| cert

Carrière & Cybermenaces actuelles…Découvrez Adrien, Analyste CERT

Synetisien depuis un an maintenant, Adrien Gand, analyste CERT, vous partage son parcours professionnel, son expertise en réponse à incident et ses conseils pour sécuriser au mieux vos environnements informatiques.
parole-experts_Adrien-Gand

Peux-tu te présenter en quelques lignes ? Peux-tu nous en dire plus sur ton rôle chez Synetis ?

Normand passionné de sport mais aussi d’informatique, j’ai choisi d’orienter mes études post bac vers ce domaine. Mon appétence s’est très vite tournée vers le réseau et la sécurité.

Suite à ma licence effectuée à Saint Malo, j’ai mis un premier pied dans le monde professionnel en intégrant un SOC intégré. Après 4 belles années dans cette équipe, j’ai voulu mettre un deuxième pied dans la cybersécurité et j’ai eu la chance d’intégrer le CERT (Computer Emergency Response Team) de Synetis.

J’avais déjà eu l’occasion de travailler avec Synetis en 2017 sur un projet IAM en collaboration avec mon ancienne entreprise ; cette collaboration s’était bien passée ce qui m’avait laissé un bon souvenir des équipes Synetis. Aujourd’hui, au sein du CERT, j’interviens avec mon équipe sur différentes réponses à incident allant d’une simple levée de doute à un incident avéré.

De plus, j’ai toujours voulu continuer mes études mais également saisir l’opportunité de rentrer dans le monde professionnel et d’apprendre sur le terrain. C’est pour cela que j’ai commencé un cursus avec l’école du CNAM en septembre 2019 – aspirant à un diplôme d’ingénieur (bientôt en poche).

Peux-tu nous décrire ce qu’est une réponse à incident ?

On parle de réponse à incident dès lors qu’une organisation est victime d’une compromission d’un Système d’Information (SI). Au sein du CERT, répondre à un incident consiste dans un premier temps à accompagner la victime pendant sa gestion de crise. Dans un deuxième temps, plusieurs collectes d’artefacts seront réalisées (les journaux Windows, la base des registres, la MFT, etc). Ces données vont permettre de reconstruire le mode opératoire de l’attaquant et donc de comprendre les différents moyens mis en œuvre par le cybercriminel pour s’infiltrer et compromettre le SI. Enfin, un rapport détaillé de la chronologie et de l’analyse des événements sera fourni à la victime avec une liste de recommandations pour, à l’avenir, être mieux protégé.

Pourquoi avoir choisi cette carrière ? Quel est ton quotidien en tant que consultant chez Synetis ?

J’ai choisi cette carrière car j’aime me sentir utile et être, ce que j’aime dire, un « pompier du SI ». Ce que j’aime chez Synetis, c’est que le CERT ne connaît pas la routine, aucune intervention ne se ressemble et on acquiert constamment de nouvelles compétences.

En tant que consultant au sein du CERT mon quotidien se résume à répondre aux divers incidents. Par moment les interventions se font plus rares, j’en profite pour parfaire mes méthodes et outils d’analyse – en écrivant des procédures pour détecter une technique d’attaque en particulier comme le Kerberoasting ou la génération d’un Golden Ticket.

reponse-cert

Besoin de conseils pour sécuriser votre entreprise ?

Pour toi, quel est le top 3 des conseils à donner à une entreprise pour éviter une cyberattaque ?

Pour sécuriser au maximum ses environnements des cyber menaces actuelles, je conseillerai aux entreprises et organisations de :

  • Connaître leur SI pour mieux le protéger : ses expositions à internet, ses failles humaines/techniques, etc. Par exemple, en intervention, il est courant de s’apercevoir avec la victime que l’un de ses serveurs est exposé sur le port RDP alors qu’il ne devrait pas l’être. Une bonne connaissance de son SI permet d’éviter cette situation ;
  • Tester leur SI pour identifier ses points faibles : auditer l’entièreté de son SI interne/externe et humain est important car c’est une manière efficace d’évaluer la protection de leur infrastructure informatique ;
  • Maintenir le SI à jour : les mises à jour corrigent (entre autres) les failles de sécurité exploitées par les attaquants pour s’infiltrer ou étendre la compromission de votre SI.

Ces recommandations ne sont qu’un top 3, le site cybermalveillance.gouv recense une liste de bonnes pratiques à suivre qui permet à une entreprise d’avoir un bon niveau de sécurité.

Quelle attaque ou quel groupe cybercriminel t’a surpris cette année par son mode opératoire ?

Je me souviens d’une attaque menée par le groupe Blackcat avec un mode opératoire atypique contre le SI d’une entreprise possédant une infrastructure informatique de très grande taille – en pleine période de Noël. Le groupe de cybercriminel a utilisé des partages réseaux (mécanisme permettant de partager des dossiers sur le réseau pour y accéder depuis plusieurs machines) pour exécuter le chiffrement, et ainsi laisser peu de traces sur les machines. De plus, lors de cette cyberattaque, les hackers ont pris soin de redémarrer les différents serveurs en mode sans échec – toujours pour laisser un minimum d’informations sur le SI. Ces deux techniques utilisées, entre autres, l’ont élevé au rang d’attaque par rançongiciel la plus impressionnante et la plus élaborée que j’ai eu à investiguer avec l’équipe du CERT Synetis.