Mettre à jour vos connaissances sur l’écosystème des hackers, découvrir le partage d'expériences de Joël Olivier sur trois crises et enfin des tips généraux à avoir en tête avant pendant et après une attaque, c’est tout le programme du résumé de cet épisode du Podcast CIO Révolution réalisé en partenariat avec Infortive. Cette série d’interviews donne la parole à des professionnels de la DSI qui appartiennent à la communauté Infortive, première communauté de DSI de transition en France.
Joël Olivier est manager de transition depuis 2005. En 16 ans, il a réalisé plus de 30 missions de transition pour 22 entreprises différentes, principalement axées sur la gestion de crises informatique ou d'urgences. Il est tombé dans l’informatique très tôt. Ses parents lui avaient laissé le choix entre une mobylette ou un ordinateur ….devinez ce qu’il a choisi ! Après un début de carrière en ESN, de missions de pompier en mission de pompier, il est tombé par hasard dans la cybersécurité. Tout a commencé par une vraie première crise “où des pirates sont entrés et ont tout cassé” nous a-t-il confié. Parmi tous ses projets il est en chemin pour devenir expert judiciaire en 2023.
Écouter cet épisode c’est donc mieux comprendre le rôle d’un DSI de transition au cœur des crises et urgences liées à la cybersécurité. Notre invité a réussi à faire preuve de pédagogie dans le propos sur des choses pas toujours simples à comprendre !.
Membre de la communauté Infortive, Joël est un expert passionné et passionnant, ses récits de crises sont captivants….bonne découverte !
« Quand tu es un attaquant et que tu veux faire tomber une entreprise il y a deux grandes portes d’entrée : Tout ce qui est présent sur internet, qui a une adresse ip externe et qui n’est pas à jour et présente donc des vulnérabilités. Et puis il y a les utilisateurs qui sont rarement assez entraînés pour faire face à des sollicitations de type spam, phishing, etc. Les gens pensent trop qu’ils ne sont pas concernés » explique d’emblée Joël Olivier.
«Une crise menace la vie d’une organisation, il s’agit d’un sujet existentiel. Alors qu’une urgence, non ! Par exemple, tu peux avoir un gros projet qui se casse la figure, mais ne menace pas la survie !»
D’une façon générale, revenir au sens des mots est toujours utile, peut-être encore plus quand rien ne va plus ! Joël rétablit bien cette distinction fondamentale entre une crise et une urgence.
On appelle ça le “script kiddie", ou pirate néophyte. C’est quelqu’un qui a un minimum de connaissances en informatique et qui va suivre les grandes vulnérabilités, faire des tests, en quelque sorte c’est juste du pur ego.
Pour Joël, ce type de hacker a une logique complètement différente, très capitalistique, très “taylorisée”. De façon schématique, il y a des groupes qui font des repérages discrets, pour ensuite vendre ces accès à telle ou telle société, aux enchères à d’autres groupes de hackers.
Les failles sont achetées par d’autres groupes aux enchères, généralement sur le dark net.
Ces groupes qui vont soit les exploiter, soit faire du “access broker “de sociétés qui ont été percées. Ce groupe est dans une logique de retour sur investissement. À partir du moment où il va mettre un euro, un dollar ou un rouble pour passer du temps sur une attaque il doit récupérer en échange plus que ce qu’il a mis.
Forme de militantisme qui utilise ses compétences en piratage informatique dans le but de favoriser des changements politiques ou sociétaux. Cette catégorie a des causes à défendre. On pense par exemple au collectif Anonymous, etc.
Selon Joël, c’est beaucoup plus compliqué. Il nous rappelle qu’un certain nombre de gouvernements sur la planète se sont organisés avec des éditeurs de logiciels pour imposer des “backdoor”. Et même en l’absence de ce type de failles, ceux-ci disposent de moyens énormes. « S’ils veulent entrer ils entreront !»
Le “truc”, là aussi, c'est de mettre des barrières pour essayer de détecter et réagir en cas d’attaque.
Joël cite en exemple des affaires invraisemblables. Par exemple Stuxnet ce virus, créé pour ou par les services secrets américains et israéliens dans le but de ralentir le programme nucléaire iranien.
Face à toutes ces typologies d’attaque possible, Joël rappelle qu’une analyse de risques est à mener. Il confie cependant que, hors grandes cibles emblématiques telles que les banques et grandes entreprises exposées pour la majorité des entreprises, ce n’est pas la peine de mener une course aux armements et aux investissements en cybersécurité. En étant déjà meilleur que la plupart des concurrents du marché des attaques, en mettant quelques barrières, on représente une cible moins facile et on abaisse le niveau de risques.
