CYBERSÉCURITÉ &INNOVATIONS - ÉDITION 2019 Le regard des Assises et de l'EPITA
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
CYBERSÉCURITÉ
&INNOVATIONS
ÉDITION 2019
Le regard des Assises et de l’EPITA2E ÉDITION
25 > 27 MAI 2020
MONACO
LE RENDEZ-VOUS
DE LA CONVERGENCE DES TECHNOLOGIES
Cloud Data Cyber
EPITA
2
LES ASSISESSOMMAIRE
LE BILAN EN CHIFFRES 04 - 05
LES TEMPS FORTS DES ASSISES 06 - 16
Portrait de Gérard Leymarie, Elior - Prix Spécial du Jury 2019 06
Conférence d'ouverture par Guillaume Poupard 07
VMware - Il est temps de passer à la sécurité intrinsèque 08
Atos - Quelle stratégie pour une Europe de la cybersécurité souveraine ? 09
Proofpoint - Pourquoi les cybercriminels en savent plus que vous sur vos employés ? 10
McAfee - Le dilemme de l’automatisation 10
Focus sur le Startup Corner 11
Moabi - Prix de l’Innovation 2019 12
TechLab - La coopération technologique au service de la cybersécurité 13
Trois questions à Loïs Samain, EDF Renouvelables 14
Bug Bounty - Une mécanique bénéfique pour tous 15
Au cœur du Forum avec Cybermalveillance.gouv.fr 16
THREAT INTELLIGENCE... 17 - 20
Rencontre avec Cyrille Badeau, VP Europe de ThreatQuotient 19
Atelier Kaspersky - À la poursuite du « billion dollars hacking group » 20
DÉTECTION & RÉPONSE À INCIDENT... 21 - 24
Atelier Carbon Black - Présentation de la Threat Analysis Unit 23
Rencontre avec David Grout, CTO et Directeur Technique, FireEye 24
TENDANCES TECHNOLOGIQUES... 25 - 29
Atelier Airbus - La sécurisation de l’IoT industriel 28
5G - Une technologie qui fait débat 29
Le mot de la fin par Sébastien Bombal 30CHIFFRES CLÉS DES ASSISES 2019
7 300
171
RENDEZ-VOUS
3 100 ONE TO ONE
ATELIERS ET
PARTICIPANTS
CONFÉRENCES
RSSI & DSI
DE NOUVEAUX
1 330 REPRÉSENTANTS
686 SOCIÉTÉS +41% INVITÉS
163 PARTENAIRES 54 JOURNALISTES
& BLOGUEURS
EPITA
4
LES ASSISESLES INVITÉS PAR SECTEUR
AÉRONAUTIQUE
& DÉFENSE
5% INDUSTRIE
TRANSPORTS 5% 25%
8%
COMMERCE
& DISTRIBUTION
10% 18% ASSURANCE
BANQUE
SERVICES (HORS 11% FINANCE
INFORMATIQUE) 18%
INFORMATIQUE ADMINISTRATION
MÉDIAS SERVICES PUBLICS
COMMUNICATION
LES INVITÉS PAR FONCTION
RSSI
65%
DIRECTEUR
TECHNIQUE 13%
DSI 10%
RESPONSABLE
INFRASTRUCTURE 8%
4%
RÉSEAUX ET TÉLÉCOMS
RISK MANAGERLES TEMPS FORTS DES ASSISES
Pour réussir,
le RSSI doit
être dynamique, Gérard Leymarie,
communicant
et transversal
CISO et DPO du Groupe Elior, Gérard Leymarie a remporté
« CISO et DPO du Groupe Elior
ailleurs. Et ce fut le cas. Ces huit années m’ont permis de
le Prix Spécial du Jury du Grand Prix des RSSI 2019. C’est travailler avec tous les milieux (les entreprises, les politiques,
également un ancien élève de l’EPITA. Il revient sur son les administrations) et cela m’a également apporté de
parcours et la fonction de RSSI. nouvelles compétences notamment sur la réglementation et
la conformité. Aujourd’hui, quand il faut monter un dossier
VOUS ÊTES DIPLÔMÉ DE L’EPITA (promotion 1999). d’homologation NIS par exemple, je sais faire. Grâce à cette
POURQUOI À L’ÉPOQUE AVOIR CHOISI CETTE ÉCOLE expérience à l’ANSSI, j’ai vraiment pu acquérir un profil
D’INGÉNIEUR ? multicarte.
Je cherchais une formation très opérationnelle et très EN 2018, VOUS REJOIGNEZ LE GROUPE ELIOR EN TANT
pragmatique qui soit aussi bien orientée sur la technique QUE CISO ET DPO : DES NOUVEAUX CHALLENGES ?
que sur la partie magistrale. L’EPITA répondait à ses attentes
avec ses méthodes (avec la fameuse piscine reprise depuis Oui. Il y avait une énorme marge de progression mais
par d’autres écoles, ndlr), le fait de travailler en mode projet j’ai l’opportunité de restructurer la sécurité au niveau
et en équipe. C’était peu courant dans les écoles d’ingénieur. international. Dans le futur, je voudrais m’inscrire dans
L’EPITA fut vraiment pionnière dans ce domaine. les propos de Guillaume Poupard aux Assises, « back to
basic » et « ne faites plus peur ». Ancrer les fondamentaux,
ET COMMENT ÊTES-VOUS ARRIVÉ DANS LE SECTEUR faire respecter les règles d’hygiène informatique, faire que
DE LA SSI ? la sécurité soit dans l’ADN de tous les collaborateurs. Il
est indispensable que les basiques (patch management,
C’était un sujet qui m’intéressait déjà quand j’étais à firewall, antivirus) soient intégrés dans tous les projets. Et
l’EPITA. J’avais pris une spécialisation télécoms et réseaux cela aussi bien chez nos développeurs et architectes qui
dans laquelle il y avait de la sécurité. Et d’une façon travaillent sur les applications «On premise» que pour les
générale, nous avions une bonne sensibilisation à cette projets Cloud.
