Qu'attendre De L'edr Pour Protéger Un Parc Informatique ?

N°1 - 18€ 3ÉME TRIMESTRE 2020 LE JOURNAL DES RISQUES CYBER www.l1focr.com

• Conformité : les conséquences de • Outils : Appliances l’annulation de Privacy Shield firewall ou l’essor de la virtualisation • Techno : l’analyse d’ORC, outil • Menaces : Emotet, le retour open source de collecte des données • Projets : Campus Cyber, forensiques fourni par l’ANSSI ça se précise !

ENDPOINT DETECTION AND RESPONSE Qu’attendre de l’EDR pour protéger un parc informatique ?

Comment la région Grand Est a maîtrisé sa plus grande cyberattaque

Couverture_CR2.indd 1 09/09/2020 23:44 L'1FO-CR

38 rue Jean-Jaurès 92800 Puteaux – France Édito Tél. : +33 (0)1 74 70 16 30 | Fax : +33 (0)1 40 90 70 81 Les indicateurs sont au rouge. Il y a deux fois plus de cas que voici [email protected] RÉDACTION quelques semaines. Nous ne sommes pas préparés pour faire face Guillaume Périssat (rédacteur en chef délégué) à une recrudescence massive. Les comportements individuels et avec Bertrand Garé et la collaboration de Julien Alis, Isabelle Cantero, Eric A. Caprioli, collectifs se dégradent. Les mesures de protection et d’hygiène Marina Casas, Alain Clapaud, Paul-Olivier Gibert, sont négligées. De quoi parlons-nous ? De l’épidémie de Covid-19 ? Christophe Guillemin, Claude Marson et Thierry Thaureaux. Bien sûr, mais pas seulement ! Tout ce qui vient d’être écrit peut [email protected] s’appliquer de la même manière à la cybersécurité et aux risques CHEF DE STUDIO cyber. Les similitudes sont flagrantes et les conséquences, si elles Franck Soulier Illustrations vectorielles : Designed by Freepik ne portent pas sur la vie humaine – du moins pour le moment – PUBLICITÉ peuvent être particulièrement graves pour une économie déjà sous Tél. : +33 (0)1 74 70 16 30 | Fax : +33 (0)1 40 90 70 81 perfusion. Imaginons maintenant une cyberattaque visant un hôpi- [email protected] tal comme cela a déjà pu se produire encore récemment. Quelles VENTE AU NUMÉRO France métropolitaine 18 € TTC (TVA 5,5%) pourraient être les conséquences pour la vie des patients, dans une ABONNEMENTS période de pandémie ? France métropolitaine 60 € TTC (TVA 5,5%) Toutes les offres : visiter pcpresse.com, Il est plus urgent que jamais que les professionnels de la sécurité, rubrique s'abonner. acteurs comme utilisateurs, tirent la sonnette d’alarme et alertent Pour toute commande d’abonnement d’entreprise ou d’administration avec règlement sur la nécessité d’une mobilisation massive, à l’échelle internatio- par mandat administratif, adressez votre bon nale. C’est dans tous les cas le message que nous essaierons de de commande à : PC Presse - L'1FO-CR, service abonnements, 38 rue Jean-Jaurès faire passer dans cette publication. 92800 Puteaux – France ou à [email protected] La Rédaction IMPRESSION Imprimé en France par SIB (62) Dépôt légal : 3ème trimestre 2020 Toute reproduction intégrale, ou partielle, faite sans le consentement de l’auteur ou de ses ayants Sommaire droit ou ayants cause, est illicite (article L122-4 du Code de la propriété intellectuelle). TABLEAU DE BORD Toute copie doit avoir l’accord du Centre français • Un tiers des attaques sont menées via des outils bien connus du droit de copie (CFC), 20 rue des Grands-Augustins 75006 Paris. Cette publication peut être exploitée • Les RSSI sous pression et leurs budgets aussi ! dans le cadre de la formation permanente. • Pandémie : les dirigeants français pris au dépourvu Toute utilisation à des fins commerciales de notre contenu éditorial fera l’objet d’une demande • Rançongiciel : 18% des victimes capitulent préalable auprès du directeur de la publication. • Phishing LinkedIn L'1FO-CR est publié par PC PRESSE, S. A. • Cryptomonnaies : Ledger attaqué… p. 4 au capital de 130 000 euros, 443 043 369 RCS Nanterre. Siège social : 38, rue Jean-Jaurès, 92800 Puteaux, France. POSTMORTEM ISSN en cours Comment la région Grand Est a maîtrisé sa plus grande cyberattaque p. 6 Un magazine du groupe , DIRECTEUR GÉNÉRAL, DIRECTEUR DE LA PUBLICATION : Michel Barreau CONFORMITÉ Quelles conséquences pour les entreprises Abonnez-vous à L'1FO-CR après l’annulation du Privacy Shield ? p. 8 Le journal des risques cyber ! OUTILS 1 AN - 4 NUMÉROS : 60 € TTC Quel rôle doit jouer l’EDR pour protéger 2 ANS - 8 NUMÉROS : 110 € TTC un parc informatique ? p. 9 Les principaux EDR du marché p3. 1 Offert avec votre abonnement Modélisation de la sécurité : comment faire du vent « RGPD et droit des données avec de vrais problèmes p4. 1 personnelles » de Fabrice Mattatia. Appliances firewall : l’essor de la virtualisation p8. 1 (délégué à la protection des données dans une grande administration). 280 pages, 4ème édition, août 2019, Éditions Eyrolles, prix public : 35€. TECHNO Enfin un manuel complet sur le nouveau cadre L'ANSSI a publié dans l’open source le code d'ORC, juridique issu du RGPD et de la loi Informatique son outil de collecte de données forensiques p2. 2 et Libertés de 2018 ! Au sommaire : • Les grands principes • Le cadre juridique applicable en France • Applicabilité et principaux droits TRIBUNE • Principales obligations • La Commission nationale de l'informatique et des libertés (CNIL) • Vie privée en ligne, Comment protéger les données à caractère personnel réseaux sociaux et identité numérique • Autres textes

concernant les données personnelles • Que risquez-vous devant de ses collaborateurs tout en favorisant le télétravail ? p. 25 un tribunal ? • Les sanctions de la CNIL • Plan d'action pratique. Bulletin d’abonnement à compléter sur : PROJETS www.pcpresse/abonnement Campus Cyber : ça se précise ! p6. 2