Tous les ingrédients du mauvais polar sont présents dans cette première expérience de crise cyber vécue par Joël Olivier : une DSI qui fait une crise cardiaque sur son lieu de travail le dimanche, une attaque préméditée par un pirate qui ciblait l’entreprise, des erreurs de procédures internes qui ont compromis la recevabilités de certaines preuves du dossier d'enquête, 400 salariés potentiellement au chômage…Et finalement un SI complet à reconstruire !
Suite à des dysfonctionnements sur des serveurs qui s’éteignent, Joël est appelé via un cabinet de management de transition…Il allait attaquer sa mission le lundi. Finalement ce n’est pas la mission qui a été attaquée, mais le système d’information ! Tous les serveurs ont été chiffrés par un ransomware le week-end précédant sa prise de fonction. De plus, la DSI en place a, elle-même, fait une attaque cardiaque dans les locaux de l’entreprise le dimanche de ce même week-end (elle s’en est bien sortie).
Point particulier, c’était une société qui sortait d’une procédure de sauvegarde de l’emploi et qui avait licencié une grande partie de l’équipe informatique. En clair, avec la DSI en arrêt, personne pour réagir et connaître les situations ! Parmi les souvenirs de cette expérience, Joël nous raconte qu’il a eu à composer avec les injonctions contradictoires de la police judiciaire et d’une direction générale. La première lui demandant de ne rien toucher pour ne pas compromettre les constatations «ne touchez à rien !» demande-t-on d’un côté….De l’autre on lui demande de tout remettre en route pour sortir de la situation !
En croisant les vulnérabilités ciblées par le pirate et les CV des membres de l’entreprise, très rapidement, une série de non-coïncidences ont conduit les enquêteurs à se diriger vers un ancien collaborateur du service informatique.
Placé en garde à vue, celui-ci est passé aux aveux. Cerise noire sur ce mauvais gâteau, le criminel avait arrêté les sauvegardes six mois avant l’attaque…L’entreprise en a, entre autres, été quitte pour une ressaisie de six mois de comptabilité. 🙂
Cher lecteur, si vous voulez connaître la fin de l'histoire, comment le système d’info est-il réparti et quel a été le jugement rendu à l'encontre du pirate ? Rendez-vous dans la version audio de l’épisode, le récit complet vaut le détour, c’est digne d’un film !
DSI/RSSI d’une filiale française d’un groupe de 500 000 personnes, Joël a reçu un jour l’appel du SOC, la société qui supervise les serveurs. Au téléphone, on le prévient : «On a dix de vos serveurs virtuels passés brutalement à 100% de CPU et on sent que…»
«Coupez tout, tout de suite, extinction électrique, extinction des PC, de serveurs, je monte voir le président » leur a-t-il alors répondu.
Dans ces moments-là, on réalise à quel point la qualité de la relation avec sa direction est fondamentale… La bonne communication entre ces deux hommes a en effet permis à Joël et aux équipes de ne pas ajouter de sur-stress, “toxique” à la situation déjà extrêmement compliquée.
Parmi les retours d'expérience clé, Il souligne à quel point en cas de crise, la position de DSI de transition est adaptée à ce type de situation.
Cependant il rappelle que même si on est un externe, on peut aller plus facilement encore qu’un salarié venir te chercher en responsabilité.
Pour la petite histoire donc, l’équipe a rallumé par petits morceaux «juste pour comprendre pas pour nettoyer». Une fois établi que le ransomware avait été distribué via l’active directory du groupe, sur l’intégralité du SI avec des tâches planifiées…”la totale” confie Joël. Celui-ci a alors pris contact avec le RSSI du groupe pour reporter la situation. La consigne groupe est alors surprenante : «Tu rallumes tout, il faut qu’on voie le pirate évoluer on est avec les services de police et la dark team de Microsoft».
Dans le cadre de son devoir de conseil, Joël a dit non. Ce n’était ni éthique ni acceptable. Il a alors demandé et obtenu le soutien de son président de filiale, qui a géré de son côté la crise avec le président du groupe.
Grâce à l’action de Microsoft qui a sorti ses backdoors le système d’info groupe a pu repartir.
Le montant de la rançon demandée par les pirates était de 15 millions d’euros. Le coût direct de la crise a été estimé à 100 millions d’euros.
Dans certains cas de figure très précis Joël n’est pas formellement opposé au paiement d’une rançon.