problématique, à travers une approche originale, très
pratique. Après un an dans une SSII, j’ai rejoint le groupe QUE PENSEZ-VOUS DE LA FONCTION DE RSSI
Accor comme Responsable sécurité infrastructure où j’ai eu AUJOURD’HUI ?
l’occasion de travailler avec Serge Saghroune. À l’époque,
Le métier du RSSI reste lié au profil du RSSI. C’est vous qui
nous n’étions que deux pour nous occuper de la sécurité
façonnez votre poste. Et si vous en avez la volonté, vous
informatique d’un groupe international (ils sont aujourd’hui
pouvez lui donner une grande dimension. J’ai construit ma
une trentaine). Nous avons tout fait. Ce fut une excellente
place et j’ai aussi beaucoup communiqué (c’est essentiel).
formation. J’ai appris à parler au Comex, aux utilisateurs,
Par exemple, pour la protection des données, le RSSI peut
tout en restant en contact avec la partie technique. Pour
devenir le « key driver ». Aujourd’hui, chez Elior, nous faisons
moi, c’est essentiel. Durant toute ma carrière, je n’ai jamais
la différence lors des appels d’offre parce que nous avons
voulu décrocher de la technique car je veux comprendre les
été différenciants sur notre politique de traitement des
problématiques technologiques.
données personnelles et nous l’affichons sur notre site.
APRÈS L’ENTREPRISE PRIVÉE, VOUS AVEZ PASSÉ HUIT
EST-CE UN MÉTIER D’AVENIR ?
ANS À L’ANSSI. POURQUOI CE PASSAGE DANS LE
PUBLIC ? Absolument. La sécurité prend une place de plus en plus
importante dans les projets et le RSSI a un rôle important à
Par appétence et aussi pour la dimension patriotique du jouer dans l’entreprise et dans la DSI. Pour ma part, j’ai une
EPITA
poste (Gérard Leymarie est Commandant de réserve d’active vision opérationnelle de la stratégie donnée par le DSI et de
au sein de la Gendarmerie Nationale, ndlr). J’ai pensé sa mise en œuvre sur le terrain. Mais pour réussir, le RSSI
6 que je verrais un aspect métier que je ne connaitrais pas
doit être dynamique, communicant et transversal.
LES ASSISESLES TEMPS FORTS DES ASSISES
Conférence d’ouverture,
Guillaume Poupard,
Directeur Général de l’ANSSI
Vers une cybersécurité
positive
Ouvrant la 19ème édition des Assises de la Sécurité,
Guillaume Poupard, le Directeur Général de l’ANSSI s’est
d’abord voulu très solennel : « nous ne sommes pas dans Samuel Hassine, chef du bureau
une situation de guerre mais nous n’en sommes pas très analyse de la menace à l’ANSSI,
loin ». Des propos forts, portés par plusieurs constats :
d’une part des entreprises qui, face à la fréquence des présente le projet OpenCTI
cyberattaques ont le sentiment d’être devenues des victimes
de guerre. Et puis des États, de plus en plus agressifs, qui
n’hésitent pas à recourir au « cybermonde » pour menacer « La genèse d’OpenCTI est relativement simple.
voir attaquer. Dans ce contexte, le DG de l’ANSSI a insisté Depuis plusieurs années, l’ANSSI a déployé la
sur un point essentiel : s’il convient d’être vigilant et de plateforme MISP (Malware Information Sharing
prendre en compte ces questions de sécurité numérique, en Platform) et des analystes sont chargés de
revanche, il faut arrêter de faire peur. Certes, il y a un vrai lui fournir des indicateurs de compromission.
manque d’hygiène informatique de la part de la population Cependant, il n’existait pas d’outil comparable
mais la terreur ne fonctionne plus. pour référencer tous les éléments de la partie
pratique opérationnelle comme les tactiques
La solution se trouve d’abord dans la sensibilisation. Et mises en œuvre par les attaquants, les campagnes
dans la recherche de solutions adaptées à la transformation d’attaques, la victimologie, les grands acteurs et
digitale et aux besoins des entreprises. Pour ce faire, « la les attributions, jusqu’alors, le référencement de
France a des atouts » : elle a construit des bases solides et ces différents éléments se faisait à la main par
son modèle qui fait coopérer différentes entités privées et l’analyste dans les pages du wiki, dans des fichiers
publiques est l’un des plus efficaces au monde. Néanmoins, Excel ou dans des rapports conséquents en PDF.
dans la course technologique actuelle, il convient de
Il y avait donc besoin de disposer d’un outil pour
renforcer ce socle en investissant dans l’innovation. générer de la donnée structurée pouvant être
Parmi les pistes explorées pour répondre à ce besoin mise à disposition sur une plateforme consultable
d’évolution, Guillaume Poupard a annoncé la création par chacun. L’objectif est d’avoir une plateforme
d’un Campus Cyber qui réunira acteurs publics et privés, accessible à l’ensemble des métiers de la sous-
chercheurs et startups, avec pour objectif une stimulation direction des opérations pour la partie réponse
à incident et le SOC. C’est un complément à
commune afin de travailler sur des sujets essentiels comme
l’infrastructure MISP.
l’intelligence artificielle. Un autre axe suivi par l’ANSSI est
l’Open Source, car « la sécurité par l’obscurité n’est pas Le produit a été rendu Open Source le 28 juin
une voie pérenne ». Actuellement, l’Agence développe deux 2019. Nous travaillons avec le CERT de l’Union
projets Open Source : OpenCTI (voir encadré) sur la Threat Européenne afin de faire évoluer la plateforme
Intelligence et DFIR ORC une « boite à outils » constituée également en fonction de leurs besoins. D’autres
par les auditeurs de l’ANSSI à partir des réponses à incident acteurs, dont des entreprises privées rejoindront
accumulées pendant 10 ans. Comme le rappelle le Directeur peut-être à terme le projet, mais il s’agit d’un
Général, « la détection est le plus gros point faible dans le produit développé à l’ANSSI pour l’ANSSI qui
domaine de la cyber et son amélioration est prioritaire » gardera par conséquent, plus de poids dans les
avant de conclure son message par l’espoir que ces projets, prises de décisions ».
