Filiale du premier groupe d’informatique privé en Europe, SCC France dispose d’une équipe d’intervention en cas d’attaques ciblées dans les entreprises. Une expertise indispensable pour mieux conteneuriser les dégâts.
Alliancy. Que représentent les activités que vous dirigez ?
Charles Gengembre. La division Sécurité & Réseaux de SCC a réalisé 78 millions d’euros de chiffre d’affaires au cours de l’année fiscale 2016-2017. Nous souhaitons atteindre les 100 millions d’euros d’ici à deux ans, soit environ 20 % de notre chiffre d’affaires réalisé en France. Notamment en poussant les services liés à la sécurité, que sont l’intégration, le support-maintenance, l’audit-conseil (pen test, incident response…) et les services managés (supervision, exploitation et administration de solutions de sécurité). Et ces solutions de sécurité que l’on gère peuvent donner lieu à des incidents liés aux produits ou liés à une attaque du type ransomware ou DDoS.
Est-ce, dans ce dernier cas, que vous disposez d’une équipe d’intervention spécifique ?
Charles Gengembre. Tout à fait. En cas d’attaques comme Wannacry ou Petya par exemple, on dépêche une équipe support « d’incident response », qui va intervenir en mode pompier, pour aller déterminer les dégâts, conteneuriser l’attaque et récupérer toutes les preuves dans l’entreprise afin de savoir ce qui s’est exactement passé. L’idée étant qu’il y ait le moins de dommages possibles évidemment.
Cette équipe, qui tourne en 24/7, a-t-elle été créée car vous relevez de plus en plus d’attaques chez vos clients ?
Charles Gengembre. Tout est parti du fait qu’il y a un très gros problème de compétences en matière de sécurité, notamment dans les ETI et grosses PME [entre 1 000 et 5 000 utilisateurs, NDLR], qui ne disposent pas d’un SOC interne ou managé. Leurs équipes techniques sont souvent tournées vers les produits. Aussi, quand il y a un incident, c’est la panique et ils ne sont souvent pas capables de déterminer les schémas d’attaques, ni de les arrêter… C’est pourquoi il y a six mois, nous avons créé cette équipe de trois personnes d’incident response, dont les effectifs vont prochainement être doublés.
Dans quelles conditions intervient-elle ?
Charles Gengembre. Notre équipe fonctionne comme une assurance. Avec un tel système, nos clients disposent d’experts toute l’année, mais uniquement à la demande. En cas de problème critique, nous les rappelons dans les 15 minutes, intervenons sous 2 heures à distance et sur site, à J+1.
Voyez-vous beaucoup de dégâts chez vos clients ?
Charles Gengembre. Pas en termes de destruction de données, mais surtout de coupures de production. Wannacry et Petya sont des vers qui se propagent d’une machine à l’autre du fait des réseaux. Pour éviter la contamination, la solution par défaut reste de couper… Derrière, chez des industriels par exemple, ce sont souvent des enjeux économiques lourds. C’est aussi pourquoi, il faut autre chose que des solutions techniques, mais des hommes et de l’expertise pour comprendre ces attaques.
Le schéma d’attaque se répète-t-il ? Et que se passe-t-il après ?
Charles Gengembre. Oui, il se répète pratiquement, mais à des échelles différentes. Après l’attaque, on propose généralement un plan de remédiation, un plan de formation ou un scanner de vulnérabilités… On voit encore des entreprises qui ont des niveaux de maturité, en termes de sécurité, déplorables. Toutes ont conscience des enjeux, mais d’un point de vue opérationnel, 50 % n’ont pas les moyens, ni les ressources, ni les outils, y compris de en matière de visibilité…
Communique-t-on suffisamment sur ces sujets dans l’Hexagone ?
Charles Gengembre. En France, on n’aime pas entendre qu’une entreprise qu’on aime bien ou avec qui on travaille, s’est faite piratée… De plus, avec les nouvelles réglementations concernant les données, cela fait peur à tout le monde ! Certes, l’Anssi cherche à éduquer, mais cela reste encore très grand public.