| TÉMOIGNAGE COLLABORATEUR
Découvrez le quotidien d’un analyste CERT : ransomware, intrusion, protection des SI
Samir Badouh vous partage son quotidien et ses missions – en tant qu’analyste CERT – chez Synetis.
Peux-tu nous présenter ton parcours professionnel ?
J’ai toujours baigné dans l’univers de l’informatique depuis mon plus jeune âge. De ce fait, après un bac scientifique, rejoindre un IUT en lien avec ce domaine était dans la continuité des choses. J’ai donc poursuivi mes études avec un DUT Réseaux et Télécoms, grâce auquel j’ai pu réellement m’intéresser à la cybersécurité – et découvrir la fameuse série « Mr Robot ». Par la suite, j’ai intégré une école d’ingénieur, via un cursus spécialisé en cyberdéfense en alternance. Durant ces trois ans, j’ai eu l’opportunité d’être adjoint RSSI dans une entreprise du CAC 40.
Mon rôle était centré sur la gouvernance en cybersécurité des projets, accompagné de quelques missions techniques de type pentest – de manière ponctuelle. J’étais garant de la sécurité à haut niveau sur plusieurs projets et connaissais donc certaines normes sur le bout des doigts.
Lors de cette expérience, j’ai pu gagner en maturité et comprendre de grands principes de fonctionnement de la sécurité organisationnelle, mais aussi améliorer mes compétences techniques et « soft skills » afin de pouvoir dialoguer avec les différentes équipes.
A la suite de cette alternance, et après un déclic lors d’un cours de forensique, je me suis décidé à rechercher une entreprise axée sur la détection et l’analyse d’incidents. Au fil de mes recherches, j’ai alors pu préciser mon choix : « Je veux travailler dans un CERT ! ». J’apprécie le côté détective de nos recherches. Les investigations sont très stimulantes !
Après quelques recherches sur les réseaux sociaux spécialisés dans l’emploi et discussions avec un camarade de promotion, en alternance chez Synetis, j’ai décidé de postuler. C’est ainsi que mon voyage synetisien a débuté, et je ne regrette pas une seule seconde !
Quel est ton rôle en tant qu’analyste CERT ? Comment décrirais-tu ton quotidien ?
En tant qu’analyste CERT, mon rôle est de répondre à divers incidents de sécurité pouvant survenir au sein d’une entreprise. J’aime plutôt nous décrire comme des « détectives du SI » puisque l’un des buts principaux lors d’une intervention est de retracer le parcours de l’attaquant dans son ensemble, et de récolter le plus de preuves possibles. Cependant, notre métier ne s’arrête pas à cela. Nous sommes souvent amenés à gérer des crises en parallèle de nos analyses forensiques.
Nous améliorons également notre infrastructure, nos outils et réalisons une veille poussée afin de découvrir les nouveaux modes opératoires des attaquants.
Besoin de conseils pour sécuriser votre entreprise ?
Peux-tu nous expliquer le déroulement d’une réponse à incident ?
On parle de réponse à incident dès qu’une entreprise suspecte ou considère être victime d’une attaque sur son Système d’Information (SI). Une manière de répondre efficacement à une réponse à incident est de suivre le NIST (National Institute of Standards and Technology, qui est une agence américaine ayant mis en place de nombreuses normes mondialement utilisées) :
- Préparation ;
- Détection & Analyse ;
- Mise en quarantaine ;
- Éradication & Retour à la normale ;
- Retour d’expérience.
Au sein du CERT de Synetis, nous intervenons dès la deuxième phase – Détection & Analyse – en particulier sur la phase d’analyse. Nous accompagnons nos clients jusqu’à l’éradication du problème.
La phase de préparation étant réalisée par nos experts GRC (Gouvernance, Risques et Conformité).
Pour ce faire, nous accompagnons les victimes afin de gérer au mieux la crise en cours, tout en accumulant et analysant des artefacts présents sur le Système d’Information compromis. Par la suite, après reconstitution du mode opératoire de l’attaquant, nous rédigeons un rapport contenant la chronologie complète de l’attaque ainsi que les analyses associées. Le petit plus, c’est que nous ajoutons également une liste de recommandations afin de mieux sécuriser le SI endommagé, et ainsi s’assurer qu’un attaquant ne puisse pas ré-attaquer de la même manière.
Découvrez la marche à suivre plus précise, dans cet article rédigé par mes soins.
Quelles sont les tendances - en 2023 - en matière de ransomwares ?
Les tendances rançongiciels du début de l’année 2023 sont similaires à celles de la fin d’année 2022. Toutefois, une augmentation des victimes est à noter depuis le mois de juin 2023. Au-delà des activités des groupes rançongiciels majeurs (LockBit 3.0, BlackCat, PLAY, BIANLIAN), deux groupes possèdent un taux d’activité supérieur à la normale.
Le groupe CL0P a, lui, réalisé une campagne d’exploitation de la vulnérabilité MoveIT, depuis fin mai. En conséquence, ce dernier a publié les données de plus de 150 victimes grâce à l’exploitation de cette vulnérabilité 0-day. Tandis que le groupe 8BASE a, lui, communiqué avoir fait plus de 100 victimes depuis mi-mai.
Hormis l’exploitation d’une 0-day par le groupe CL0P, les modes opératoires des groupes rançongiciels n’ont pas évolué. L’approche d’identification par « Cyber Kill Chain » est donc toujours pertinente.
Quel est ton meilleur souvenir chez Synetis ?
Bien que cela ne fasse à peine un an que j’évolue au sein de Synetis, il m’est difficile de ne sélectionner qu’une seule bonne histoire ! Je garde évidemment de très bons souvenirs des moments de convivialité passés avec mes collègues, lors d’investigations à plusieurs, des afterworks ou encore des trimestrielles mémorables.
Mais si je devais me prêter à l’exercice et ne choisir qu’un seul souvenir, je parlerais du moment où, à la suite d’une intervention sur site, nous avions cherché à regarder le match de demi-finale France-Maroc dans une ville que nous ne connaissions pas du tout ! Débrouillardise et Social Engineering nous ont permis d’avoir une place de choix dans un endroit pourtant très populaire.
Aurais-tu un message à faire passer aux collaborateurs qui souhaitent nous rejoindre ?
Rejoindre Synetis, c’est rejoindre une société en devenir qui laisse sa chance aux plus motivés, peu importe si vous n’avez que peu d’expérience en cybersécurité.
Concernant mon équipe CERT, si vous êtes une personne motivée qui a envie d’apprendre et de participer à l’élaboration d’un grand projet, alors Synetis – sans aucun doute – est fait pour vous !
Camille Jean-Baptiste
Chargée de Communication