CR2-Som_Edito_Ours_Promo.indd 2 09/09/2020 23:21 Publi-information Invalidation du Privacy Shield : trois questions à Luc d’Urso, CEO du Groupe Atempo.Wooxo Qu’est-ce le Privacy Shield ? aux entreprises américaines La Directive Européenne Le Privacy Shield (en français d’apporter des garanties « suffi- de Protection des Données Quelles alternatives et solutions proposées « bouclier de protection des don- santes » en matière de mesures Personnelles a été rempla- aux entreprises pour être en conformité ? nées ») est un accord dans le de protection des données per- cée par le RGPD adopté par La meilleure option consiste à opérer domaine du droit de la protec- sonnelles provenant d’Europe. le Parlement Européen en avril un rapatriement des données concernées tion des données personnelles, 2016 et entrée en vigueur dans et en confier le traitement à des fournisseurs qui a été négocié entre l'Union Invalidation du Privacy Shield, les 27 Etats membres de l’UE 100% européens. Ces solutions existent : européenne et les États-Unis quels impacts pour les entre- en mai 2018. Le 16 juillet der- European Champions Alliance – Cartographie d'Amérique. L’Union Européenne prises européennes ? nier la Cour de justice de l'UE et Buyers Guide disponibles : avait reconnu en Août 2016, Le Privacy Shield était un (CJUE) a rendu un arrêt dans https://european-champions.org/ focus-group-cybersecurity le Privacy Shield conforme mécanisme d’auto-certifica- l'affaire connue sous le nom à la Directive Européenne tion puisque les entreprises de Schrems II (C-3111-18), PlayFranceDigital – Cartographie disponible : de Protection des Données américaines s'engageaient à dans laquelle les mécanismes www.lesacteursdunumerique.fr/ Personnelles en vigueur. respecter ces obligations pour de transfert de données per- Innovalead – Guide des Solutions Ce « bouclier de protection être inscrites dans la liste des sonnelles entre l'UE et les alternatives : https://innovalead.fr/ des données » permettait entreprises certifiées. États-Unis ont été contestés. Les-solutions-DigitalWorkplace-alternatives

L’argument qui a primé étant que la législation américaine ne permet pas de garantir réellement une protection des données personnelles en provenance de l'UE qui soit conforme au Règlement Européen sur la Protection des Données (RGPD). Les entreprises ayant trans- Miria, la voie royale féré leurs données vers l’une des quelques cinq mille solutions américaines (appli- pour Invalidationmigrer duvos Privacy GRANDS Shield* cations SAAS, hébergeurs ou autres services cloud) signa- Il est urgent de rapatrier vos données taires du Privacy Shield, sont VOLUMES de donnés depuis la mi-juillet dans l’illé- galité et doivent se mettre à la recherche de solutions leur permettant de revenir rapidement dans le cadre légal.

Revenons sur cette déci- sion et ses impacts pour les entreprises européennes : L’argument qui a motivé l’annulation est que la législation américaine ne permet pas de garantir réellement une protection des données personnelles en provenance de l'UE qui soit conforme au RGPD. Cette décision n’empêche donc pas les entreprises soumises au

* Le 16 juillet 2020, la Cour de Justice de l’UE (CJUE) a annulé le Privacy Shield. Les entreprises ayant transféré leurs données vers l’une des +5000 solutions américaines (applications SAAS, hébergeurs RGPD de transférer des don- ou autres services cloud) signataires du Privacy Shield, sont depuis la mi-juillet dans l’illégalité et doivent se mettre à la recherche de solutions leur permettant de revenir rapidement dans le cadre légal. nées à caractère personnel vers les Etats-Unis, mais elle inva- Miria garantit la performance et le succès de la migration lide la base légale sur laquelle la grande majorité de ces transferts de vos données vers de nouveaux services 100% européens étaient réalisés. Les mécanismes permettant les transferts devront donc être strictement encadrés par des clauses contractuelles types (CCT) garantissant la conformité desdits mécanismes au RGPD. Dans la pratique, ces entreprises s’exposent à des amendes conséquentes en cas de non-conformité avérée des N°1 EUROPEAN SOFTWARE VENDOR FOR DATA PROTECTION w w w . a t e m p o . c o m mécanismes utilisés et l’appel en responsabilité des entreprises américaines paraît illusoire.

PUBLI-ATEMPO.indd 3 09/09/2020 22:31 Cryptomonnaies : Ledger attaqué TABLEAU DE BORD Les plateformes d’échange de cryptomonnaies sont fréquemment la cible d’attaques. Quand le Bitcoin était à son plus haut, les tentatives étaient quotidiennes, et régulièrement couronnées de succès, les hackers volant ici et là l’équivalent de quelques centaines de milliers de dollars en devises virtuelles. Rapport Kaspersky : Enquête HackerOne Le rythme a quelque peu diminué mais l’industrie reste une proie particu- un tiers des attaques Les RSSI sous pression et leurs budgets lièrement alléchante pour les cybercriminels. Ledger, entreprise française spécialisée en cryptowallets, des systèmes de stockage de cryptomonnaie, est mené via des outils bien aussi ! n’y a pas échappé. La société annonce avoir été victime d’une intrusion dans ses serveurs. C’est par le biais de son programme de bug bounty que Ledger connus La plateforme de sécurité collaborative HackerOne a mené une enquête sur les a été informé, en juillet dernier, d’une potentielle vulnérabilité sur son site web. défis des RSSI à l’ère de la pandémie de Covid. Cette enquête a été confiée à Aussitôt signalée, aussitôt corrigée. 25,4% Opinion Matters qui a interrogé quelque 1400 RSSI et DSI d’entreprises de plus Néanmoins, se penchant sur cette faille, l’équipe de Ledger découvre, une 22,2% PowerShell 25,4% de 1000 employés en France, Allemagne, Royaume-Uni, Australie, États-Unis, semaine environ après les faits, que celle-ci a été exploitée, permettant à un PsExec Autres outils Canada et Singapour au mois de juillet 2020. Concernant les seuls RSSI français tiers non autorisé d’accéder à une base de données. L’entreprise prévient : les 70% d’entre eux (66% au niveau mondial) estiment que suite à la pandémie leur entreprise est plus exposée aux violations de données. Pourtant 30% des RSSI français indiquent que les budgets de sécurité au sein de leur organisation ont été négativement impactés par la crise (25% au niveau mondial). Selon Marten Mickos, PDG de HackerOne, « la crise liée au COVID-19 a fait bascu- Phishing ler pratiquement tous les aspects de notre vie en ligne. La pression pour répondre aux exigences du travail à distance et aux demandes des clients en matière de LinkedIn services numériques a considérablement élargi les surfaces d'attaque, laissant les Le laboratoire de recherche équipes de sécurité à bout de souffle. Dans ce contexte d’urgence, de plus en plus de Zscaler a découvert dans 14,3% d’organisations ont pris conscience des avantages de recourir à une communauté le courant du mois d’août un SoftPerfect 4,8% de hackers pour se protéger contre les activités malveillantes ». schéma d’attaque. Ce labo 7,9% Process HackerOne indique une augmentation de 56% des inscriptions de hackers sur dénommé ThreadLabZ a ProcDump Hacker sa plateforme depuis mars dernier. constaté un fort trafic ayant Dans son rapport mondial Incident Response Analyst pour origine un site mali- concernant l’année 2019, Kaspersky souligne que 30% des 28% cieux utilisant LinkedIn pour cyberattaques sur lesquelles a enquêté son équipe Global bâtir un schéma d’ingénie- des RSSI français affirment rie sociale afin de voler des Emergency Response impliquaient des logiciels administra- que les initiatives de transformation identifiants d’utilisateurs et tifs et de gestion authentifiés. Ce sont surtout les logiciels numérique se sont multipliées. de monitoring qui paraissent la cible des hackers. Kaspersky de placer des codes mali- cite PSExec et SoftPerfect Network Scanner mais égale- cieux sur leurs publications. Les attaquants utilisaient un 4 ment PowerShell. Pour Bertrand Trastour, Head of B2B, Kaspersky France, Afrique du Nord, de l’Ouest et Centrale, site légitime chez un héber- « pour éviter de se faire détecter et rester invisible le plus 36% geur connu, Yola, pour stocker longtemps possible sur le réseau de l’entreprise ciblée, les des RSSI français ont observé une leur contenu malveillant. Les attaquants utilisent fréquemment des logiciels qui sont norma- augmentation des attaques contre codes malveillants semblent lement développés pour les activités quotidiennes, comme le leurs systèmes informatiques. en relation avec le malware traitement des tâches liées à l’administration réseau et les dia- Agent Tesla et un code gnostics système. En effet, grâce à ces outils, les attaquants encore inconnu et pas encore peuvent recueillir des informations sur le réseau de l’entreprise vu en action. Le but semble et effectuer des actions parallèles à celles des administra- 70% être le vol d’informations et teurs, comme modifier les paramètres des logiciels et ceux des RSSI français leur exfiltration via SMTP. estiment que leur entreprise des appareils, ou mettre en place des actions malveillantes L’appât premier consistait en est plus exposée aux violations (crypter les données des clients par exemple). Utiliser des logi- une page reprenant le logo de données. ciels authentifiés et légitimes peut également aider les pirates de LinkedIn qui prétendait à rester inconnus des analystes sécurité, car souvent l'attaque proposer des emplois dans n’est détectée qu'une fois les dommages causés. S’il n'est pas toutes les régions du monde possible pour l’entreprise d'exclure ces outils de monitoring pour une compagnie appe- 33% lée « Jobfinders 3ee ». Un lien et de gestion - car ils permettent son bon fonctionnement - la des RSSI français sont plus enclins invitait à télécharger un fichier mise en place de systèmes d’authentification et de détection à accepter des rapports ZIP qui contenait les binaires permet de repérer les activités suspectes sur le réseau et les sur la sécurité de l'information attaques complexes à des stades plus précoces ». de la part de chercheurs tiers. .Net infectés. Une deuxième étape, sous la forme d’une page LinkedIn, demandait encore plus d’informations personnelles Rançongiciel : 18% des victimes capitulent comme le numéro de télé- phone et le pays.

