Meetup spécial cybersécurité, le replay

La cybercriminalité ne chôme jamais. Comment s’en protéger en tant que tech leader ? C’est la question à laquelle ont répondu trois expert•e•s de la communauté, à l’occasion du meetup spécial cybersécurité organisé par Tech.Rocks le 9 avril 2020. 

Les speakers, who’s who

Nathalie Lamy est VP Engineering de Netatmo. Pour cette entreprise, qui déploie plusieurs millions de devices dans les foyers, la sécurité est centrale.

Sacha Morard est CTO du groupe Le Monde. Une palette de médias exposés aux attaques. 

Korben est, entre autres, l’un des fondateurs de Yes We Hack, la plateforme spécialisée dans la remontée de failles et notamment le bug bounty.

Le meetup a été animé par le spécialiste en cybersécurité Benjamin Fabre, cofondateur de DataDome, première solution SaaS de bot protection.

Cybersécurité, contre quoi se protège-t-on en réalité ?

Korben : "La cybercriminalité est un énorme marché de plusieurs billions de dollars. Pour les entreprises victimes, les répercussions sont nombreuses. Premièrement, il est question de perte d’argent. Se mettre en indispo, réparer les dommages, le temps perdu, les coûts dérivés sont du chiffre d’affaires en moins. Une autre menace pèse au niveau de la confiance établie avec les clients. On se souvient des failles de Windows. La réputation de Microsoft a pendant longtemps été mise à mal. Et puis, si des data volées se retrouvent vendues sur le Darknet ça pose d’autres problèmes, de concurrence notamment. En quelques chiffres, partout dans le monde la cybercriminalité augmente : 67 % en 5 ans. En France, ce sont 23% de coûts supplémentaires pour les entreprises du pays. "

Comment aborde-t-on la cybersécurité en entreprise ?

Nathalie : "Chez Netatmo, on développe à la fois des hardwares et des logiciels avec des problématiques diverses. La stratégie de sécurité est centrale, elle se concentre sur la méthodologie, les procédures ou encore les techniques. Ainsi, chaque produit Netatmo est préprogrammé avec une clé d’identification complexe unique par appareil. Par ailleurs, nous avons dû montrer à nos partenaires industriels notre niveau de sécurité quand on a fait le choix d’aller sur de nouveaux marchés. Pour les rassurer sur le fait que les développeurs et les produits reproduisent les bons mécanismes, nous nous sommes donc tournés vers une certification ISO 27001."

Sacha : "Le groupe Le Monde se compose de tout un panel de sites avec des titres comme Télérama, l’Obs, entre autres. Le journal Le Monde a été fondé par un résistant, on a une mission d’information, un rôle de 4e pouvoir. On est particulièrement exposés dans la mesure où parfois le contenu des articles dérange des organisations ou encore des États. On est souvent attaqué à différents niveaux : des membres du personnel, nos lecteurs, les reporters sur le terrain … En conséquence, on aborde la sécurité de façon très large. Notre posture vis-à-vis de cette situation est de viser le zéro erreur et de faire simple. Pour nous protéger au mieux, nous avons décidé de développer notre propre CMS, de mettre en place des mesures très exigeante concernant le développement et l'hébergement, on vault tout, on ne livre rien sans code review... "

Comment manage-t-on la cybersécurité ?

Nathalie : "Les procédures de certification ISO 27001 sont plutôt longues, nous l’avons obtenue au bout de quelques mois. L’implication des développeurs a joué un rôle clé dans ce projet et nous a permis de construire des processus pragmatiques et applicables. Ces derniers se sont toutefois un peu alourdis, c’est pourquoi nous avons effectué un travail de pédagogie pour amener les développeurs à comprendre les enjeux et appliquer les mesures en vigueur.

Pour nous accompagner, nous avons recruté des collaborateurs aux compétences spécifiques : un head of security et une responsable qualité. L’intérêt d’avoir une équipe sécurité dédiée repose sur la prise de recul. Ils amènent une réflexion sur les risques de sécurité. Ils apportent aussi la veille technologique utile à toute l’architecture. Ils contribuent à former les développeurs, à identifier les failles, à trouver les solutions technologiques en retour. Ils auditent aussi le code dès qu’un nouveau mécanisme est créé."

Sacha : "On a mis en place un groupe de travail sur la sécurité (GTS). Il se compose notamment de membres de la DSI. Il compte aussi un journaliste, spécialiste du Darkweb. Son profil d’enquêteur nous aide considérablement. Quand on se fait attaquer, il mène des recherches, nous permet de mieux comprendre l’attaque, de savoir qui est à l’origine et de retrouver ceux qui veulent nous nuire.