ces évolutions que l’ANSSI et tout l’écosystème porte, nous
conduisent vers une « cybersécurité positive ».LES TEMPS FORTS DES ASSISES
Keynote VMware
Il est temps de
passer à la sécurité
intrinsèque
« Une once de prévention vaut une livre de remède. » C’est en ces
termes que Rajiv Ramaswami, Chief Operating Officer Products
and Cloud Services de VMware a introduit sa keynote. Cette
citation qui provient d’un article écrit par Benjamin Franklin en
1735 évoquait la lutte contre le feu. Mais il est tout à fait réaliste
de faire une analogie entre celle-ci et la cybersécurité car le
principe reste le même : pour le feu, ce sont les personnes et les
équipements qu’il faut protéger ; pour la cybersécurité, ce sont
les applications et les données. En poursuivant l’analogie, on
comprend que l’anticipation d’un événement redouté est la clé
pour éviter que cet événement se produise.
Le problème de la cybersécurité est d’être très réactive et aussi
fortement cloisonnée. Les environnements IT actuels sont en
effet composés de différentes technologies et applications
interconnectées, apportant chacune son ensemble d’outils et de
politiques de sécurité. Un défaut de configuration peut donc créer
une faille susceptible de compromettre l’écosystème global. Pour
Rajiv Ramaswami, il est indispensable de changer de paradigme :
passer à un modèle de sécurité intégrée, devenir proactif et enfin
basculer d’un modèle en silo à un modèle plus harmonisé.
Mais la mise en place d’une sécurité intrinsèque ne consiste pas
en l’ajout de bouts de sécurité sur chaque élément du SI. Elle
doit devenir partie intégrante de l’infrastructure. Pour le COO de
VMware cela passe par la sécurisation de plusieurs éléments :
le workloads, le réseau, l’endpoint et l’identité des utilisateurs.
Les méthodes de défense étant différentes pour chaque élément.
Ainsi pour les workloads, la virtualisation va permettre de
garantir une meilleure flexibilité et une plus grande isolation des
postes de travail et des applications. Concernant la sécurisation
du réseau, il est commun de voir des protections “Nord-sud”
protégeant l’infrastructure de l’extérieur. Mais une approche
différente, la protection “Est-ouest”, permet un cloisonnement
Rajiv Ramaswami, des applications afin d’éviter la propagation d’une attaque en
suivant le principe du moindre privilège. Enfin, concernant la
Chief Operating Officer sécurité des endpoints utilisateurs, il faut vérifier trois points : le
niveau de confiance du périphérique, l’identité de l’utilisateur et
les droits d’accès aux applications.
En conclusion de ses propos, Rajiv Ramaswami, insiste sur le fait
que pour avoir une infrastructure sécurisée, il est indispensable
que les différentes équipes de sécurité communiquent entre
EPITA
elles.
8
LES ASSISESLES TEMPS FORTS DES ASSISES
Keynote Atos les intérêts stratégiques des différents pays.
Pour Coralie Héritier, Directrice Générale d’IDnomic, et Alexis
Caurette, Vice-président d’Atos Cybersecurity Products, la
Quelle stratégie montée de l’Europe en matière de cybersécurité possède
pour une Europe
une deuxième facette : celle d’une action stratégique dans un
contexte de guerre économique. Cette guerre économique
se constate aujourd’hui à travers l’augmentation et la
montée en intensité des attaques cyber sur les entreprises
de la cybersécurité comme sur les organismes publics.
souveraine Enfin, le troisième aspect de ce besoin de constituer une
Europe de la sécurité est géopolitique. L’exploitation de lois
et puissante ? extraterritoriales comme le Cloud Act est un sujet critique
car il permet au gouvernement américain d’exploiter ainsi
l’hégémonie digitale développée sur son territoire comme
levier sur l’Europe. Pour les deux intervenants, il est donc
En 2018, l’Union Européenne (UE) lançait le programme urgent de reprendre le contrôle de la donnée en Europe.
Digital Europe. L’objectif de ce programme - pour lequel Si la difficulté est d’équilibrer la souveraineté numérique de
l’UE s’est engagée à investir 9,2 milliards d’euros entre chaque pays et l’autonomie stratégique européenne, il est
2021 et 2027 - est le développement d’une Europe toutefois possible de tirer parti de la diversité européenne
digitale forte ainsi qu’une industrie digitale capable en coordonnant les savoir-faire des différents États membres
d’assurer une certaine autonomie et souveraineté et en se dotant d’une capacité de lobbying suffisamment
européenne. puissante.
Des réglementations ont déjà vu le jour dans ce sens, Quant au financement, il convient de réfléchir à la manière
comme le RGPD, la directive NIS ou le Cybersecurity Act. de mieux accompagner les sociétés à l’international et
Ces contraintes réglementaires sont nécessaires pour de pousser au développement de pépites technologiques
accompagner la politique industrielle et apporter de européennes. Une solution pourrait être la disposition d’un
nouveaux services de confiance aux utilisateurs. Mais budget cybersécurité en Europe, à l’image des budgets qui
elles sont complexes à mettre en place. Il faut en effet existent déjà en matière d’innovation.
gérer à la fois l’alignement européen sur la question et
Alexis Caurette, Vice-président
d’Atos et Coralie Héritier,
Directrice Générale d’IDnomicLES TEMPS FORTS DES ASSISES
Keynote McAfee
Candace Worley
Chief Technical Strategist
Le dilemme de
l’automatisation
De nos jours, l’automatisation est encore peu utilisée dans
le domaine de la sécurité pour des tâches complexes. C’est
le constat que Candace Worley, responsable technique
Keynote Proofpoint
et stratégie et vice-présidente chez McAfee, a dressé
lors de sa keynote des Assises. Elle souligne que les
organisations automatisent les petites tâches comme celles
Ryan Kalember de la vérification, mais restent encore sceptiques quant à
Cybersecurity Strategist l’automatisation à grande échelle impliquant un contrôle
plus important des ressources. L’absence d’une supervision
Pourquoi les humaine fait craindre les conséquences d’une erreur. Mais
face à l’explosion du crime cyber, à l’augmentation des
cybercriminels données de surveillance, au manque d’experts cyber, les
entreprises doivent impérativement changer de paradigme.
