Vous intervenez auprès des équipes DSI ou RSSI à travers des formations de sensibilisation au cyber-risque : en quoi consistent ces sessions ?

L’enjeu, c’est vraiment la sensibilisation, et ce à deux niveaux : celui des équipes en charge de la réponse à incident comme à celui du management. Il faut que l’ensemble de la chaîne soit parfaitement consciente de la réalité du risque et sache quelles ressources mobiliser pour y faire face de la meilleure des manières. Nous proposons deux formations en particulier pour ce type de situation : la SEC504 (Hacker Tools, Techniques, Exploits, and Incident Handling), qui est vraiment orientée pen-test (pour penetration testing, NDLR), et la FOR610 (Reverse-Engineering Malware: Malware Analysis Tools and Techniques), qui met l’accent sur l’analyse de malwares. En fonction des publics, nous offrons aussi bien une vue globale sur les attaques les plus courantes et les stratégies de défense les mieux adaptées qu’une analyse de code bas niveau pour les profils les plus pointus, qui vont être amenés à traiter et « disséquer » des malwares.

SANS ITW Mouad

Mouad Abouhali, SANS Instructor

Les entreprises françaises ont-elles globalement pris la mesure du risque qui pèse sur elles ?

On assiste à un véritable paradoxe : les entreprises commencent à prendre conscience de la réalité du risque lié à la cybersécurité, mais elles tardent à se mettre en ordre de bataille. Cela tient à plusieurs facteurs : l’appréhension relative à la complexité du sujet d’une part, mais également la difficulté à identifier et à recruter les profils adaptés. La formation reste encore insuffisante au regard de la demande du marché, et on assiste à une forme de pénurie de compétences dédiées. C’est la raison pour laquelle nombre d’entreprises décident de former certains de leurs collaborateurs afin de créer leurs cellules ad hoc de réponse à incident. Cette stratégie est légitime, et permet en outre de régler une difficulté : celle de la confiance. On préfère – et c’est humain – confier une tâche aussi stratégique à des collaborateurs rompus à la réalité de l’entreprise, et c’est tout l’objet des formations que nous dispensons.

La menace a-t-elle évolué ?

Oui, et ce à deux niveaux. Le nombre d’attaques a considérablement augmenté, et la menace émane désormais d’équipes très compétentes, industrialisées et spécialisées dans des techniques d’intrusion parfaitement maîtrisées. L’espionnage industriel existe depuis toujours, mais la capacité de s’introduire sur un réseau à distance devient un vrai phénomène. Même au niveau des gouvernements, les attaques sont désormais quotidiennes. Le second facteur tient à la complexité des attaques : pour contrer les mécanismes de défense en place, les pirates vont élaborer des stratégies de plus en plus complexes, pour trouver des « backdoors » hors des murs de l’entreprise. L’un des principaux vecteurs est aujourd’hui à chercher du côté des fournisseurs : ceux-ci sont généralement moins outillés que leurs donneurs d’ordre, mais disposent souvent d’accès privilégiés au SI du groupe. Ensuite, on voit de plus en plus d’attaques visant des failles situées non plus au niveau logiciel, mais sur le matériel lui-même, jusque sur les micro-processeurs.

Comment s’y préparer ?

La clé réside dans deux notions : l’anticipation et la formation. L’anticipation, à travers des équipes bien en place, rodées à des processus parfaitement maîtrisés et qui ont pleinement confiance dans l’intégrité de leurs collègues ; la formation pour toujours conserver le même rythme de R&D que les attaquants. Pour se préparer au mieux au risque, je conseille à mes clients de monter des équipes de réponse à incident identifiées, entrainées, et appliquant des stratégies bien documentées. Ensuite, celles-ci doivent effectuer une veille technologique permanente : participer à des séminaires, lire les rapports d’incidents publiés, reproduire ces attaques au sein de « labs » internes… La mécanique est comparable à celle qui doit prévaloir en matière de préparation à un incendie : chacun doit savoir ce qu’il a à faire, sans se poser de question et en parfaite synchronisation avec les autres intervenants.

Quelles sont les qualités d’un bon pen-tester ?

Il y a 5 ans, j’aurais répondu « la passion ». Mais aujourd’hui, le curseur a bougé. Le principal, c’est la ténacité et la capacité à maintenir un niveau d’exigence important. Le domaine évolue rapidement, il faut donc être agile, persévérant, se former seul pour rester en avance de phase, aimer creuser le code, mais aussi avoir beaucoup d’imagination. Il faut admettre que ce que l’on sait peut expirer du jour au lendemain : il faut donc rester humble et considérer que rien n’est acquis. Au cours de nos formations, nous travaillons énormément ces aspects en mêlant approche théorique, retours d’expérience, mais aussi énormément de pratique. À travers des ateliers, nous bâtissons des scénarios d’attaque/défense de façon à permettre à chacun d’identifier des processus de réponse à incident originaux, aisés à déployer et surtout parfaitement agiles pour répondre au mieux à l’évolution de la menace.