TABLEAU DE BORD Le dernier rapport de l’assureur Hiscox apporte à la peuvent avoir. 15 % des entreprises indiquent avoir L’attaque se déroule ainsi en fois la possibilité d’être optimiste ou pessimiste selon plus de mal à attirer des clients. 11 % constatent plusieurs phases et vise spé- les points observés dans le rapport. Ainsi le nombre des pertes de clients ou de partenaires commer- cifiquement des utilisateurs des attaques a diminué fortement de 61 à 39 %. En ciaux (12 %). Ces points s’ajoutent à l’arrêt brutal LinkedIn. L’exfiltration des revanche l’intensité des attaques est en hausse. de l’activité, les conséquences en termes d’image données se réalisait sur des Les pertes liées à ce type d’attaque ont été mul- et de réputation. adresses mails spécifiques tipliées par 6. Les rançongiciels connaissent une Frédéric Rousseau, en charge du marché Cyber comme « linkedin.job » ou recrudescence importante (+ 19 %). Enfin 18 % des chez Hiscox indique, qu’en moyenne, 80% des « linkedin.office » qui semblent victimes capitulent et paient la rançon. entreprises ayant perdu leurs données informa- avoir été créées spécifique- Le rapport fait le point aussi sur les conséquences tiques après une cyberattaque font faillite dans les ment pour cette attaque selon de ces attaques et les impacts à long terme qu’elles 12 mois. les chercheurs du laboratoire.

TDB_CR2.indd 4 09/09/2020 22:32 Cryptomonnaies : Ledger attaqué Les plateformes d’échange de cryptomonnaies sont fréquemment la cible informations de paiement et les fonds stockés n’ont pas été affectés. Les pirates d’attaques. Quand le Bitcoin était à son plus haut, les tentatives étaient quo- ont eu accès à une base de données marketing et e-commerce, « utilisée pour tidiennes, et régulièrement couronnées de succès, les hackers volant ici et là envoyer des confirmations de commande et des e-mails promotionnels ». Un l’équivalent de quelques centaines de milliers de dollars en devises virtuelles. accès obtenu via une clé API, désactivée depuis. Enquête HackerOne Le rythme a quelque peu diminué mais l’industrie reste une proie particu- S’y trouvaient principalement un million d’adresses email d’utilisateurs, mais Les RSSI sous pression et leurs budgets lièrement alléchante pour les cybercriminels. Ledger, entreprise française aussi « un sous-ensemble comprenant également les coordonnées et les détails spécialisée en cryptowallets, des systèmes de stockage de cryptomonnaie, de la commande tels que le prénom et le nom, l’adresse postale, l’adresse e-mail aussi ! n’y a pas échappé. La société annonce avoir été victime d’une intrusion dans et le numéro de téléphone ». Ces dernières données concernent 9500 utilisateurs.

ses serveurs. C’est par le biais de son programme de bug bounty que Ledger En réaction, Ledger a prévenu la Cnil puis a fait appel à Orange CyberDefense TABLEAU DE BORD La plateforme de sécurité collaborative HackerOne a mené une enquête sur les a été informé, en juillet dernier, d’une potentielle vulnérabilité sur son site web. « pour évaluer les dommages potentiels de la violation de données ». défis des RSSI à l’ère de la pandémie de Covid. Cette enquête a été confiée à Aussitôt signalée, aussitôt corrigée. Ledger surveille les places de marché bien connues des hackers afin d’y repé- Opinion Matters qui a interrogé quelque 1400 RSSI et DSI d’entreprises de plus Néanmoins, se penchant sur cette faille, l’équipe de Ledger découvre, une rer la vente de ces données, et explique avoir réalisé et planifié la réalisation de 1000 employés en France, Allemagne, Royaume-Uni, Australie, États-Unis, semaine environ après les faits, que celle-ci a été exploitée, permettant à un de plusieurs pentests. Une plainte a en outre été déposée, tandis que les uti- Canada et Singapour au mois de juillet 2020. Concernant les seuls RSSI français tiers non autorisé d’accéder à une base de données. L’entreprise prévient : les lisateurs affectés ont été notifiés. 70% d’entre eux (66% au niveau mondial) estiment que suite à la pandémie leur entreprise est plus exposée aux violations de données. Pourtant 30% des RSSI français indiquent que les budgets de sécurité au sein de leur organisation ont été négativement impactés par la crise (25% au niveau mondial). Selon Marten Mickos, PDG de HackerOne, « la crise liée au COVID-19 a fait bascu- Phishing ler pratiquement tous les aspects de notre vie en ligne. La pression pour répondre aux exigences du travail à distance et aux demandes des clients en matière de LinkedIn services numériques a considérablement élargi les surfaces d'attaque, laissant les Le laboratoire de recherche équipes de sécurité à bout de souffle. Dans ce contexte d’urgence, de plus en plus de Zscaler a découvert dans d’organisations ont pris conscience des avantages de recourir à une communauté le courant du mois d’août un de hackers pour se protéger contre les activités malveillantes ». schéma d’attaque. Ce labo HackerOne indique une augmentation de 56% des inscriptions de hackers sur dénommé ThreadLabZ a sa plateforme depuis mars dernier. constaté un fort trafic ayant pour origine un site mali- cieux utilisant LinkedIn pour 28% bâtir un schéma d’ingénie- des RSSI français affirment rie sociale afin de voler des que les initiatives de transformation identifiants d’utilisateurs et numérique se sont multipliées. de placer des codes mali- cieux sur leurs publications. Les attaquants utilisaient un site légitime chez un héber- 5 geur connu, Yola, pour stocker leur contenu malveillant. Les codes malveillants semblent en relation avec le malware Agent Tesla et un code encore inconnu et pas encore vu en action. Le but semble 70% être le vol d’informations et des RSSI français leur exfiltration via SMTP. estiment que leur entreprise L’appât premier consistait en est plus exposée aux violations une page reprenant le logo de données. de LinkedIn qui prétendait proposer des emplois dans toutes les régions du monde pour une compagnie appe- lée « Jobfinders 3ee ». Un lien invitait à télécharger un fichier ZIP qui contenait les binaires .Net infectés. Une deuxième étape, sous la forme d’une page LinkedIn, demandait encore plus d’informations personnelles comme le numéro de télé- phone et le pays. peuvent avoir. 15 % des entreprises indiquent avoir L’attaque se déroule ainsi en plus de mal à attirer des clients. 11 % constatent plusieurs phases et vise spé- des pertes de clients ou de partenaires commer- cifiquement des utilisateurs ciaux (12 %). Ces points s’ajoutent à l’arrêt brutal LinkedIn. L’exfiltration des de l’activité, les conséquences en termes d’image données se réalisait sur des et de réputation. adresses mails spécifiques Frédéric Rousseau, en charge du marché Cyber comme « linkedin.job » ou chez Hiscox indique, qu’en moyenne, 80% des « linkedin.office » qui semblent entreprises ayant perdu leurs données informa- avoir été créées spécifique- tiques après une cyberattaque font faillite dans les ment pour cette attaque selon 12 mois. les chercheurs du laboratoire.