L’automatisation à plus grande échelle et pour des tâches
en savent plus que vous plus complexes devient indispensable. Ainsi associer un
expert pour traiter les résultats des systèmes automatisés de
sur vos employés ? traitement de données (à base d’IA) permet de prendre des
décisions stratégiques tout en offrant la possibilité de vérifier
les résultats du traitement des données.
Lors de sa keynote, Ryan Kalember, Vice-Président Exécutif et
expert cybersécurité chez Proofpoint a souhaité démontrer
qu’aujourd’hui les cyberattaques s’appuient davantage
sur le leurre des victimes que sur l’exploitation technique
des vulnérabilités. Et, bien que 93% des brèches soient
des attaques ciblant spécifiquement des personnes (et
96% de ces attaques se faisant via un email), le budget
accordé à la sécurisation des courriels ne représente que
8% du budget total contre 62% accordés à la sécurisation
du réseau. Mieux comprendre la cible humaine est donc
crucial pour contrer les menaces. Cela passe avant tout par
l’identification des “VAP” (Very Attacked People) qui ont des
accès privilégiés comme les CEO, CFO, Country Manager…
Une fois repérées, ces cibles doivent être soumises à des
contraintes de sécurité particulières : vérification antivirale
plus approfondie des emails ; authentifications à plusieurs
facteurs obligatoires ; participations à des sessions de
sensibilisation spécifiques en fonction des vulnérabilités
qu’elles peuvent générer… Ryan Kalember conclut en
EPITA
expliquant que la sécurité centrée sur l’Homme est une
10 fantastique opportunité pour les équipes de sécurité de
s’engager davantage auprès du business.
LES ASSISESLES TEMPS FORTS DES ASSISES
Focus sur le
Startup
Corner de potentielles fuites de données. La solution est également
capable de faire des recherches sur le deep et le dark web
(à travers les forums), sur les espaces de stockage dans le
cloud, sur les bases de données et sur les objets connectés.
Le Startup Corner fait partie des innovations lancées pendant Chaque fuite est dotée d’un score permettant de déterminer
les Assises 2019. Des jeunes sociétés représentatives du la gravité des données ayant fuitées. CybelAngel propose
dynamisme du secteur de la cybersécurité ont eu l’occasion également un outil d’aide à la remédiation
de présenter leur solution technologique lors d’un elevator
pitch dédié. ZOOM sur 5 d’entre elles. Weakspot développe une solution SAAS permettant de
cartographier l’exposition externe d’une entreprise du point
Avec plus de dix ans d’expérience dans le domaine de vue d’un attaquant et ainsi de compléter la vision du
de la cybersécurité, les experts de chez Harfanglab RSSI . Une fois ces expositions détectées, des contrôles sont
ont présenté aux Assises leur logiciel EDR (Endpoint réalisés selon la problématique du client : application de la
Detection and Response). Une solution ouverte, capable de PSSI ou vérification des dernières vulnérabilités. Pour lancer
s’interconnecter avec des outils de threat intelligence, des l’analyse, la solution peut travailler à partir d’une adresse
sandbox et une sonde qualifiée. La solution a été conçue mail, d’une adresse IP ou d’un nom de domaine.
afin d’être capable de dialoguer avec des SIEM ou des
SOAR. Cette plateforme unique permet une détection plus La plateforme de Tehtris a pour objectif de couvrir
sure, une investigation poussée pour réduire le temps de les différents pans de la cybersécurité en entreprise
qualification des alertes et donne la possibilité de remédier (gouvernance, détection, protection et réaction). Il s’agit
instantanément à la menace sur l’ensemble du parc infecté. d’une interface unifiée qui s’appuie sur une base de
données d’alertes de sécurité et sur des connaissances
Reachfive propose une solution SAAS de gestion de des bases de CTI utilisant des mécanismes d’apprentissage
l’identité client qui répond au besoin des utilisateurs finaux évolués. Cette interface permet de suivre des alertes entre
de décliner toute ou partie de leur identité afin d’ accéder à les acteurs via des outils de ticketing mais également de
des services. Les utilisateurs peuvent se connecter sans mot chasser les anomalies et d’y remédier. La startup met à
de passe via des technologies biométriques, du SSO ou des disposition six environnements : un SIEM orienté dans la
authentifications multifacteurs. Cette fédération des identités détection, un EPP (Endpoint Protection Platform) antivirus,
permet de prouver une identité ou de s’assurer de celle-ci. un EDR avancé mêlant l’euristique, le sandboxing et l’IA, une
Une des utilisations possibles est de réunir l’ensemble des protection des terminaux mobiles, des HoneyPot et la mise
consentements pour le RGPD. en place de sondes anti-infection.
CybelAngel propose une solution de détection des fuites
d’informations qui permet de scanner toutes les couches Le Startup Corner accueillait également les
d’internet (clear web, Github, Pastebin,Twitter) à la recherche
sociétés Digitemis, Allentis et SeclabLES TEMPS FORTS DES ASSISES
Moabi, Prix de
L’analyse et le test des binaires permet de cartographier
(mapping) les forces et faiblesses sécurité d’un logiciel ou
un firmware complet. Cette cartographie permet également
l’Innovation 2019 d’identifier les différences entre 2 versions d’un même
logiciel pour augmenter progressivement son niveau de
sécurité.
