| CERT

PAROLE D’EXPERT : tout sur l’activité CERT

 

Louis de Lisle, Manager CERT – Réponse à incident chez Synetis, nous explique tout sur l’activité CERT et son quotidien en actions. Groupe cybercriminel, contexte cyber actuel et conseils pour se protéger efficacement… découvrez la parole de notre expert !

Synetis Louis Leschallier De Lisle

Peux-tu te présenter en quelques lignes ? Peux-tu nous en dire plus sur ton rôle chez Synetis ?

Issu d’une formation d’ingénieur généraliste, j’ai démarré ma carrière en tant que développeur logiciel pour un grand groupe français. J’ai ensuite quitté la branche technique pour devenir responsable d’activité en gestion de vulnérabilités. Enfin, j’ai récemment rejoint le CERT (Computer Emergency Response Team) de Synetis en tant que manager.

Mon rôle, aujourd’hui, est de coordonner et de gérer les activités du CERT de la partie avant-vente, au plan de charge, gestion des ressources, gestion des coûts et du développement de l’activité.

Comment décrirais-tu le contexte cyber actuel ?

Malgré les craintes exprimées par bon nombres de professionnels et un niveau d’alerte accentué, l’augmentation massive de cyberattaques du fait de la guerre en Ukraine n’a pas eu lieu.

Hors crise russo-ukrainienne, les attaques par rançongiciel sont en augmentation chaque année, et 2022 ne fait pas exception. Il faut rester vigilant, notamment en améliorant son niveau de sécurité et en y allouant le budget adéquat.

Quelle attaque ou quel groupe cybercriminel t’a surpris cette année par son mode opératoire ?

Le groupe d’attaquant ALPHV, à l’origine du rançongiciel BLACKCAT, est sans doute celui qui m’a le plus marqué depuis mon arrivée en gestion de crise.

Apparu en novembre 2021, il se démarque par son code en RUST, particulièrement rapide et polyvalent sur Windows comme sur Linux. De plus, l’utilisation du rançongiciel BLACKCAT s’accompagne de règles pour les affiliés : l’interdiction de communiquer sur des forums ou encore l’obligation d’avoir préalablement compromis un NAS ou un ESX.

reponse-cert

Besoin de conseils pour sécuriser votre entreprise ?

Qu’est-ce que la réponse à incident ? Quels sont les atouts de cette méthode ?

La réponse à incident consiste à réagir rapidement et à gérer efficacement un incident cyber de sa détection à sa résolution. Une réponse à incident peut être découpée en 4 grandes phases :

  • La phase de préparation correspond entre autres à la mise en place du plan de réponse à incident, aux choix des procédures, des outils et à la désignation des différents acteurs.
  • La phase de détection et d’analyse consiste à choisir la posture à adopter vis-à-vis de l’attaquant, à la recherche d’artefacts, à la collecte de preuves, à l’analyse, et à la reconstruction de la chaîne de compromission.
  • La phase d’endiguement, d’éradication et de reconstruction vise à confiner la menace et à l’éliminer du SI impacté, à supprimer les tâches de persistances laissées par l’attaquant, ainsi qu’à restaurer le SI depuis une sauvegarde saine.
  • La phase de capitalisation enfin, permet d’effectuer le retour d’expérience sur l’incident, de mettre à jour les procédures, le système d’information et les outils de sécurité.

Les atouts d’une réponse à incident sont nombreux. Elle permet notamment d’identifier la chaîne de compromission dont les « accès initiaux », l’« élévation de privilèges » et l’« exfiltration de données ».

Les analyses réalisées, assurent que le SI restauré est sain, mais également que l’attaquant n’y a plus accès via un système de persistance ou de backdoor.

Comment accompagnes-tu tes clients lors d’une réponse à incident et comment peux-tu anticiper la problématique ?

Lorsqu’une victime contacte le CERT Synetis, nous réalisons en direct une réunion de qualification pour comprendre l’incident, et préparer les entrants nécessaires à une intervention immédiate. Les analystes alors agissent à distance sur le SI de la victime, éventuellement à plusieurs suivant l’ampleur de la compromission. Grâce à des points de suivi quotidiens, la victime est tenue au fait des avancées des investigations. Pour clore la prestation, une réunion de restitution ainsi qu’un rapport de l’intervention sont réalisés.

Afin d’anticiper au mieux l’action de nos équipes, nous avons développé une offre d’abonnement pour nos clients. Celle-ci permet d’anticiper les phases chronophages d’une potentielle réponse à incident, que sont la récupération en amont des entrants documentaires d’intérêts, la création d’accès ainsi que la compréhension du SI. Ces actions menées en amont facilitent considérablement l’intervention en cas de nécessité.

Grâce à cet abonnement, nous sommes en capacité de répondre à une sollicitation en moins de deux heures, et de démarrer les investigations en moins de quatre heures – jours non ouvrés inclus.

Qu’est-ce que la veille de vulnérabilités ? En quoi est-ce aujourd’hui un outil indispensable pour la sécurisation des SI des entreprises ?

La gestion de vulnérabilités consiste à surveiller de façon quotidienne et active les nouvelles vulnérabilités impactant les COTS (Commercial Off-the-Shelf) qui composent un système d’information. Ces vulnérabilités identifiées sont ensuite triées et classées selon leur criticité. Cette catégorisation, de faible à critique, priorise les vulnérabilités à corriger sur le système d’information.

Il est extrêmement important d’avoir une stratégie de gestion et de correction des vulnérabilités. En 2020, 75% des cyberattaques ont utilisé des vulnérabilités datant d’au moins deux ans, et ce alors même qu’un patch correctif était disponible (source : checkpoint.com).

Pour toi, quel est le top 3 des conseils à donner à une entreprise pour protéger efficacement ses systèmes d’information ?

De mon expérience, voici 3 conseils pour améliorer efficacement la protection de ses systèmes d’information :

  • Avoir une procédure de gestion et de correction de vulnérabilités : veille, priorisation et déploiement de correctifs ;
  • Sensibiliser les collaborateurs sur les gestes simples, en prévention et en réaction d’une cyberattaque. En effet, 95% des cyberattaques sont causées par une erreur humaine (source : global risk report 2022) ;
  • Déployer des solutions d’antivirus de nouvelle génération de type EDR ou XDR. Ces solutions permettent d’améliorer considérablement les capacités de détection, d’analyse et de remédiation lors de comportements suspects sur un SI.