TDB_CR2.indd 5 09/09/2020 22:32 and Response) de l’éditeur Cybereason. « Un EDR exploite classiquement une base virale et de l’analyse comportementale, mais Comment la région Grand Est y ajoute de l’intelligence artificielle permettant d’identifier tous les usages anormaux des machines connectées au SI », résume Julien a maîtrisé sa plus grande cyberattaque Vallée. Grâce à cet EDR, Advens analyse les exécutions suspi- cieuses pour « remonter le fil En février dernier, en plein premier tour des municipales, le SI de la l’arme des cybercriminels a en déjà une relative connaissance de d’Ariane des infections » et isoler revanche été rapidement recon- leur SI », explique Julien Vallée. les machines potentiellement région Grand Est était paralysé par le ransomware Dridex. Pendant nue : il s’agissait du malware Une équipe de 8 personnes est infectées. Le 17 février, un ren- plus d’une semaine, environ 2 000 agents n’avaient plus accès à Dridex, utilisé le plus sou- mobilisée à la DSI ainsi que forcement des règles des firewalls vent pour le vol d’informations cinq du côté d’Advens. La pre- est également réalisé. leurs outils numériques. Une attaque sans précédent pour ce type d’identification bancaires (lire mière opération consiste à faire d’administration locale, mais plutôt bien maîtrisée par les équipes encadré). « Après avoir infecté un point sur la situation, avec Pas de vol plusieurs sessions de travail Citrix, un inventaire complet de l’ar- de données en place. Retour sur une gestion de crise « exemplaire » qui pourrait le malware est remonté jusqu’à chitecture réseau, des outils de l’annuaire AD (Active Directory) sécurité et aussi des moyens Entre les mesures bloquant la devenir un cas d’école. en quelques heures », indique humains. Étape suivante : iden- propagation du virus et celles Julien Vallée, manager au sein tifier le type d’attaque. « Nous visant à restaurer les données, du Computer Security Incident avons collecté tous les logs des les services sont progressive- Response Team (CSIRT) d’Ad- solutions de sécurité, dont les anti- ment rouverts le 20 février. vens. Une fois dans l’annuaire, virus et les VPN », poursuit Julien Environ cinq jours plus tard, le code malveillant a cryptolocké Vallée. Les suspicions vont le SI retrouve son fonctionne- les services d’authentifications rapidement porter sur Dridex ment normal. « Grâce à l’EDR et les accès aux différentes dont le mode de propagation nous avons pu suivre la dispari- applications, dont la message- est reconnaissable, en ciblant tion progressive des souches virales rie et les services dans le cloud. d’abord l’AD. Dridex avant de rouvrir le SI », Il a ensuite poursuivi sa pro- Par mesure de précaution, indique Advens. pagation sur le SI. Le 14 février, dès le 14, l’ensemble du SI Quel aura été l’impact de cette à 8 heures du matin, les 80 est « débranché », l’accès aux attaque ? « A priori, nous n’avons serveurs Windows de la collec- différents services est bloqué eu aucun vol de données à déplo- tivité étaient paralysés. « Nous tout comme le partage réseau. rer, mais nous restons prudents », disposons également de serveurs L’écriture via le protocole SMB souligne Pierre Gundelwein. sous Linux qui ont échappé à l’at- (Server Message Block) est éga- Par mesure conservatoire, il a taque. Ils hébergent la plupart de lement coupée. « Cela nous a demandé à tous les utilisateurs nos applications métiers, notam- permis d’endiguer la propagation de changer leurs mots de passe ment pour les RH, les finances ou du code malveillant », indique- à chaque réouverture de ser- les fonctions administratives. Le t-on à la DSI. L’ensemble des vices. La principale conséquence logiciel libre est un avantage dans mots de passe administrateurs de l’attaque est donc le blocage ce type de situation », indique sont également changés en du SI, entre le 14 et le 20 février, Pierre Gundelwein. En 2019, urgence, car l’une des actions qui a considérablement compli- la région Grand Est a ainsi de Dridex est de collecter les qué le travail des 2 000 agents « outes les mesures ont Ses services administratifs Surtout que le niveau de sécu- décroché le niveau 4, sur une mots de passe dans l’annuaire. du siège, mais aussi de 169 élus 6 été prises pour gérer comptent environ 7 500 agents rité du SI de la région Grand Est échelle de 5, du label Territoire et des 180 membres du Ceser, cette attaque qui dont 2 000 au siège qui utilisent était dans la moyenne, sans être Numérique Libre de l’Adulact Une première le conseil économique, social peut encore entraî- un poste de travail informatique excessivement élevé. Selon la (Association des Développeurs tentative d’attaque et environnemental régional. ner quelques retards quotidiennement. La « surface DSI, il était simplement « cor- et Utilisateurs de Logiciels Libres « Cela s’est traduit par des retards dansT les réponses que nous appor- d’attaque » était donc relative- rect ». Qu’est-ce qui a fait la pour les Administrations et les le 12 février dans certains traitements de dos- tons ». C’est par ce tweet que ment large. différence ? « La réactivité de la Collectivités Territoriales). Le lendemain, toute l’attention siers, par exemple des demandes Jean Rottner, Président de la Autre point notable : l’incident DSI et la bonne coordination des Si les applications métiers ont se porte sur les récentes sau- d’aides et de subventions. Certaines région Grand Est, confirmait est survenu dans un contexte équipes ont été déterminantes », donc été épargnées, l’accès à la vegardes du SI, dont la dernière instances n’ont également pas pu le 20 février dernier la cybe- particulier, celui du premier poursuit