En 2014, par exemple, nous avons découvert qu’une organisation étrangère s’était introduit dans nos systèmes. Son projet, publier un article de propagande sur notre site. Heureusement, notre outil de publication est suffisamment préparé à ce genre d’attaque et nous avons pu les “intercepter” à temps. D’ailleurs, côté outils, on a aussi en place des solutions nécessaires pour éviter les attaques. On est très attentif au phishing. Les journalistes sont visés au quotidien."

Nathalie : "À propos du phishing, il faut sensibiliser les équipes avec des partenaires qui font des campagnes de simulation. C’est vraiment efficace. On n’est jamais autant vigilant ou prêt que lorsqu’on a été confronté au problème."

Que vise-t-on dans une démarche de cybersécurité ?

Nathalie : "On se lance dans ce type d’initiative au départ par crainte d’une intrusion, qu’une personne malveillante prenne la main sur nos produits."

Korben : "Des failles, il y en a partout. Elles sont parfois remontées. C’est rare dans la mesure où les entreprises portent plainte contre ceux qui feedback. Ça peut refroidir un hacker bienveillant qui ne va donc rien dire. Autre cas de figure éventuel, les failles sont revendues contre des bitcoins ou sont directement exploitées." 

Quelles sont les bonnes pratiques pour remonter des failles ?

Korben : "J’insiste en particulier sur le bug bounty, dans la mesure où c’est un système intéressant soft, avec une récompense à la clé. Le principe, une communauté de chercheurs de failles va se pencher sur un périmètre figé par une entreprise. Quand ils identifient un problème, celui-ci est validé, la récompense tombe et les failles sont ensuite corrigées. Le premier intérêt, l’approche des tests est diverse. Les chercheurs sont des groupes composés de personnes qui viennent de partout, chacun a son expérience, sa culture, son domaine de prédilection. Et puis, si aucune faille n’est identifiée, il n’y a pas de récompense. C’est une pratique dont il ne faut pas avoir peur au contraire. L’idée pour les entreprises est de sortir la tête du sable. Au niveau du rythme, ça rentre complètement dans un cycle de tickets Jira. 

Sinon, des moyens d’alertes, il en existe plusieurs. On peut passer par un système de remontées directes auprès des CERT. Autre technique connue, le full disclosure. Le principe est de publier les failles sur son blog. Cela se pratique de moins en moins car c’est plutôt assez violent et risqué. 

Dans le registre des nouveaux moyens de corrections plus doux on peut aussi procéder à un CVD. Le principe est de réunir du monde autour d’une même table, d’ouvrir un dialogue avec le chef de projet, l’éditeur du logiciel, les entreprises clientes… On met un plan en place avec des patches et des moyens de communication. La faille dans ce contexte n’est pas publiée publiquement. La coopération entre le hacker et l’entreprise est stimulée.  

Le security.text aussi est une option. Son principe, les chercheurs ont la possibilité de récupérer un fichier texte. Ils y retrouvent toutes les informations à connaître pour remonter les pains dès qu’ils en identifient. "

Sacha : "Nous avons la chance d’avoir un bassin de lecteurs très hétéroclites et très attachés à notre marque, notamment chez des experts en sécurité. La communauté nous aide beaucoup. Il y a deux ans, un de nos lecteurs nous a même aidé à découvrir et corriger quelques failles de sécurité. Cependant, nous faisons régulièrement réaliser des pentests par des sociétés spécialisées."

Quelles autre pratiques de cybersécurité conseillez-vous ?

Nathalie : "La segmentation des droits, pour cloisonner les éventuelles malveillances internes. Le principe : l’un code, l’autre met en production. On ne sait jamais, la faille peut aussi venir de là. Ça n’est pas simple d’expliquer cela aux équipes, mais il s’agit d’anticiper. Le gain est autant sur la sécurité que la qualité. C’est, par ailleurs, un des principes de l’ISO 27001."

Sacha : "Travailler avec sa propre stack. On a essayé de passer par des CMS tiers, aucun ne nous apportait une entière satisfaction. On a décidé de créer le nôtre. ​"

Korben : "Ne pas payer les ransomwares car, un, on n’est jamais certain de recevoir la clé à la suite. Et puis, cela finance des réseaux, mafieux, criminels… Mieux vaut par anticipation avoir une politique de sauvegarde avoir en amont." 

Merci à tous les quatre ! Save the date, le prochain meetup Tech.Rock, va avoir lieu le 16 mars 2020, en partenariat avec plateform.sh. De nouveaux expert•e•s viendront partager leurs pratiques pour recruter et onboarder à distance.

Pour s’inscrire, c'est par ici sur meetup.com (et c'est gratuit). Retrouvez tous nos futurs meetups là. N'hésitez pas à vous inscrire à notre newsletter et à notre Slack.

Tous Les Articles
×

Vous y êtes presque...

Nous venons de vous envoyer un e-mail. Veuillez cliquer sur le lien contenu dans l'e-mail pour confirmer votre abonnement !

OK