Erium mieux se préparer aux attaques Cyber

Revenir aux fondamentaux : challenger les solutions Cyber et mieux se préparer aux attaques

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Arnaud LE MEN

Pour répon­dre au risque Cyber, les organ­i­sa­tions ont ten­dance à empil­er les tech­nolo­gies de pro­tec­tion, avec une com­plex­ité opéra­tionnelle sou­vent con­tre­pro­duc­tive. ERIUM fait le pari de tir­er le meilleur de l’existant : fac­teurs tech­nologiques, humains et organisationnels.

Entre­tien avec Arnaud Le Men, cofon­da­teur de l’entreprise.

Comment caractérisez-vous les enjeux auxquels font face les entreprises en matière de cybersécurité et la nature de votre approche ?

Le risque est sys­témique, il sera per­ma­nent avec une inten­sité crois­sante. Les entre­pris­es doivent mieux se pré­par­er au com­bat Cyber dans une philoso­phie « Anti-Crise ». Les édi­teurs et prin­ci­paux offreurs de ser­vices ont bien saisi le poten­tiel colos­sal de ce marché. L’enjeu des entre­pris­es est donc de répon­dre à la pres­sion Cyber en prenant garde aux promess­es mag­iques et sim­pli­fi­ca­tri­ces face à des attaques dont la com­plex­ité est crois­sante. En une phrase : « Les courbes d’efficacité ne doivent pas décrocher par rap­port aux courbes d’investissement ».

Notre société con­cen­tre son énergie sur ce champs d’application : la sécu­rité opéra­tionnelle (alias la Sec­Ops). Ce domaine traite notam­ment de la mise en œuvre de capac­ités tech­niques et l’animation de moyens humains pour faire face à des événe­ments Cyber sou­vent vio­lents. Au-delà des com­pé­tences tech­niques, le traite­ment de nos prob­lé­ma­tiques néces­site une approche prag­ma­tique, très opéra­tionnelle et une excel­lente con­nais­sance des modes opéra­toires des attaquants.

Notre quo­ti­di­en con­siste à for­mer et entraîn­er 3 pop­u­la­tions clés : les col­lab­o­ra­teurs, les experts Cyber (et leurs tech­nolo­gies), les dirigeants et les man­agers. In fine, l’objectif est de per­me­t­tre à cha­cun de ces acteurs de réa­gir vite et effi­cace­ment face à des événe­ments de sécurité.

Retenons notam­ment :

  • Que les réflex­es des col­lab­o­ra­teurs évi­tent des attaques et donc des crises,
  • Que les tech­nolo­gies Cyber, mieux util­isées et paramétrées, per­me­t­tent de con­tr­er les attaques. 90 % des attaques restent non détec­tées pen­dant 175 jours en moyenne : est-ce acceptable ?
  • Que des dirigeants et des respon­s­ables mieux pré­parés à décider effi­cace­ment en sit­u­a­tion de crise peu­vent éviter l’enlisement opéra­tionnel et les effets dominos.

Est-ce véritablement la mission des collaborateurs que d’éviter les attaques ?

Plus de la moitié des attaques a pour orig­ine une erreur ou un mau­vais réflexe : alors oui, miser sur l’apprentissage et les bons réflex­es est incontournable.

Faire de chaque col­lab­o­ra­teur, expert ou non, un acteur de la sécu­rité n’est ni impos­si­ble ni con­tourn­able. Mais cela passe invari­able­ment par la prise de con­science des enjeux, et l’appropriation des risques sur le plan per­son­nel pour inciter à l’adoption des bons comportements.

Nos approches reposent sur l’idée que le col­lab­o­ra­teur doit manip­uler les risques pour mieux les percevoir. Nous avons donc créé une plate­forme web, CyberInvestigation.fr, sur laque­lle les col­lab­o­ra­teurs doivent résoudre des enquêtes ludiques et immer­sives. Lors de sa pro­gres­sion sur le scé­nario, chaque col­lab­o­ra­teur va met­tre en évi­dence des risques par­ti­c­uliers : répéti­tion de mot de passe, site inter­net mal sécurisé, self­ie en télé­tra­vail avec des infor­ma­tions con­fi­den­tielles en fond, etc.

Depuis l’été 2020, nous avons accueil­li plus de 250 000 util­isa­teurs sur cette plate­forme et leurs retours sont excel­lents ! L’ANSSI a même mis en avant cette plate­forme lors du mois d’octobre de la Cyber 2021, car l’angle d’attaque est nou­veau sur le marché français. Le prix des Cas d’Or de la Cyber remis en jan­vi­er 2021 en témoigne.

Pour mieux préparer les experts aux attaques, les approches sont forcément différentes que pour les collaborateurs. Quelle stratégie adopter ?

Nous assis­tons en ce moment à une « course à l’échalote » sur les solu­tions de sécu­rité avec un empile­ment des briques tech­niques de défense : déploiements d’E/XDR, de plate­formes d’agrégation d’alerte, de col­lecteurs de Threat intel­li­gence, de mécan­ismes de fil­trage, etc. Les experts ne doivent pas tro­quer leur vig­i­lance con­tre les promess­es d’automatisation des répons­es Cyber.