Advens. « Nous avons messagerie et à la plupart des date du jeudi soir, quelques se tenir. Elles ont donc été repor- rattaque dont était victime son tour des élections municipales également profité d’un avantage outils bureautiques, dont Office heures avant l’attaque. « Il faut tées », indique la DSI. administration. Un « pira- de février 2020. « Il fallait com- technique : la présence d’ou- 365, était en revanche impos- vérifier ces sauvegardes pour évi- Suite à l’incident, divers ren- tage » d’abord évoqué par la muniquer rapidement afin d’éviter tils d’accès à distance au SI. Cela sible. Les données hébergées sur ter qu’elles ne soient elles-mêmes forcements de la sécurité du SI presse locale, dont le quoti- des communications divergentes », a grandement facilité et accéléré les serveurs de fichiers étaient compromises. Ce n’est donc pas ont été engagés. Tout d’abord, dien L’Union. « Mails et logiciels indique Nicolas Brossard, consul- la remédiation car nous n’avions également inaccessibles. forcément la toute dernière qui l’EDR Cybereason a remplacé en rade, réseau wifi et internet tant chez Advens, société de pas besoin d’envoyer des équipes Dans la journée du 14, la région est utilisée pour la restauration », progressivement les antivirus, inaccessibles… Tous les ordina- sécurité qui a accompagné la sur le terrain. Tout a été réalisé à Grand Est prévient les autorités, indique-t-on chez Advens. trop hétérogènes. Cet EDR est teurs des agents et des élus de la région Grand Est dans la ges- distance ». dont l’ANSSI ainsi que la police Parallèlement, l’analyse des aujourd’hui opéré et supervisé région Grand Est sont quasiment tion de crise et la remédiation. judiciaire. Pierre Gundelwein logs de sécurité se poursuit et en permanence par Advens afin inutilisables depuis vendredi », Élément de timing plus avanta- 80 serveurs bloqués présente également la situa- révèle une première activité de de réagir au plus vite en cas indiquait ainsi le journal rémois geux pour la collectivité : cette tion au président du conseil Dridex datant du 12 février à d’autre incident. Les firewalls dans son édition du 19 février. période correspondait aussi au en une nuit régional et au directeur géné- midi. Une autre attaque est éga- ont également été re-paramétrés « De Strasbourg à Châlons-en- début des vacances scolaires. Le point d’entrée de l’attaque ral des services. Entre-temps, lement décelée à 13 heures, le Champagne, il n’est plus possible « Cela en a considérablement reste flou.« Nous suspectons l’ar- une demande de rançon est même jour, mais exploitant un de travailler normalement », réduit l’impact. Des agents en rivée d’un e-mail comportant une reçue par la région Grand Est autre logiciel malveillant : Cobalt confiait un observateur au quo- congés sont revenus une semaine pièce jointe zippée vérolée. Mais (le montant n’est pas public). Strike. « Peut-être que l’attaque tidien. « Certains agents ou élus plus tard et ont pu reprendre leur nous n’écartons pas non plus une Par principe, la région refuse Dridex n’était qu’un écran de fumée, reçoivent encore des messages, travail sans aucun problème », faille dans l’infrastructure Citrix, de payer et prépare sa riposte. pour faire diversion, et que la réelle d’autres n’y ont plus accès », pré- indique Pierre Gundelwein, utilisée par des clients légers », La DSI contacte alors la société attaque était celle via Cobalt Strike. cisait pour sa part une élue. Un DSI de la région Grand Est. indique Pierre Gundelwein. Advens. « Nous avions réa- C’est un scénario possible », pour- agent confiait qu’il n’était« plus « L’attaque est également sur- Si le "patient zéro" n’a donc lisé plusieurs prestations pour la suit-on chez Advens. possible pour les collègues de bad- venue une veille de week-end, pas été clairement identifié, région Grand Est. Nous avions donc Au vu de ce premier historique ger à leur arrivée au travail car le dans la nuit du 13 au 14 février, d’attaques, la DSI et Advens POSTMORTEM programme relié aux badgeuses a vers minuit. Cela a aussi réduit décident d’utiliser une sauve- été atteint ». les conséquences, puisque pen- garde antérieure au 12 février, La cyberattaque de la région dant deux jours, peu de personnes « A priori, celle du 11 février pour les ser- Grand Est est notable à plus travaillaient ». veurs applicatifs. Elle sera d’un point. Tout d’abord, elle Dernière spécificité de cette nous n’avons eu progressivement déployée sur le est une des rares affectant cyberattaque : sa gestion par la aucun vol de données SI pendant plusieurs jours. « Nous une région, soit la plus large région Grand Est serait « exem- avons commencé par restaurer l’AD administration territoriale plaire », estime Advens. « Tous à déplorer, mais nous et le contrôleur de domaine », française. Et pas n’importe les bons réflexes ont été pris, tant restons prudents. » indique Pierre Gundelwein. Le laquelle : la région Grand Est, sur le plan de la communication que 17 février, la messagerie est de fusion des anciennes régions de la technique. Si l’attaque n’a pas Pierre Gundelwein, nouveau accessible tout comme Alsace, Champagne-Ardenne été déjouée, elle a été maîtrisée et DSI de la région Grand Est. l’application "Teams" d’Office et Lorraine, à la sixième place son impact considérablement réduit. 365. Le même jour, un nouvel hexagonale en termes de popu- Cela ne se passe pas toujours comme outil de sécurité est déployé : Le SOC d’Advens, qui compte plus d’une cinquantaine d’experts, lation (5,5 millions d’habitants). ça ! », souligne Nicolas Brossard. l’EDR (Endpoint Detection a participé au pilotage à distance de la crise et à sa remédiation.