Joël partage plus brièvement une troisième histoire de crises qu’il a vécue dans le secteur de la distribution au sein d’un groupe de 800 personnes ciblé par un virus qui se propageait via le partage de fichiers Windows. Dans cette troisième affaire l’enjeu a été de comprendre et traiter le mécanisme d’infection. Le point à retenir porte sur l’importance du carnet d’adresses dans ces moments-là.
En effet, pour gérer cette crise et stopper le mécanisme de propagation / infection, Joël s’est appuyé sur une équipe réduite composée de cinq externes de bon niveau aux compétences clés avec qui il avait déjà travaillé. Dans ces crises, disposer d’un carnet d’adresses mobilisable rapidement est l’une des clés partagée par notre DSI de transition expert des crises.
À la fin de l’épisode, Joël Olivier s’est prêté au jeu des bonnes pratiques en gestion de crises cyber du point de vue d’un DSI de transition avant, pendant et après une crise. Du plus basique au plus pragmatique, elles sont garanties 100% terrain…
Tout est dans la préparation ! Dans le cas des grands groupes, il conseille par exemple de créer un canal de communication parallèle via un réseau, coupé de l’active directory et du SI. Avec par exemple la création d’une boucle signal, wired, telegram, whatsapp, surtout si la DSI est importante.
Autre point de prévention : externaliser une partie des documents de gestion de crise sur un cloud non connecté au SI. Dont l’annuaire des contacts, il rappelle qu’il faut pouvoir joindre le président et tous les gens concernés quand rien ne marche.
Cela paraît tomber sous le sens après coup, mais parmi les bonnes pratiques…Joël conseille de se constituer une équipe, un portefeuille d’une bonne dizaine d’experts, des personnes avec qui on a déjà collaboré pour pouvoir monter un squad commando en cas de crise.
Côté prévention et anticipation toujours, il recommande bien sûr de mener des “pen-tests”, des tests de pénétrations chaque année. Et de varier les prestataires dans ce domaine. Interrogé sur les montants et modalités qu’il conseille, il évoque une fourchette de 20 à 250 K€. Personnellement il aime bien partir du nom de domaine comme source de vulnérabilité à tester.
Revenant sur l’une des histoires dont il témoigne, il souligne à quel point le bon “fit” préalable qui existait entre les personnes était absolument fondamental. “Tu ne peux pas faire ça si en amont tu n’as pas construit une relation.”
“Une règle de base, le responsable prend le stress. Plus tu prends le stress, moins tes équipes le prennent, mieux elles vont travailler. C'est notre rôle de prendre la pression en tant que manager”. Les équipes sont en effet exposées à des tensions et à une fatigue hors norme. Inutile d’ajouter de la sur tension superflue.
Repérer les bons experts avec qui on pourrait réintervenir. Garder le contact avec les experts de bon niveau pour se constituer un carnet d’adresses. Une bonne dizaine qui deviendra votre réseau d’experts en gestion de crise.
“Toujours intervenir à deux”. C'est l’autre top bonne pratique recommandée par notre expert de gestion de crise : “Dans la mesure du possible, intervenir de préférence à deux. Cela permet de prendre du recul, on a besoin d’échanger !”
“Payer les rançons parfois !” Oui, ce n’est pas un discours que l’on entend fréquemment en public. Sans en faire la promotion, il y a des situations où ce jeu en vaut la chandelle pour Joël.
“Ne pas forcément chercher à tout nettoyer/réparer”. En fonction des situations, réparer prend un temps inouï versus une stratégie de reconstruction ! Et si l’optique choisie est de nettoyer, ça veut dire entre autres de passer au minimum trois antivirus différents.
Gérer le repos d'après-crise. “L’après crise ce n’est vraiment pas simple prévient Joël. Il recommande de faire attention au repos et à la décompression des équipes qui ont été sous adrénaline. “Après la crise tout le monde est épuisé, Il ne faut pas hésiter à dire “je ne suis pas là pendant deux / trois jours parce que j’ai besoin de récupérer, pareil pour les équipes.”
Préparer le retour à un état d’esprit normal “hors crise”. C’est l’autre syndrome post-traumatique à anticiper après une crise cyber de haute intensité, le changement de mindset.
« Il ne faut jamais gaspiller une bonne crise » Joël a rappelé le célèbre adage attribué à Sir Winston Churchill. Il conseille en effet de profiter de la courte onde de choc générée pour engager les lignes de crédit qui sont ouvertes pendant une durée limitée.
Le podcast pour comprendre comme le métier de DSI est en train de changer. D'un métier technique à un métier orienté business, le DSI est la clef de la transformation de nos entreprises.
Chaque semaine, Bertran ruiz discute avec les CIO et DSI qui se livrent, et vous partagent leurs expériences. Un condensé de savoir et d'apprentissage.