En plus de ces 5 métriques, résumées par un meta-indicateur
Vainqueur du Prix de l’Innovation des Assises 2019, Moabi, présentant le niveau globale de sécurité « la surface de
propose une plateforme SaaS qui effectue des audits de défense » Moabi évalue également :
sécurité de logiciel automatisés.
> La criticité d’un binaire au sein du logiciel, selon
Cette plateforme issue de plus de huit ans de réflexion et ses accès privilégiés (root/administrateur etc...), pour
de deux ans de développement a été créée à la suite de identifier les binaires à corriger en priorité si leur surface
cette constatation : « Il y a un manque de tests d’intrusion de défense est trop faible
réalisés sur le software, les dépendances aux bibliothèques > Une « obfuscation » délibérée de code, qui témoigne
extérieures sont rarement analysées. L’analyse du code soit de la présence d’une protection de propriété
source est insuffisante et ne couvre pas les cas nombreux intellectuelle, soit d’un malware.
ou le code n’est pas disponible. De plus, le pentest et les red Ce produit n’a pas vocation à détecter les backdoors. Aucune
teams arrivent généralement trop tard dans la conception alerte ne sera remontée sauf si elles sont mal implémentées.
du produit et ne prennent qu’une image partielle et partiale À la suite de cette analyse, deux rapports différents seront
à un temps fixe, ne testant ainsi pas toutes les vulnérabilités générés :
présentes sur un système complexe » explique Nicolas > Un rapport graphique au travers des 5 métriques pour
Massaviol, Co-fondateur de Moabi. piloter la sécurité logicielle par des indicateurs stables
Moabi fournit une solution SaaS permettant une analyse et cohérents,
sécurité des binaires pour tous les logiciels, avec leurs > Un rapport d’identification des écarts avec l’état de
dépendances. La mesure de la cybersécurité passe par 5 l’art de la cybersécurité et les nouvelles vulnérabilités
critères clefs : détectées, avec des propositions de correction et
> Le « Legacy » mesure la dette technique relative aux d’amélioration.
technologies ou à l’architecture.
> Le « Hardening » évalue l’activation des fonctions de
défense en profondeur des compilateurs. Un prix très convoité
> La « Cryptographie » vérifie la force des algorithmes de
chiffrement. Créé en 2006, le Prix de l’Innovation
des Assises de la Sécurité récompense
> Les « Vulnerabilities » présente les vulnérabilités déjà
chaque année des solutions innovantes sélectionnées
existantes à travers les CVE, ainsi que les 0days grâce
par un jury d’experts de la cybersécurité. Accélérateur
au moteur de Moabi pour l’exécution symbolique et
l’analyse de teintes. de notoriété et de business, le Prix de l’Innovation
offre au lauréat une visibilité exceptionnelle
EPITA
> La « Compliance » intégre les normes de sécurité de auprès de la communauté des Assises. Ce prix
code (Posix, MSSDLC, CE99…). s’inscrit dans la vocation des Assises de soutenir le
12 développement de jeunes entreprises du secteur.
LES ASSISESLES TEMPS FORTS DES ASSISES
Techlab
la coopération
technologique au service
de la cybersécurité
Après le succès de la première édition du Techlab en 2018,
Newlode a organisé de nouveau cette année, un espace de
démonstration multi-solutions avec six de ses partenaires1.
Le thème majeur des sessions, qui se sont succédées
pendant les trois jours des Assises était «Think like a SOC ».
Ainsi SentinelOne, ProofPoint et Splunk ont montré comment en
collaborant de manière efficace, il était possible de réagir contre
du phishing ciblé de la façon la plus automatisée possible.
ProofPoint permet d’émettre un score de risque via la mise Splunk permet, via l’utilisation de
en évidence des éléments à risques. Il est aussi possible, dans playbook, une orchestration et une
le cas d’une attaque, d’obtenir une visualisation de la ligne automatisation des fonctions de détection
directrice de celle-ci ainsi que d’émettre des notifications ou de remédiation. Ces actions peuvent
aux points vulnérables. Tous ces éléments peuvent être être lancées de façon automatique ou
récapitulés dans un rapport généré automatiquement. déclenchées par un email.
SentinelOne rend possible la recherche par IOC (Indicateur Dans l’ensemble, un rapport est ensuite
de compromission) et ainsi de les cartographier. Il généré, celui-ci est passé à un analyste SOC
permet aussi en l’associant avec le Framework MITRE qui, à travers ces technologies, va constater
ATT&CK d’établir une possible séquence d’attaque ou la présence ou non de traces d’attaque sur
la décomposition de celle-ci. De plus, il est également le système. L’objectif est donc de libérer les
compatible avec des EDRs. analystes SOC des tâches automatisables et
de les aider à se consacrer sur des tâches
requérant une expertise humaine.
1
Les autres partenaires du Techlab étaient CrowdStrike, Forescout et TenableLES TEMPS FORTS DES ASSISES
Trois questions à
Loïs Samain,
RSSI adjoint d’EDF Renouvelables
«
LOÏS, QUELQUES MOTS SUR VOTRE PARCOURS ? compétences humaines à se forger, les soft-skills, dont on
parle trop peu mais qui sont, à mon sens, essentiels dans
J’ai 31 ans. Je suis diplômé de l’EPITA 2012, spécialisation notre métier : la communication envers les différentes parties
SRS (Systèmes, Réseaux et Sécurité). Actuellement, je suis prenantes de l’entreprise (métiers, fonctions transverses,
RSSI adjoint du groupe EDF Renouvelables, la filiale des COMEX), la gestion du stress, l’empathie, la résolution de
énergies renouvelables d’EDF. J’ai eu plusieurs expériences problèmes, la rédaction, la négociation, la flexibilité, etc. Tout
professionnelles qui m’ont permis de connaitre le secteur de cela s’acquiert avec l’expérience (et durant toute la carrière)
la SSI avant d’arriver à ce poste. J’ai d’abord eu l’occasion et nous sont inconnus en sortie d’école.
de faire des stages durant mes études chez EADS Defence
& Security (aujourd’hui Airbus) et HSC, une société de
conseil en SSI. Puis, pour mon premier poste, je suis parti
VOUS AVEZ D’AUTRES ACTIVITÉS LIÉES À LA
travailler pour l’entreprise Bull Amesys (aujourd’hui Atos). CYBERSÉCURITÉ ?