CR2_POSTMORTEM.indd 6 09/09/2020 22:34 and Response) de l’éditeur et l’infrastructure Citrix mise à collectivités et aux entreprises. Cybereason. « Un EDR exploite jour. Enfin, la sécurité de l’AD a « Les collectivités territoriales ne classiquement une base virale et de été renforcée. Dridex cible la plateforme sont clairement pas à l’abri des l’analyse comportementale, mais Dernière étape en date : la région cyberattaques et elles peuvent Comment la région Grand Est y ajoute de l’intelligence artifi- Grand Est a porté plainte auprès Windows même représenter des proies cielle permettant d’identifier tous de la police judiciaire début juin. faciles, car elles n’ont pas tou- les usages anormaux des machines Un dépôt qui n’a pu être réa- Apparu en 2014, Dridex (alias Bugat ou Cridex) est un che- jours les moyens de se protéger », connectées au SI », résume Julien lisé précédemment à cause du val de Troie initialement utilisé pour le vol d'informations poursuit le responsable. « Pour a maîtrisé sa plus grande cyberattaque Vallée. Grâce à cet EDR, Advens confinement lié à l’épidémie autant, il reste difficile d’éva- analyse les exécutions suspi- de Covid-19. L’enquête révélera d'identification bancaires. Son usage a ensuite été décliné luer si la plupart de ces attaques cieuses pour « remonter le fil peut-être l’identité des atta- dans des domaines tels que l’espionnage industriel et, plus sont ciblées. Il semble plutôt que déjà une relative connaissance de d’Ariane des infections » et isoler quants, qui reste pour l’instant rarement, l’attaque de structures publiques. Selon un récent les cybercriminels fassent de la leur SI », explique Julien Vallée. les machines potentiellement inconnue. « Dridex est utilisé pour rapport de la société de sécurité Check Point, ce malware a "pêche au chalut", donc de manière Une équipe de 8 personnes est infectées. Le 17 février, un ren- tellement de groupes de cybercri- très large et sans cibles précises. mobilisée à la DSI ainsi que forcement des règles des firewalls minels, qu’il est difficile de savoir déjà contaminé 3 % des entreprises mondiales. « Dridex cible Dans les mailles du filet, il y a par- POSTMORTEM cinq du côté d’Advens. La pre- est également réalisé. auquel nous avons eu affaire », la plateforme Windows et est diffusé via des campagnes de fois une collectivité, sur laquelle ils mière opération consiste à faire indique la DSI. spam (…) Il contacte un serveur distant, envoie des informa- lancent ensuite une attaque, sans un point sur la situation, avec Pas de vol tions sur le système infecté et peut également télécharger et savoir réellement de qui il s’agit ». un inventaire complet de l’ar- Une communication Un avis partagé par Nicolas chitecture réseau, des outils de de données exécuter des modules supplémentaires pour le contrôle à dis- Brossard d’Advens. « Oui, la "pêche sécurité et aussi des moyens Entre les mesures bloquant la de crise « réaliste » tance », précise Check Point qui l’a hissé, en avril dernier, à au chalut" semble être la pratique humains. Étape suivante : iden- propagation du virus et celles Parallèlement à la gestion tech- la troisième place de son classement des malwares les plus la plus courante. Dans le cas de la tifier le type d’attaque. « Nous visant à restaurer les données, nique de l’incident, la région région Grand Est, rien ne prouve que avons collecté tous les logs des les services sont progressive- Grand Est a dû communiquer utilisés au monde (derrière XMRig et Jsecoin). l’attaquant connaissait, a priori, cette solutions de sécurité, dont les anti- ment rouverts le 20 février. très rapidement sur la cyber- « Sa fonctionnalité première est celle d’un stealer, c’est-à- administration. Il ne savait proba- virus et les VPN », poursuit Julien Environ cinq jours plus tard, attaque, relatée par la presse dire le vol de codes d’accès de banque en ligne, afin que les blement pas qu’il s’attaquait à une Vallée. Les suspicions vont le SI retrouve son fonctionne- locale dès le 19 février. « Un attaquants puissent réaliser des virements frauduleux depuis grande administration française ». rapidement porter sur Dridex ment normal. « Grâce à l’EDR des piliers d’une bonne gestion Selon Jérôme Notin, un des dont le mode de propagation nous avons pu suivre la dispari- de crise est la communication », des comptes en banque compromis », observe pour sa part indicateurs démontrant la prédo- est reconnaissable, en ciblant tion progressive des souches virales souligne Pierre Gundelwein. l’ANSSI, dans un rapport paru en mai dernier. Son usage minance d’attaques non ciblées d’abord l’AD. Dridex avant de rouvrir le SI », « Une cellule de crise a été mise pour des demandes de rançon est permis par sa grande est le montant des rançons, qui Par mesure de précaution, indique Advens. en place dès le dimanche 16 février. modularité. Il intègre en effet plusieurs éléments, qui s’ac- est en général déconnecté de la dès le 14, l’ensemble du SI Quel aura été l’impact de cette Elle a produit un état quotidien de réalité. C’était le cas de la région est « débranché », l’accès aux attaque ? « A priori, nous n’avons la situation, transmis aux diffé- cumulent au fil de ses nombreuses mises à jour, dont un Grand Est, dont la rançon était différents services est bloqué eu aucun vol de données à déplo- rentes directions. Une page web loader, un keylogger, un spammer et un dérivé du code donc « incohérente », comme l’a tout comme le partage réseau. rer, mais nous restons prudents », spécifique a également été publiée malveillant Pony pour le vol de codes d’accès. « Dridex est indiqué la DSI. « Il y a d’autres L’écriture via le protocole SMB souligne Pierre Gundelwein. sur notre intranet pour tenir infor- exemples similaires. L’année der- (Server Message Block) est éga- Par mesure conservatoire, il a més les agents. Nous avons misé aussi susceptible de télécharger les rançongiciels BitPaymer nière, dans le sud de la France, une lement coupée. « Cela nous a demandé à tous les utilisateurs sur une communication la plus et DoppelPaymer en tant que seconde charge utile », pré- attaque a touché une PME et une permis d’endiguer la propagation de changer leurs mots de passe transparente possible ». Résultat : cise l’ANSSI. collectivité territoriale, le même du code malveillant », indique- à chaque réouverture de ser- « Nous n’avons pas eu de frictions Les principaux développeurs de Dridex seraient des week-end. L’entreprise a reçu une t-on à la DSI. L’ensemble des vices. La principale conséquence à déplorer. Les agents étaient plu- demande de rançon de 130 000 mots de passe administrateurs de l’attaque est donc le blocage tôt compréhensifs. » membres d’Evil Corp, un groupe cybercriminel russophone, euros alors que la collectivité s’est sont également changés en du SI, entre le 14 et le 20 février, Jean Rottner s’est exprimé sur actif depuis 2014. Il cible principalement le secteur de la vue réclamer : 5 000 euros ! » urgence, car l’une des actions qui a considérablement compli- le sujet lors de la commission finance, de la distribution et des institutions gouverne- Une culture de Dridex est de collecter les qué le travail des 2 000 agents permanente de l’assemblée du mentales et est à l’origine de la récente attaque du CHU mots de passe dans l’annuaire. du siège, mais aussi de 169 élus 14 février, le jour même de l’at- de la cybersécurité et des 180 membres du Ceser, taque. Et en externe, il a donc de Rouen (lire CyberRisques n°1, p. 6). 