| cert
En première ligne contre les menaces numériques : le récit d’un expert analyste CERT
Dans le monde en constante évolution de la cybersécurité, les analystes CERT (Computer Emergency Response Team) jouent un rôle crucial pour contrer les menaces numériques qui pèsent sur les organisations.
Plongez dans le récit d’un expert en la matière, Néstor, dont l’expérience en tant qu’analyste CERT nous offre un aperçu de ce front de bataille virtuel.
Pourquoi avoir choisi de faire carrière en cybersécurité ?
Originaire d’Espagne, j’ai traversé les frontières pour poursuivre mes études en France, mon ambition initiale étant de devenir pompier. Cependant, ma rencontre avec les mathématiques dans le cadre de mes études a éveillé en moi une nouvelle passion. C’est à travers l’étude de la cryptographie, une discipline fascinante des mathématiques, que j’ai découvert la cybersécurité.
Après une école d’ingénieur généraliste, et sans connaissances en informatique, j’ai commencé ma carrière professionnelle dans une entreprise de conseil en cybersécurité en tant que chef de projet. Mon rôle fonctionnel m’a rapidement confronté à la gestion de crises, notamment dans le cadre des investigations numériques et des réponses aux incidents où j’y retrouvais ce que j’aurais attendu d’une carrière en tant que pompier. Ce fut pour moi une révélation, une découverte du côté détective de la cybersécurité – l’investigation forensic – un domaine qui m’a passionné et poussé à reprendre mes études.
J’ai, par la suite, intégré le CERT (Computer Emergency Response Team) Synetis. Cette transition a été le point de départ d’une véritable aventure dans le monde de la cybersécurité.
Peux-tu nous décrire ton rôle en tant que consultant CERT ? Quels sont tes enjeux ?
En tant qu’analyste CERT, ma mission consiste à mener des opérations de réponse aux incidents numériques, fusionnant les rôles de détective et de « pompier de la cybersécurité ». J’accompagne les victimes d’attaques cyber dans la gestion de crise tout en analysant l’incident dans le but de permettre à celle-ci de repartir sur des bases saines.
L’essence de mon travail réside dans la capacité à retracer clairement le parcours de l’attaquant, tout en vulgarisant les éléments essentiels. Pour nous, analystes, notre Saint Graal est de reconstruire dans les moindres détails toutes les actions menées par un acteur malveillant sur un système d’information. Mais, les éléments que nous apportons aux clients, et qui ont le plus de valeur, sont les recommandations que nous pouvons leur donner dans le but de prévenir de futures attaques. Par exemple, suite à la constatation d’une intrusion initiale par hameçonnage, nous pourrions les guider sur la mise en place d’une campagne de sensibilisation interne pour renforcer la sécurité.
Enfin, en période hors interventions, les analystes collaborent sur le développement et le maintien d’outils d’analyse ainsi que sur une veille constante des attaques. Par exemple, après avoir installé un laboratoire dédié, je construis et déroule des scénarios d’attaques dans le but de les analyser. Ceci permet de documenter les traces résultantes et d’améliorer notre capacité à les détecter et investiguer en environnement réel.
Tu as pris la parole lors de l’événement CORIIN 2024, peux-tu nous en dire plus ?
Lors de ma prise de parole à l’événement CORIIN 2024, mon collègue et moi-même avons choisi d’apporter un regard différent sur le métier d’analyste CERT. Pour changer des présentations habituelles axées sur le forensique et les solutions techniques, nous avons souhaité mettre en lumière les problématiques plus fonctionnelles liées à la gestion de crise rencontrées par les consultants en réponse à incident.
Pour cela, nous avons partagé un retour d’expérience sur un incident spécifique impliquant un virement suspect sur une application de comptabilité. À travers cette présentation, nous avons voulu illustrer les diverses problématiques que les analystes CERT peuvent rencontrer, en mettant en avant les obstacles humains et méthodologiques plutôt que technologiques. À chaque étape de notre récit, nous nous sommes arrêtés pour discuter des problèmes rencontrés, des solutions de contournement envisagées et des leçons apprises. Parmi les difficultés abordées, nous avons notamment évoqué les obstacles d’accès aux données, les traces effacées volontairement ou non, ainsi que les défis de collaboration en situation de crise.
Cette approche a permis d’offrir une perspective plus complète du métier d’analyste CERT, en mettant en avant les enjeux fonctionnels et humains qui peuvent surgir lors de la réponse à incident.
Comment évalues-tu l'importance de la collaboration et du partage d'informations entre les acteurs de la cybersécurité lors d’événements tels que CORIIN ?
Le CORIIN incarne parfaitement l’esprit de partage et de collaboration au sein de la communauté cyber. Cet événement offre un moment d’échange où chacun est encouragé à partager ses retours d’expériences, ses outils et ses méthodes, au bénéfice de tous.
Bien que ce ne soit pas le seul contexte propice à de tels échanges, le CORIIN a le mérite de militer depuis des années en faveur de cette culture du partage.
Enfin, être convié à prendre la parole devant une audience de 400 personnes environ était une première expérience enrichissante (d’autant plus que la veille je m’attendais à une audience de seulement 50 personnes).
Cet événement m’a permis de vulgariser des sujets techniques et de contribuer ainsi à la diffusion de connaissances au sein de la communauté.
Lors de ta participation au CORIIN tu as parlé de faux virement ? Est-ce que tu en vois régulièrement lors de tes interventions ?
Lors de ma participation au CORIIN, j’ai abordé le sujet des faux virements, une menace qui touche aussi bien les particuliers que les entreprises.
Depuis novembre dernier, j’ai été confronté à plus de six incidents de FOVI, chacun présentant ses propres caractéristiques. Voici quatre d’entre eux :
Le premier portait sur la compromission du système d’information d’une entreprise, avec un focus sur une application de comptabilité On-premise. L’attaquant, bien que peu technique, était très persistant et se déplaçait habilement sur différents systèmes d’information utilisant la même application.
Un autre incident concernait la compromission de comptes applicatifs, mettant en lumière les risques liés à l’utilisation de mots de passe faibles et à l’absence de MFA (Multifactor Authentication). Puis, un autre exemple d’incident concernait un service de messagerie compromis qui a permis à un attaquant d’usurper une identité dans le but de demander au responsable comptabilité de changer des informations bancaires en fournissant un nouvel IBAN.
Enfin, j’ai également traité un cas d’hameçonnage téléphonique ciblant des banques. Les attaquants se faisaient passer pour des conseillers avec un niveau d’information impressionnant sur leurs victimes. Ces scénarios et leurs méthodes sont variées, mais ils illustrent bien la place que prennent les cas de FOVI parmis les scénarios d’attaques à but lucratif.
Ces incidents montrent qu’il y a une réelle nécessité de sensibiliser les particuliers et les entreprises aux risques de phishing et aux appels frauduleux.
Pour les particuliers, il est crucial d’être vigilant et d’initier eux-mêmes les actions. Par exemple, une bonne pratique lorsque nous nous faisons démarcher par un conseiller, c’est de raccrocher et de rappeler le numéro présent sur le site officiel ou l’application de la banque en demandant de parler à ce même conseiller.
Pour les entreprises, il est essentiel de disposer de solutions de sécurité robustes et de mécanismes de validation des transactions. Par exemple, il est judicieux de procéder à la vérification des historiques de changements d’informations bancaires afin de vérifier l’intégrité des IBAN bénéficiaires avant de procéder à l’émission de virements. En mettant en place ces mesures, il est possible de réduire considérablement les risques et d’éviter les conséquences dommageables des faux virements.
Camille Jean-Baptiste
Chargée de Communication