Après quelques missions au sein du département PKI et Absolument. J’ai co-fondé il y a sept ans un podcast
Monétique de Bull, je suis devenu Correspondant Sécurité « Le Comptoir Sécu » où nous parlons chaque semaine de
à l’ANTS (Agence Nationale des Titres Sécurisés) pendant cybersécurité avec une communauté de passionnés (plus de
quelques années. Puis, j’ai été contacté pour devenir RSSI 3500 écoutes par épisode, 1600 inscrits sur notre Discord).
d’une ESN, Davidson Consulting et y construire toute la De temps à autre, j’interviens aussi sur NoLimitSecu, un
sécurité de l’entreprise. Enfin, il y a un peu plus de deux ans autre podcast sur la cybersécurité. Je suis aussi membre
et demi, j’ai rejoint EDF Renouvelables pour m’occuper de la du CESIN, qui est une association fédérant des RSSI et
cybersécurité du SI tertiaire et industriel de l’entreprise et ses représentants de plus de 500 entreprises et administrations.
filiales, dans un secteur passionnant en plein développement : Cette dernière permet d’échanger régulièrement avec mes
les énergies renouvelables. pairs sur les différentes questions et problématiques que
je rencontre dans mon travail de tous les jours. L’entraide
À VOIR VOTRE EXPÉRIENCE, ON NE DEVIENT PAS est essentielle dans notre métier et nous avons la chance
RSSI EN SORTANT DE L’ÉCOLE ? d’avoir une communauté soudée. Enfin, j’ai la chance depuis
3 ans d’être membre du comité éditorial des Assises de la
Non, et même si c’était une volonté de ma part de le devenir Sécurité et jury de son prix de l’Innovation (Voir p.12), me
un jour quand j’étais à l’EPITA, on ne devient pas RSSI en permettant de rencontrer et d’échanger avec des startups
sortant de l’école. Pour parvenir à ce poste, il faut avant passionnantes.
tout prendre le temps d’apprendre et de comprendre les
différentes composantes de la cybersécurité. Ça se fait étape
par étape. Un RSSI est un chef d’orchestre qui a besoin de
comprendre les différents domaines composant sa partition
EPITA
et on ne devient compétent qu’à la suite d’expériences
professionnelles (et personnelles). Et puis il y a surtout les
14
14
LES ASSISESLES TEMPS FORTS DES ASSISES
Bug Bounty : une mécanique bénéfique pour tous
La menace ne cessant jamais de progresser, la recherche de
vulnérabilités pour prévenir des futures intrusions reste donc un
point des plus sensibles. Le Bug Bounty permet aux entreprises
d’organiser des ‘chasses aux vulnérabilités’ de manière
publique, privée (accessibles sur invitation) ou directement
sur site lors d’évènements organisés. Ainsi, les chasseurs
de vulnérabilités (hunters) vont chercher des vulnérabilités
Soumission
sur ce que l’entreprise met à leur disposition (site web, Identification
de vulnérabilités
des
applications, …) et vont soumettre leurs découvertes vulnérabilités potentielles
afin de les faire valider et de leur faire attribuer
un score. Le hunter se voit alors récompensé et
l’entreprise peut désormais corriger la vulnérabilité. Qualification de l’entreprise de
toutes les vulnérabilités
La récompense peut être de l’argent, des goodies, acceptables selon un réglement
des produits de la marque de l’entreprise mais
Hunter
aussi la progression dans un leaderboard ou
l’apparition de son nom dans un « Hall Of
Fame ». Via ce cercle vertueux qu’est le 4 3
bug bounty, il est donc possible de faire du .......
« crowdsourcing de compétences » et Attribution
.......
.......
... ....
d’un score
d’avoir des tests de sécurité encadrés en Score
permanence. Privé
Accessible aux experts,
uniquement sur invitation
Public On site
Visible de toute la Lors d’événements
communauté privés ou publics
La chasse aux bugs
est ouverte !
Demande de l'entreprise aux white
hat hackers d'y participer.
WANTED Hall
of fame
Une entreprise, des
nouveaux logiciels, RÉCOMPENSES
potentiellement sujets à des à la hauteur des bugs trouvés
vulnérabilités encore par les participants :
Les bugs sont corrigés, goodies de l’entreprise, somme d’argent,
inconnues sur un produit, produits de la marque
un site ou une application...
et l’entreprise est
sereine quant à son
logiciel!!!!LES TEMPS FORTS DES ASSISES
Au coeur
du Forum
Cybermalveillance.gouv.fr :
un succès prometteur Aujourd’hui, nous assistons environ 85% de particuliers,
12% d’entreprises et 3% de collectivités. Nous voyons
également une évolution du nombre d’entités que nous
avons pu aider puisque nous sommes passés de 28 855
parcours victimes sur l’année 2018 à plus de 70 000 depuis
le premier janvier 2019. Nous pouvons donc considérer que
de plus de plus de nos concitoyens nous connaissent.