7 Une première le conseil économique, social évoqué l’incident sur Twitter le à développer tentative d’attaque et environnemental régional. 20 février. « Nous nous sommes Cette multiplication d’attaques « Cela s’est traduit par des retards positionnés en victime, ce qui était par des opposants politiques, qui à six mois avant celle de Dridex, de collectivités n’est pas sans le 12 février dans certains traitements de dos- le cas. Nous avons expliqué que n’était pas impossible en période notamment par injection SQL. Mais poser problème. Car l’impact Le lendemain, toute l’attention siers, par exemple des demandes nous avions été agressés et que nous électorale. Pour les équipes opéra- rien de comparable avec celle de peut être potentiellement très se porte sur les récentes sau- d’aides et de subventions. Certaines faisions le nécessaire pour endi- tionnelles, cela a permis de réduire février 2020 », confie Julien Vallée. large, du fait des nombreuses vegardes du SI, dont la dernière instances n’ont également pas pu guer l’attaque et rétablir les services la pression médiatique, qui peut En 2015, la région Lorraine avait responsabilités des administra- date du jeudi soir, quelques se tenir. Elles ont donc été repor- dans les meilleurs délais », précise freiner nos interventions. Nous également subi une attaque par tions locales françaises. « Une heures avant l’attaque. « Il faut tées », indique la DSI. Pierre Gundelwein qui estime avons pu travailler dans de saines déni de service. Il s’agissait alors collectivité gère des services clés de vérifier ces sauvegardes pour évi- Suite à l’incident, divers ren- avoir bénéficié d’un fort soutien conditions ». d’une opération menée par les l’administration publique couvrant ter qu’elles ne soient elles-mêmes forcements de la sécurité du SI de sa direction générale. Anonymous, en lien avec le site le domaine économique, la santé, compromises. Ce n’est donc pas ont été engagés. Tout d’abord, « La région Grand Est a tenu un Les collectivités d’enfouissement de déchets les transports… et bien entendu les forcément la toute dernière qui l’EDR Cybereason a remplacé discours réaliste, en restant sur des territoriales : nucléaires de Bure (Meuse). « Il y services aux citoyens. Bloquer les est utilisée pour la restauration », progressivement les antivirus, éléments factuels, que ce soit en a eu une erreur sur la personne. Les outils numériques servant à assurer indique-t-on chez Advens. trop hétérogènes. Cet EDR est interne comme en externe, ce qui des proies faciles ? Anonymous ont attaqué la Lorraine ces missions peut avoir un impact Parallèlement, l’analyse des aujourd’hui opéré et supervisé était la bonne option », précise Cette cyberattaque n’est pas la soi-disant pour sa prise de position majeur sur un territoire. Un impact logs de sécurité se poursuit et en permanence par Advens afin pour sa part Nicolas Brossard première ayant touché la région en faveur de ce site d’enfouissement, souvent bien plus grave que l’at- révèle une première activité de de réagir au plus vite en cas d’Advens. « Cette communica- Grand Est. « En analysant les logs ce qui était faux », se souvient taque d’une entreprise », souligne Dridex datant du 12 février à d’autre incident. Les firewalls tion a permis d’éviter des frictions de sécurité, nous avons trouvé des Pierre Gundelwein. Jérôme Notin. midi. Une autre attaque est éga- ont également été re-paramétrés en interne et une exploitation traces d’attaques survenues trois Au-delà de la région Grand Est, Il rappelle donc l’importance lement décelée à 13 heures, le les attaques ciblant les collecti- de développer la culture de la même jour, mais exploitant un vités territoriales se multiplient cybersécurité au sein des admi- autre logiciel malveillant : Cobalt en France. Une des dernières en nistrations locales. Une culture Strike. « Peut-être que l’attaque date a pris pour cible la métro- qui ne serait pas si répandue. Dans Dridex n’était qu’un écran de fumée, pole Aix-Marseille-Provence cette optique, Cybermalveillance. pour faire diversion, et que la réelle ainsi que la ville de Marseille. gouv.fr propose un kit gratuit attaque était celle via Cobalt Strike. Survenue en mars dernier, cette de sensibilisation, pouvant être C’est un scénario possible », pour- attaque par rançongiciel a duré utilisé par des collectivités. Il suit-on chez Advens. plus d’un mois (nous revien- rappelle les fondamentaux de la Au vu de ce premier historique drons sur cet incident dans un cybersécurité et les bonnes pra- d’attaques, la DSI et Advens prochain numéro). tiques que doivent adopter les décident d’utiliser une sauve- Les petites collectivités ne sont agents. La ville de Vannes a par garde antérieure au 12 février, pas épargnées. Au début du exemple diffusé massivement ce celle du 11 février pour les ser- confinement, les attaques par guide en 2019. « La sensibilisation veurs applicatifs. Elle sera ransomware visant des com- des agents est des un principaux progressivement déployée sur le munes de taille intermédiaire leviers du renforcement de la cyber- SI pendant plusieurs jours. « Nous ont globalement augmenté, a sécruité dans les collectivités. Bien avons commencé par restaurer l’AD constaté la plateforme natio- entendu, nous recommandons éga- et le contrôleur de domaine », nale cybermalveillance.gouv.fr. lement la mise en place de solutions indique Pierre Gundelwein. Le « Bon nombre de collectivités ont de sécurité, certifiées par l’ANSSI. 17 février, la messagerie est de mis en place le télétravail dans l’ur- Enfin, il faut développer les échanges nouveau accessible tout comme gence, ce qui a augmenté le risque d’informations entre les DSI des col- l’application "Teams" d’Office de failles dans la sécurité du SI », lectivités, pour que les expériences des 365. Le même jour, un nouvel explique Jérome Notin, direc- uns puissent profiter aux autres », outil de sécurité est déployé : Le SOC d’Advens, qui compte plus d’une cinquantaine d’experts, teur général de cette émanation conclut-il. ❚ l’EDR (Endpoint Detection a participé au pilotage à distance de la crise et à sa remédiation. de l’ANSSI qui s’adresse aux Christophe Guillemin

