La cybermenace explose. Entre prévention et curation, Stanislas Fechner, Consultant Senior en Investigation Numérique accompagne les entreprises face aux enjeux de cybersécurité en amont et en aval des crises. Il revient en détail sur ses missions et sa méthode.
Comment décririez-vous la réalité des risques qui planent en 2022 sur les systèmes d’information des entreprises ?
SF : Si je me fonde sur mon expérience personnelle comme sur le rapport DBIR (Data Breach Investigation Report) de Verizon, il apparaît que le ransomware est l’une des principales menaces qui pèsent aujourd’hui sur les entreprises, comme sur les collectivités. Cette tendance ne fait que s’amplifier. Ainsi, l’augmentation du nombre d’attaques par rançongiciels en 2021 est supérieure à celle que le DBIR avait enregistré pour les 5 années précédentes. Les données pour 2022, ne sont évidemment pas encore disponibles mais l’actualité suffit à comprendre que la tendance devrait se confirmer. Cette activité est très lucrative pour les organisations criminelles à l’origine de ces attaques car de nombreuses entreprises paient la rançon, qui est souvent adaptée au chiffre d’affaire de l’organisation ciblée. Le problème, c’est qu’un nouveau schéma d’extorsion voit le jour. Non seulement les entreprises doivent payer une rançon pour « déchiffrer » les données, mais en outre elles doivent encore payer pour que les données exfiltrées ne soient pas publiées sur internet. Ce double-schéma d’extorsion est apparu il y a quelques années et se développe rapidement. Par ailleurs, de manière générale dans presque tous les incidents de sécurité, le facteur humain est en cause, notamment par le biais du phishing qui ouvre la voie au ransomware. Toutefois, si la menace progresse indubitablement, il apparaît que les entreprises détectent plus rapidement les attaques et les intrusions. En moyenne, 30 minutes suffisent pour détecter une tentative de phishing mais en 30 minutes, les dégâts peuvent être considérables. Dans les faits, toutes les entreprises et toutes les organisations sont exposées, des plus petites aux plus grosses.
Dans un contexte de cybermenace en constante augmentation, comment s’organise Verizon pour accompagner les entreprises ?
SF : Verizon est un acteur d’envergure internationale et nous disposons de différents leviers d’action. Je suis par exemple rattaché à la division DFIR (Digital Forensic & Incident Response) et j’interviens sur le périmètre de la réponse à incident. Parallèlement, différentes équipes sont mobilisées. L’équipe SOC (Security Operation Center) se concentre sur la détection des menaces en temps réel pour alerter nos clients, l’équipe CSIRT (Cyber Security Incident Response Team) coordonne l’action de l’ensemble des intervenants lorsqu’un incident est avéré. Ces divisions constituent d’une certaine façon le bras armé réactif. Mais d’autres équipes interviennent en prévention en réalisant des tests de vulnérabilité, des audits d’intrusions et veillent à détecter les vulnérabilités avant les cybercriminels pour appliquer les correctifs nécessaires. Dans les faits, Verizon est organisé pour embrasser l’enjeu de la cybersécurité de manière holistique. Cette vision à 360° de l’écosystème de Verizon est l’un de nos atouts au service des entreprises. Chaque nouvel incident de sécurité est une opportunité de tirer des enseignements pour l’avenir. Nous faisons beaucoup de Threat Intelligence en collectant autant de données que possible sur les menaces pour adapter en permanence notre réponse. Lorsque nous traitons une menace directement chez nos clients, nous veillons à identifier les leviers d’amélioration de nos méthodes, pour nos clients comme pour nous. Faire en sorte que l’incident ne se produise pas et apprendre à toujours mieux réagir lorsqu’il intervient, c’est la base de notre méthode.
Vous intervenez chez Verizon en tant que Senior Digital Forensic Consultant. En quoi consiste exactement votre mission ?
SF : Mon métier s’articule autour de deux axes. Le premier est proactif. Le second est réactif. Dans le premier cas, je travaille en amont, aux côtés de mes clients, pour les aider à revoir leurs procédures de gestion d’incidents. Formation des équipes, collecte de preuves susceptibles de mieux discerner la menace, réalisation d’exercices de gestion de crise sur la base d’incidents simulés, revue des procédures techniques, notre action permet d’améliorer les processus de traitement des incidents. Le second volet de mon métier porte sur le traitement, souvent à chaud, des incidents lorsqu’ils interviennent, notamment dans l’analyse technique des preuves que nous allons collecter et analyser pour retracer le chemin de l’attaquant, identifier les failles qui ont pu être exploitées et déterminer le périmètre de compromission. Pour cette phase purement Forensic nous utilisons les solutions techniques du client mais aussi les outils de Verizon. Grâce à nos laboratoires, répartis partout dans le monde, nous analysons les machines affectées par l’intrusion pour déterminer le modus operandi de l’attaquant et préparer notre réponse. Dans tous les cas, nous veillons toujours à réagir très rapidement car dès qu’une attaque survient, une course contre le temps débute pour l’endiguer, atténuer ses effets et l’étudier en profondeur pour mieux l’anticiper. C’est pourquoi nous nous engageons à intervenir en moins de 3 heures en cas d’incident et lorsque c’est nécessaire un de nos consultants peut intervenir directement dans les locaux de l’entreprise attaquée en moins de 24 heures.
Plus globalement, comment votre action s’inscrit-elle dans l’organisation établie par Verizon pour accompagner les entreprises face aux menaces cyber ?
SF : La division Forensic est en fait l’un des maillons de la longue chaîne de solutions de sécurité déployée par Verizon au service des entreprises. L’envergure internationale de Verizon est vraiment déterminante car nous disposons d’une large visibilité sur les enjeux de cybersécurité, tous secteurs d’activité et tous secteurs géographiques confondus.
Pour en savoir plus sur le Service d’intervention Cyber Security Incident Response Team de Verizon.