Deux ans après sa création, le dispositif national QUELS SONT VOS OBJECTIFS FUTURS ET LES
d’assistance aux victimes d’actes de cybermalveillance ÉVOLUTIONS PROCHAINES APPORTÉES À LA
a trouvé sa place dans l’écosystème français de la PLATEFORME ?
cybersécurité. Dylan Cordeiro, Laurent Marchaud et Alexandre Nous allons d’ici peu lancer la V2 du site. Nous discutons
Zhan reviennent sur ce succès qui commence à s’exporter. d’ailleurs sérieusement avec les représentants d’un autre
pays pour pouvoir leur fournir notre plateforme, sur le modèle
PENSEZ-VOUS QUE L’EXISTENCE DE CETTE du logiciel libre, afin qu’il puisse reproduire le service. Si
PLATEFORME SOIT BIEN CONNUE DU GRAND un jour, ils développent une fonctionnalité à laquelle nous
PUBLIC ? n’avions pas pensé et qui est intéressante, nous pourrons
Le dispositif lancé en octobre 2017 est récent et s’adresse à peut-être l’implémenter de notre côté et améliorer ainsi notre
l’ensemble de la population française : citoyens, entreprises site. Et si par la suite nous passons à deux, trois, quatre pays
et collectivités en complément de l’ANSSI qui supporte les nous pourrons créer une vraie communauté. En parallèle,
OIV et OSE. Dans un premier temps, nous avons choisi de l’objectif final est bien évidemment que des citoyens et
nous faire connaître dans l’écosystème de la communauté des PME nous connaissent. Nous souhaitons également
cyber afin d’acquérir une certaine légitimité et pour que élever le niveau de sécurité des prestataires. Aujourd’hui,
celle-ci devienne un relais de nos messages. Puis, grâce nous avons 1600 prestataires qui sont en capacité d’aider
à diverses actions de communication nous nous faisons les gens. Parallèlement les entreprises sont de plus en plus
connaître d’un nombre toujours plus important de personnes. nombreuses à exiger certains niveaux de compétence
en sécurité et en informatique de leurs prestataires. Nous
sommes sur un label qui sera différent des PASSI PDRIS et
QUELLE EST L’AUDIENCE DE VOTRE DISPOSITIF
PRIS de l’ANSSI. Il sera plus abordable et adapté à notre
DEPUIS SA CRÉATION, ET QUELS SONT LES
public et sera lancé dans le courant de l’année 2020.
RETOURS DES UTILISATEURS ?
Le service d’aide aux victimes permet de distinguer les
EPITA
particuliers des entreprises et donc de connaitre le profil
des personnes qui recherchent de l’assistance chez nous.
16
16
LES ASSISESTHREAT INTELLIGENCE
THREAT INTELLIGENCE
Threat
and Procedures). L’un permet de détecter, les IOCs mettant
en exergue des menaces connues ; l’autre permet de
caractériser, les TTPs décrivant la façon dont des acteurs
Intelligence
malveillants orchestrent leurs attaques.
Les éléments disséminés peuvent être des informations
purement techniques (à destination de proxy, SIEM, ...)
mais peuvent être aussi de l’information plus contextuelle
Face à l’augmentation des menaces, la complexification
(géopolitique, économique, ...) à destination d’analystes
des attaques et aux impacts grandissants de la cyber
traitant un incident de sécurité. Avec la threat intelligence il
malveillance, les matériels de sécurité nécessitent d’être
est possible d’apporter une vision de tout ce qui est connue
constamment au fait du contexte dans lequel ils évoluent.
afin de donner une capacité de décision beaucoup plus
Le renseignement sur la cyber menace, ou threat intelligence, efficace.
permet ainsi de disséminer de l’information à l’ensemble
Ainsi, par la création d’éléments de détection et de
des éléments de la chaîne de défense afin de pouvoir
caractérisation et via leur dissémination aux équipements
détecter et traiter les menaces anciennes et nouvelles en
pouvant les accepter et aux bons acteurs, la threat
fonction de leur comportement.
intelligence devient un domaine inévitable de la lutte
Pour faire prendre conscience du contexte de sécurité dans défensive et un enjeu majeur dans la sécurisation des
lequel évolue un équipement de sécurité, on utilise des IOCs systèmes d’information modernes.
(Indicators of Compromise) et des TTPs (Tactics, Techniques
Le monde de la threat intelligence et sa dynamique
Honey
Pots Emails
Clients de Spam ANALYSE HUMAINE Portail
CLIENTS
entreprise
Web Triage
Pièce Création de
Swanners jointe de Portail
Qualification rapports
phishing client
Échantillons
Urls de TLP Intelligence
logiciels Intégration
Phishing
malveillants Botnets Feeds
en SIEM
Investigation
API/SDK
Crawlers Attaquants FLUX
D’INFORMATIONS
CAPACITÉS ENTREPRISES COORDINATION
ÉTATIQUES AVEC LES PARTENAIRES
(PRIVÉS, PUBLIQUES,
CERCLE DE CONFIANCE...)
CONSOMMATION
COLLECTION DES DONNÉES TRAITEMENT DES DONNÉES DE LA THREAT INTELLIGENCE
EPITA
18
LES ASSISESTHREAT INTELLIGENCE
Rencontre avec
Cyrille Badeau,
VP Europe de ThreatQuotient
«
COMMENT DÉFINIR VOTRE SOLUTION THREATQ ? du renseignement. Le premier, celui pour lequel ThreatQ
est pensé, est le monde de l’opérationnalisation du
ThreatQ est une solution logicielle qui a pour but renseignement. Nos clients sont des consommateurs
d’opérationnaliser le renseignement dans une chaîne de renseignement, qui ont besoin d’un practice qui
de défense cyber. Cette solution capte du renseignement permet de capter du renseignement, de le prioriser,
extérieur et intérieur (souvent le plus important) et de le croiser avec du renseignement interne et de le
priorise, dans cet ensemble de renseignement, ce qui disséminer. Le deuxième monde est celui des créateurs
doit être diffusé (ou disséminé) à la chaîne de défense de renseignement. C’est un métier rare et très différent.
pour être consommé, que cette dernière soit représentée
par des outils, par des analyses ou par des décideurs. QUEL EST LE NIVEAU DE MATURITÉ DE LA
Une plateforme de type ThreatQ c’est exactement
l’équivalent d’un service de renseignement pour une THREAT INTELLIGENCE DANS LES ENTREPRISES
défense nationale. FRANÇAISES ?
