Le Corporate CIO & Group CISO de Lagardère, Thierry Auger rebondit sur les principaux indicateurs mis en avant par l’édition 2022 du rapport DBIR (Data Breach Investigations Report) de Verizon. Il nous expose aussi ce qui a changé pour lui en deux ans.
Cette interview est réalisée dans le cadre du petit déjeuner Alliancy et Verizon « Cybersécurité des entreprises : Comment s’adapter en intégrant les enseignements de deux années de crises ? », du 6 juillet 2022 au Campus Cyber. Retour sur les leçons cyber évoquées durant cette matinée.
Comment réagissez-vous à l’augmentation des cyberattaques ces deux dernières années, notamment des ransomwares ?
Thierry Auger. Depuis deux ans, nous nous sommes organisés pour essayer de protéger l’ensemble de notre écosystème contre les cybermenaces, diverses et variées, qui caractérisent notre environnement. Les ransomwares y tiennent une bonne place, mais aussi les attaques destructrices qui conduisent, même sans véritable exfiltration de données, au vol de quelques fichiers dans le seul but de faire pression sur l’entreprise victime, afin qu’elle paie la rançon exigée par les pirates.
Les pirates vont désormais de plus en plus souvent à la facilité. Récemment, des outils, qui ont été utilisés dans le cadre des attaques russes envers l’Ukraine, ont été repris par des organisations criminelles pour réaliser des attaques envers des entreprises. Nous le constatons chaque jour, car nous sommes une organisation très distribuée. Nous disposons en effet de 50 systèmes d’information à travers le monde. Ces SI sont indépendants les uns des autres, ce qui répartit le risque, mais conduit à la difficulté d’avoir partout des structures SI suffisantes avec tous les profils nécessaires.
Quels changements avez-vous mis en œuvre depuis deux ans pour vous adapter proactivement à ce contexte ?
T.A. : Nous avons tout d’abord procédé à une surveillance intelligente accrue. Cette surveillance a notamment porté sur l’ensemble des DNS (noms de domaines, NDLR) de la planète afin de détecter les créations de noms de domaine en typosquatting, à une lettre près, de nos domaines en exploitation. Ces créations de noms de domaine frauduleux conduisent le plus souvent à des opérations de phishing dans les 24 ou 48 heures qui suivent. Le fait de posséder ces informations en amont nous permet de bloquer l’usage des domaines en question sur l’ensemble des protocoles, de et vers l’entreprise.
Le rapport DBIR de Verizon mentionne que, parmi les moyens d’accès au SI d’une entreprise, le vol des identifiants représente 45 % des cas, devant le phishing (18 %) et l’exploitation de vulnérabilités (7 %). Qu’est-ce que cela vous évoque ?
T.A. : Depuis deux ans, nous avons doublé le nombre de ressources opérationnelles internes au groupe consacrées à la cybersécurité. Cela vient du constat que les ressources dont nous disposions ne suffisaient pas et que le sujet est trop stratégique pour qu’il soit autant externalisé.
Nous avons comme objectif de déployer des stratégies « zero trust” partout où nous le pouvons. Ce type de stratégie consiste à n’autoriser que les terminaux enrôlés et les utilisateurs accrédités à accéder, par exemple, à une messagerie. Nous sommes en phase d’accélération sur ce point, nous devrions couvrir l’ensemble de notre périmètre cible d’ici 2023.
Pour aller plus loin, consultez l’interview de notre autre grand témoin lors de cette matinée : Olivier Ligneul, Directeur de la Cybersécurité d’EDF.
Mettez-vous également en place des actions de sensibilisation des collaborateurs ?
T.A. : Oui, nous mettons à leur disposition des kits intelligents qui leur permettent de suivre des parcours adaptatifs. Si vous êtes gestionnaire de données sensibles, personnelles ou bancaires, ou si vous êtes particulièrement exposé, un contenu spécifique à votre situation vous est alors proposé.
Autre sujet : dans le cadre de nos campagnes de prévention de phishing, nos actions sont de plus en plus compliquées à mener en raison de la présence d’outils de sécurité. Il est nécessaire de poser de multiples règles afin de lever les restrictions, le temps que la campagne soit délivrée. Nous-nous orientons donc de plus en plus vers des outils qui réagissent aux actions de l’utilisateur et lui propose alors des contenus personnalisés.
Le rapport de Verizon met en avant le fait que la chaîne d’approvisionnement (supply chain) a été à l’origine de 62 % des incidents d’intrusion dans les systèmes cette année. Cela fait-il écho à ce que vous vivez ?
T.A. : La supply chain est, pour nous, une question assez standard liée à la gestion des vulnérabilités. Ce qui a changé, en revanche, sur les deux dernières années, c’est que les mesures de protection que nous prenions sur l’univers « exposé » (toutes les IP externes), nous les appliquons désormais aussi en interne. Cela se traduit notamment par davantage de scans des postes de travail utilisateurs ou des serveurs.
Et sur les systèmes exposés en tant que tels, surtout ceux gérant du contenu sensible, nous sommes passés d’un modèle récurrent (une fois tous les mois, tous les trois mois…) à un modèle dynamique. L’accélération des attaques et des vulnérabilités est telle que, entre deux scans, tout peut arriver…
Quelles leçons tirer en France des chocs cyber provoqués par les nouvelles formes de conflits auxquels nous assistons ?
T.A. : Ce que je retiens du contexte actuel est que nous devons renforcer la sécurité sanitaire. J’entends par là, renforcer le set d’outils liés à l’hygiène sécuritaire, de manière à consolider la maturité défensive des entreprises. Il ne s’agit pas forcément d’un complément de technologie, mais plutôt d’un renchérissement des activités de surveillance.
Nous devons aussi, en toutes circonstances, rester maîtres de nos données. Cela signifie notamment disposer d’une copie désynchronisée de nos données à tout moment. C’est une mesure qu’il est facile d’écrire sur le papier, mais plus difficile à concrétiser. Pourtant, elle est hautement indispensable car, quand l’incident se produit, il est trop tard. Aujourd’hui, nous ne sommes plus à l’abri d’une fermeture de frontière numérique nous privant de nos capacités dans un pays donné.