

Faire de chaque col­la­bo­ra­teur, expert ou non, un acteur de la sécu­ri­té n’est ni impos­sible ni contour­nable. Mais cela passe inva­ria­ble­ment par la prise de conscience des enjeux, et l’appropriation des risques sur le plan per­son­nel pour inci­ter à l’adoption des bons comportements.

Nos approches reposent sur l’idée que le col­la­bo­ra­teur doit mani­pu­ler les risques pour mieux les per­ce­voir. Nous avons donc créé une pla­te­forme web, CyberInvestigation.fr, sur laquelle les col­la­bo­ra­teurs doivent résoudre des enquêtes ludiques et immer­sives. Lors de sa pro­gres­sion sur le scé­na­rio, chaque col­la­bo­ra­teur va mettre en évi­dence des risques par­ti­cu­liers : répé­ti­tion de mot de passe, site inter­net mal sécu­ri­sé, sel­fie en télé­tra­vail avec des infor­ma­tions confi­den­tielles en fond, etc.

Depuis l’été 2020, nous avons accueilli plus de 250 000 uti­li­sa­teurs sur cette pla­te­forme et leurs retours sont excel­lents ! L’ANSSI a même mis en avant cette pla­te­forme lors du mois d’octobre de la Cyber 2021, car l’angle d’attaque est nou­veau sur le mar­ché fran­çais. Le prix des Cas d’Or de la Cyber remis en jan­vier 2021 en témoigne.

Pour mieux préparer les experts aux attaques, les approches sont forcément différentes que pour les collaborateurs. Quelle stratégie adopter ?

Nous assis­tons en ce moment à une « course à l’échalote » sur les solu­tions de sécu­ri­té avec un empi­le­ment des briques tech­niques de défense : déploie­ments d’E/XDR, de pla­te­formes d’agrégation d’alerte, de col­lec­teurs de Threat intel­li­gence, de méca­nismes de fil­trage, etc. Les experts ne doivent pas tro­quer leur vigi­lance contre les pro­messes d’automatisation des réponses Cyber.

Il faut abso­lu­ment éva­luer le ser­vice ren­du par chaque dis­po­si­tif dans ses condi­tions d’usage réelles, et la qua­li­té de la réac­tion humaine. Depuis 3 ans, nous déve­lop­pons une solu­tion nom­mée Bla­ck­noise qui repro­duit, en toute sécu­ri­té, le séquen­ce­ment tech­nique des attaques cyber sur les envi­ron­ne­ments infor­ma­tiques, afin de vali­der la capa­ci­té de l’entreprise à les voir et à les trai­ter effi­ca­ce­ment. Cette inno­va­tion unique dans le monde des « Breach & Attack Simu­la­tor » (#BAS) vient d’être pri­mée en octobre 2021 du prix de l’innovation lors de la Cyber Night, en pré­sence des prin­ci­paux RSSI et du direc­teur de l’ANSSI.

Il est désor­mais pos­sible de tes­ter l’efficacité réelle des dif­fé­rentes briques cyber, de vali­der la robus­tesse des modèles d’architecture, de confir­mer la per­ti­nence de choix tech­nique, de mesu­rer la vitesse de réac­tion des équipes cyber, etc. sans aucune prise de risque ni contrainte technique.

Enfin, mal­gré tout ce tra­vail d’anticipation, la pos­si­bi­li­té d’une crise ne peut être écar­tée. Il faut donc pré­pa­rer l’organisation à ce genre d’événements. Nous avons pu par­ti­ci­per à des crises de grande ampleur, et de ce fait nous avons béné­fi­cié d’un grand retour d’expériences sur ces sujets que nous met­tons au pro­fit des entre­prises sous forme d’entraînement et d’exercice de simu­la­tion de crise de grande ampleur.

Quelles priorités opérationnelles donnez-vous pour réduire la magnitude des attaques « réussies » du point de vue de l’attaquant ?

L’énergie doit être mise sur les fon­da­men­taux d’une défense Cyber, et en pre­mier plan la capa­ci­té à détec­ter des actions mal­veillantes : com­ment voir et qua­li­fier un évé­ne­ment anor­mal sur des infra­struc­tures infor­ma­tiques, afin d’engager des mesures de sécu­ri­té par­ti­cu­lières ? La réponse à cette ques­tion, néces­site d’avoir une par­faite connais­sance des stra­té­gies tech­niques les atta­quants et de sti­mu­ler régu­liè­re­ment les défenses face à ces attaques, jusqu’à créer une forme d’immunité cyber.

“Nous voulons faire des collaborateurs, experts ou non, les maillons forts de la sécurité.”

Pour atteindre cette immu­ni­té, la capa­ci­té de détec­tion seule ne suf­fit pas. La réac­tion défen­sive doit col­ler à la nature de l’attaque : la qua­li­té d’exécution et la vélo­ci­té des séquences de contre-mesures sont la clé. Auprès de nos clients, notre retour ter­rain acquis face aux crises Cyber les plus dures est deve­nu essen­tiel pour construire ces séquences en amont et les dérou­ler ou les adap­ter aux situa­tion de crise.

25 % des inter­ven­tions auprès de nos clients consistent à vali­der le fonc­tion­ne­ment et l’efficacité de leur orga­ni­sa­tion en matière de sécu­ri­té opé­ra­tion­nelle. Ce point est déter­mi­nant : une sécu­ri­té opé­ra­tion­nelle effi­cace repose sur la pré­pa­ra­tion et la réac­ti­vi­té de tous les acteurs de l’organisation. La notion d’entraînement per­ma­nent est un enjeu d’efficacité majeur. Cela se maté­ria­lise par des simu­la­tions d’attaque tech­niques régu­lières, des for­ma­tions et mise en situa­tion des col­la­bo­ra­teurs et des exer­cices de crises mobi­li­sant l’ensemble de la chaîne hiérarchique.

Les acteurs de la cybersécurité s’accordent pour constater un manque de ressources humaines dans le secteur. Quel regard portez-vous sur cette lacune ?

Plu­sieurs fac­teurs peuvent expli­quer cet état de fait : la bas­cule en télé­tra­vail depuis la crise Covid a ouvert la com­pé­ti­tion sur le recru­te­ment à un niveau inter­na­tio­nal, le rat­ta­che­ment à un bureau phy­sique n’étant plus un pré­re­quis. Les entre­prises fran­çaises sont donc confron­tées dans leur recru­te­ment à une com­pé­ti­tion qui n’est plus seule­ment locale. C’est un phé­no­mène qui peut assé­cher nos res­sources, ou du moins y contribuer.

Mais les res­sources humaines sont évi­dem­ment liées aux ques­tions de for­ma­tion, et relèvent aus­si d’une stra­té­gie natio­nale à mettre en place : dans le sec­teur Cyber où les com­pé­tences requises sont de haut niveau, les temps de for­ma­tion demeurent assez longs. Accé­lé­rer la for­ma­tion aujourd’hui est essen­tiel pour pré­ve­nir les besoins expo­nen­tiels de demain. À court terme, une marque employeur solide valo­ri­sant l’expertise et l’innovation per­met de s’affranchir des ten­sions du marché.


En bref

Créée en 2012, elle emploie plus de 50 sala­riés sur deux sites, Paris et Rennes. Elle mène une acti­vi­té d’expertise et d’édition de logi­ciel pour des entre­prises et administrations


Poster un commentaire