Il y a une énorme progression ces dernières années
C’EST-À-DIRE ? notamment sous la pression des régulations. Cela a
La plateforme ThreatQ reprend la notion de d’abord touché les organismes d’intérêt vitaux (OIV) car
« fiche » (utilisée dans le monde du renseignement des méthodes de mise en œuvre de la détection et de la
classique) pour interagir avec les différents organes réponse leur sont imposées par des processus normés.
en présélectionnant des marqueurs d’attaques On parle de certification par l’agence de type PDIS
potentiellement liés à des menaces d’intérêt et en les pour la détection et de type PRIS pour la réponse. Ces
disséminant auprès du SIEM pour surveillance. A l’ instant processus nécessitent de manipuler et de consommer du
où l’un de ces marqueurs est détecté, il est remonté à renseignement. C’est clairement suite à la LPM (2013)
la plateforme (ce qui s’appelle du SIGHTING) pour que qu’il y a eu un vrai démarrage sur le sujet en France.
son niveau de priorité soit modifié. Le renseignement sur Néanmoins la photo n’est pas totalement satisfaisante.
une menace générique devient alors un renseignement En effet, un service de renseignement a pour but de
contextuel à notre organisation (car il a été constaté par disséminer de l’information à l’ensemble des éléments
la surveillance) - il est devenu prioritaire. de la chaine de défense. Malheureusement, trop souvent,
nous sommes appelés pour démarrer un projet de Threat
QUELLES SONT LES TECHNOLOGIES UTILISÉES Intelligence au sein d’un SOC et seulement au sein d’un
SOC. Pourtant, le CERT, le CSIRT, l’équipe de MCS, l’équipe
PAR THREATQ ? ON SUPPOSE MISP ? de Patch Management, les SECOPS, l’équipe End Point,
On utilise bien évidemment MISP comme source de l’analyse de Risque… sont autant de départements qui
notre plateforme et comme outil de partage vers la pourraient énormément bénéficier du renseignement
communauté. Mais il y a deux mondes dans les acteurs et venir l’alimenter si celui-ci était pensé pour servir
l’ensemble de la chaineTHREAT INTELLIGENCE
Atelier
Kaspersky
0010100
.100100 1001110000
0010100 l110010100011
À la poursuite 110.100100.1
l110010100011
du « billion dollars
110.100100.1
hacking group »
En 2018, la justice américaine annonce Le second est un document Word utilisant les macros afin
l’arrestation de plusieurs membres de d’exécuter un implant Griffon permettant de faire de
la reconnaissance et de la cartographie des postes de
FIN7 appelé également «The billion dollars travail.
hacking group ».
Par la suite, l’implant télécharge plusieurs modules :
Ces attaquants connus également sous le nom de Carbanak > Un module de reconnaissance
était un groupe organisé visant les banques, les suites
> Un téléchargeur de meterpreter : Tinymet
d’hôtels ou les chaînes de restaurants depuis 2015. À la
suite de cette arrestation, la communauté a pensé à tort que > Un module de capture d’écran
les campagnes d’attaques s’étaient arrêtées. > Un système de persistance
En 2018-2019, plusieurs alertes analysées par Kaspersky Ensuite, l’attaquant essaye de se latéraliser
possédaient les mêmes TTPS que FIN7, ce qui les pousse à dans le réseau afin de trouver les ressources critiques et les
croire que le groupe aurait en fait survécu aux arrestations exfiltrer pour en faire de la revente et du blanchiment.
de 2018.
Le but principal de FIN7 est de voler les éléments financiers
Le mode opératoire de FIN7 consiste en plusieurs étapes : de l’entreprise (les cartes de crédit ou données financières).
> Reconnaissance de la cible avec du spearphishing FIN7 a fait une erreur qui a permis à Kaspersky de remonter
remarquablement sophistiqué. L’instauration de une piste. Afin de tromper les analystes FIN7 a créé une
véritables conversations, via de nombreux emails, jouant fausse redirection HTTP 302 vers divers services Google sur
parfois avec les émotions des victimes (peur, stress, leurs serveurs C2s (Command and Control).
anxiété), et un envoi des pièces jointes malveillantes au
bon moment permet une efficacité redoutable. Cette erreur a permis de trouver un site étranger d’une fausse
> Deux types de documents peuvent être envoyés à la entreprise de sécurité. Cette société semble avoir servi à
victime. Le premier est un document Word exploitant FIN7 pour recruter et employer différents professionnels tels
la fonctionnalité includePicture pour obtenir des que des développeurs, des pentesters ou des traducteurs,
informations sur l’ordinateur de la victime. ceux-ci croyant la société légitime.
EPITA
20
LES ASSISESDÉTECTION & RÉPONSE À INCIDENT
RÉPONSE À INCIDENT
DÉTECTION &
Les EDR, des outils puissants en pleine expansion
PRÉVENTION
Contrôle des Verrouillage
périphériques des systèmes
Contrôle des Chiffrement
connexions des données
internet Gestion des Estimation
correctifs des
Cartographie vulnérabilités
Prévention DÉTECTION AVANCÉE
contre les Vérification
Détection de des
rançongiciels comportement
applications
Pare-feu Analyse heuristique
Machine learning
Analyse de réputation
Collecte de
données Bac à sable
forensic ou Moteur de remediation
nnection= 0000
Prévention temps réel
le = 2010 - 11 Réponse
d'intrusion 160.188.166.pm Automatisée
24 m =537 ms
connection Close
450.11.281.000
VISIBILITÉ ET RÉPONSE À
SURVEILLANCE INCIDENT
Detection Investigations
Avancée
Régles Base de données
personnalisée de menaces
Prévention des
menaces mobiles
Mise en
RECHERCHE DE MENACES quarantaine
Aperçu des d’incidents
Endpoints Corrélation
dévénement et Levée des
analyse retrospective doutes
basée sur le machine Intégration
learning avec la Threat
intelligence
Détection Capacité de
comporte- remédiation Réponse à
mentale Collecte incident à
Bac à sable d’artefacts et distance
traces
Monitoring
en temps
réel
DÉTECTION + RÉPONSE
EPITA
22
LES ASSISESVous pouvez aussi lire