Il faut absol­u­ment éval­uer le ser­vice ren­du par chaque dis­posi­tif dans ses con­di­tions d’usage réelles, et la qual­ité de la réac­tion humaine. Depuis 3 ans, nous dévelop­pons une solu­tion nom­mée Blac­knoise qui repro­duit, en toute sécu­rité, le séquence­ment tech­nique des attaques cyber sur les envi­ron­nements infor­ma­tiques, afin de valid­er la capac­ité de l’entreprise à les voir et à les traiter effi­cace­ment. Cette inno­va­tion unique dans le monde des « Breach & Attack Sim­u­la­tor » (#BAS) vient d’être primée en octo­bre 2021 du prix de l’innovation lors de la Cyber Night, en présence des prin­ci­paux RSSI et du directeur de l’ANSSI.

Il est désor­mais pos­si­ble de tester l’efficacité réelle des dif­férentes briques cyber, de valid­er la robustesse des mod­èles d’architecture, de con­firmer la per­ti­nence de choix tech­nique, de mesur­er la vitesse de réac­tion des équipes cyber, etc. sans aucune prise de risque ni con­trainte technique.

Enfin, mal­gré tout ce tra­vail d’anticipation, la pos­si­bil­ité d’une crise ne peut être écartée. Il faut donc pré­par­er l’organisation à ce genre d’événements. Nous avons pu par­ticiper à des crises de grande ampleur, et de ce fait nous avons béné­fi­cié d’un grand retour d’expériences sur ces sujets que nous met­tons au prof­it des entre­pris­es sous forme d’entraînement et d’exercice de sim­u­la­tion de crise de grande ampleur.

Quelles priorités opérationnelles donnez-vous pour réduire la magnitude des attaques « réussies » du point de vue de l’attaquant ?

L’énergie doit être mise sur les fon­da­men­taux d’une défense Cyber, et en pre­mier plan la capac­ité à détecter des actions malveil­lantes : com­ment voir et qual­i­fi­er un événe­ment anor­mal sur des infra­struc­tures infor­ma­tiques, afin d’engager des mesures de sécu­rité par­ti­c­ulières ? La réponse à cette ques­tion, néces­site d’avoir une par­faite con­nais­sance des straté­gies tech­niques les attaquants et de stim­uler régulière­ment les défens­es face à ces attaques, jusqu’à créer une forme d’immunité cyber.

“Nous voulons faire des collaborateurs, experts ou non, les maillons forts de la sécurité.”

Pour attein­dre cette immu­nité, la capac­ité de détec­tion seule ne suf­fit pas. La réac­tion défen­sive doit coller à la nature de l’attaque : la qual­ité d’exécution et la véloc­ité des séquences de con­tre-mesures sont la clé. Auprès de nos clients, notre retour ter­rain acquis face aux crises Cyber les plus dures est devenu essen­tiel pour con­stru­ire ces séquences en amont et les dérouler ou les adapter aux sit­u­a­tion de crise.

25 % des inter­ven­tions auprès de nos clients con­sis­tent à valid­er le fonc­tion­nement et l’efficacité de leur organ­i­sa­tion en matière de sécu­rité opéra­tionnelle. Ce point est déter­mi­nant : une sécu­rité opéra­tionnelle effi­cace repose sur la pré­pa­ra­tion et la réac­tiv­ité de tous les acteurs de l’organisation. La notion d’entraînement per­ma­nent est un enjeu d’efficacité majeur. Cela se matéri­alise par des sim­u­la­tions d’attaque tech­niques régulières, des for­ma­tions et mise en sit­u­a­tion des col­lab­o­ra­teurs et des exer­ci­ces de crises mobil­isant l’ensemble de la chaîne hiérarchique.

Les acteurs de la cybersécurité s’accordent pour constater un manque de ressources humaines dans le secteur. Quel regard portez-vous sur cette lacune ?

Plusieurs fac­teurs peu­vent expli­quer cet état de fait : la bas­cule en télé­tra­vail depuis la crise Covid a ouvert la com­péti­tion sur le recrute­ment à un niveau inter­na­tion­al, le rat­tache­ment à un bureau physique n’étant plus un préreq­uis. Les entre­pris­es français­es sont donc con­fron­tées dans leur recrute­ment à une com­péti­tion qui n’est plus seule­ment locale. C’est un phénomène qui peut asséch­er nos ressources, ou du moins y contribuer.

Mais les ressources humaines sont évidem­ment liées aux ques­tions de for­ma­tion, et relèvent aus­si d’une stratégie nationale à met­tre en place : dans le secteur Cyber où les com­pé­tences req­ui­s­es sont de haut niveau, les temps de for­ma­tion demeurent assez longs. Accélér­er la for­ma­tion aujourd’hui est essen­tiel pour prévenir les besoins expo­nen­tiels de demain. À court terme, une mar­que employeur solide val­orisant l’expertise et l’innovation per­met de s’affranchir des ten­sions du marché.


En bref

Créée en 2012, elle emploie plus de 50 salariés sur deux sites, Paris et Rennes. Elle mène une activ­ité d’expertise et d’édition de logi­ciel pour des entre­pris­es et administrations


Poster un commentaire