CR2_POSTMORTEM.indd 7 09/09/2020 22:34 Quelles conséquences pour les entreprises après l’annulation du

Privacy Shield ? Par Isabelle Cantero et Eric A. Caprioli, avocats associés de la société d’avocats Caprioli & Associés

Dans l’attente de nouvelles négociations entre la Commission euro- des pays tiers était valide. Mais, tiers concerné est substantielle- il reste que cette validation est ment équivalent à celui de l’UE péenne et les autorités américaines, les transferts de données à conditionnelle dans la mesure où afin de déterminer si les garan- caractère personnel vers les entreprises US relevant du Privacy la Cour impose au responsable ties appropriées pourront être du traitement ou au sous-trai- respectées en pratique. Shield (Google, AWS, Microsoft, Facebook,…) sont suspendus voire tant établis dans l’UE de prendre 3) Toutes les garanties des mesures supplémentaires appropriées prévues par le RGPD désormais interdits selon le Comité Européen à la Protection des dans le cas où la réglementa- sont impactées en ce compris données (CEPD). tion du pays de l’importateur les BCR, même si ces dernières des données comporterait des ont été validées par le CEPD… mesures contraires aux clauses 4) Pour les USA comme pour a protection des don- et l’UE, à savoir le Safe Harbor cause, ce sont les programmes types. A défaut, le responsable tout autre pays tiers dont la nées personnelles (ou sphère de sécurité) conclu en de surveillance de masse (PRISM du traitement ou le sous-trai- règlementation n’assure pas un a pris une impor- juillet 2000 (décision 2000/520), et UPSTREAM) ainsi que les tant, et, à titre subsidiaire, niveau de protection adéquat, les tance inégalée depuis était de nature sectorielle et règlementations extraterrito- l’autorité de contrôle compé- transferts de données doivent que le RGPD est entré ne visait que certaines entre- riales américaines notamment le tente « sont tenus de suspendre ou être suspendus ou définitive- Len application le 25 avril 2018. prises américaines relevant de la Foreign Intelligence Surveillance de mettre fin au transfert de don- ment arrêtés si des mesures Nonobstant la répression pénale, Federal Trade Commission. Une Act « FISA » et le Décret pré- nées vers le pays tiers concerné ». de protection complémen- les sanctions pécuniaires en cas décision de la CJUE a invalidé sidentiel EO-12333, ou encore Deuxièmement, la CJUE a inva- taires n’ont pas été adoptées de manquement avéré aux obli- le Safe Harbor le 6 octobre 2015 le Patriot Act. Ces textes per- lidé la décision d’adéquation ou si les dérogations prévues gations prescrites sont désormais (affaire Schrems c/. FaceBooks). mettent à certaines agences portant sur le Privacy Shield, par l’article 49 du RGPD ne sont substantielles. Dans le cadre de Dans la foulée de cette invali- gouvernementales fédérales (FBI, dans la mesure où elle a estimé pas applicables (consentement ce règlement, le transfert de don- dation, les négociations avec NSA, CIA, ATF, FDA) d’accéder qu’elle était incompatible avec les explicite, spécifique et informé nées personnelles en dehors de les USA ont repris pour aboutir aux données personnelles qui ont exigences d’adéquation fixées par des personnes concernées). l’UE a été consolidé. Néanmoins, à l’adoption d’une nouvelle déci- été transférées vers des opéra- le RGPD. Tout d’abord, la Cour Les mesures complémentaires on pouvait s’interroger sur la sion d’adéquation sectorielle le 12 teurs américains (métadonnées juge que les programmes de sur- dans l’hypothèse où les CCT ou validité des instruments mis juillet 2016 portant sur le Privacy et contenus des communica- veillance massive menés par les les BCR n’assureraient pas un 8 en place antérieurement par la Shield (bouclier de protection). tions), que ces derniers soient autorités américaines apportaient niveau de garantie suffisant Commission européenne (déci- Faute de décision d’adéquation, aux USA ou dans l’UE. Sont ainsi des limitations de la protection peuvent se traduire en termes sion d’adéquation, clauses les exportateurs européens de invoquées les exigences relatives des données personnelles trans- juridiques, techniques (ex : contractuelles-types). Cela est données à caractère personnel, à la sécurité nationale. Or, on férées depuis l’UE et qu’elles chiffrement des données) ou d’autant plus important que de c’est-à-dire les responsables était en droit de se demander si étaient non conformes aux exi- organisationnels pour les trans- nombreux services numériques du traitement ou les sous-trai- la limitation du pouvoir conféré gences minimales attachées au ferts de données vers des pays (ex : hébergement et SaaS dans tants, doivent adopter des outils aux autorités publiques améri- principe de proportionnalité. Par tiers. L’évaluation et la fourni- le cloud) émanent d’entreprises permettant d’apporter des caines permettait de garantir le ailleurs, la CJUE estime que cette ture de mesures de protection américaines et sont utilisés par garanties appropriées, à savoir respect d’un niveau de protec- règlementation ne confère pas complémentaires incombent de très nombreux organismes les clauses contractuelles types tion des données personnelles non plus aux personnes concer- exclusivement à l'exportateur européens. C’est dans ce contexte de la Commission européenne, transférées équivalent à celui de nées de droits opposables aux de données et à l'importateur que la Cour de Justice de l’Union les règles d’entreprise contrai- l’Union européenne. autorités américaines devant de données. Européenne (CJUE) a rendu son gnantes (Binding Corporate les tribunaux. Enfin, la Cour 5) Dans l’hypothèse où il est arrêt du 16 juillet 2020. Rules) ou encore l’adhésion à Que dit la décision remet en cause le mécanisme de décidé de maintenir le transfert un code de conduite. En pareille de la CJUE médiation prévu par le Privacy vers un pays tiers (ex : Chine, Cadre juridique hypothèse, l’adoption de ces Shield étant donné que cet accord Inde) dont la règlementation outils ne nécessite pas non plus du 16 juillet 2020 ? ne permet pas de garantir aux n’assure pas un niveau de pro- du transfert d’autorisation préalable de la part Le même plaignant que pour non américains le droit à un tection adéquat (sans mesures des données de l’autorité de contrôle nationale le Safe Harbor, M. Schrems, recours effectif à accéder à un complémentaires ou déroga- (en France la CNIL). demandait à la CJUE d’interdire tribunal impartial. tion applicable), le responsable hors de l’UE à Facebook Irlande de procéder au du traitement doit en infor- Les décisions dites d’adéquation Comment répondre transfert de ses données person- La position du mer l’autorité de contrôle ; de la Commission européenne à la problématique nelles vers les États-Unis. Pour étant précisé que cette dernière permettent de transférer libre- ce faire, il arguait que le droit des Comité Européen pourra interdire ledit transfert ! ment des données personnelles suite à l’invalidation ? USA n’apportait pas les garan- à la Protection des 6) Pour les transferts de don- à partir du territoire de l’UE vers Afin de pouvoir continuer à ties suffisantes de protection des nées résultant de sous-traitance les pays tiers suivants : Andorre, transférer les données de ses données stockées aux USA en rai- données (CEPD) en chaîne, le responsable du trai- Argentine, Canada (entreprises utilisateurs européens vers son des activités de surveillance Dans la foulée de la décision tement doit négocier un avenant commerciales), Iles Féroé, Facebook Inc, après l’invalida- des agences gouvernementales de la CJUE, le CEPD donne sa ou une clause supplémentaire au Guernesey, Ile de Man, Japon, tion du Safe Harbor, Facebook qui y sont pratiquées. position sur les principales contrat de sous-traitance afin Jersey, Nouvelle Zélande, Suisse Ireland a eu recours aux clauses Sur le plan des fondements juri- conséquences de cet arrêt dans d’interdire les transferts.

CONFORMITÉ et Uruguay. Une telle décision contractuelles types (CCT) de diques, la décision de la CJUE ses FAQ publiées le 23 juillet 7) Il est urgent que les d’adéquation résulte du constat la Commission européenne s’appuie sur le RGPD (art. 45) et 2020. diverses autorités de contrôle selon lequel le pays destinataire (Décision 2010/87/UE de la sur la Charte des droits fonda- 1) Les transferts de données se concertent sur le sujet. des données présente un niveau Commission du 5 février 2010, mentaux de l’Union européenne vers les entreprises améri- En fin de compte, l’Accountabi- de protection équivalent à celui modifée par la Décision d’exé- (art. 7, 8, 47 et 52). Pour ce faire, caines relevant du Privacy lity prend un virage important de l’UE. Spécifiquement, la déci- cution (UE) 2016/2297 du 16 le raisonnement procède en Shield (Google, AWS, Microsoft, en faisant peser sur les expor- sion d’adéquation entre les USA décembre 2016). Or, ce qui est en deux temps : validation condi- FaceBook,…) sont interdits. tateurs de données une bien tionnelle des CCT et invalidation Aucune période de grâce, n’est lourde responsabilité… du Privacy Shield. accordée suite à l’arrêt de la Cour. En attendant, la Commission Premièrement, la Cour de jus- 2) S’agissant des clauses européenne a relancé les négo- Eric A. CAPRIOLI & Isabelle CANTERO tice a jugé que la décision de contractuelles types, la portée ciations avec les autorités la Commission européenne de l’arrêt de la CJUE va au-delà américaines en vue d’un nouvel Avocats associés, Caprioli & Associés, relative aux clauses contrac- des transferts vers les USA ; il accord, conforme au RGPD afin Société d’avocats membre tuelles types pour le transfert incombe à l’exportateur et à l’im- de lever les irrégularités. de données personnelles vers portateur de données d’évaluer si En conséquence de quoi, à date : du réseau JURISDEFI des sous-traitants établis dans le niveau de protection du pays Wait and see ! ❚

CONFORMITE_CR2.indd 8 09/09/2020 22:35 Quel rôle doit jouer l’EDR

DOSSIER pour protéger un parc informatique ?

et de certains ministères. « Beaucoup de nos concurrents sont de type « cloud-first » voire même « c loud-only », or notre historique fort avec le monde gouvernemental et défense nous

a poussé à proposer notre EDR en OUTILS mode cloud, en mode on-premise, mais aussi dans un mode totalement déconnecté » explique David Grout, CTO EMEA de FireEye. « Notre solution peut ainsi être déployée sur un navire militaire ou pour protéger un site militaire sans que des données ne remontent vers l'éditeur. » 60% à 70% ont été achetés par des clients finaux de l'éditeur, 15% ont fait le choix des services managés par FireEye et 15% utilisent la solution à l'occasion d'un incident de sécurité, en tant qu'outil de forensic. « L’EDR est Les EDR, tout comme les antivirus Next-Gen, sont aujourd'hui devenus synonymes de machine learning un excellent sur les machines. Une solution technique relativement légère sur les postes, mais qui permet d'aller au-delà de la détection des malware sur base de signatures. complément des outils du SOC » Julien Coulet, co-fondateur Détecter toute tentative d’infiltration sur les postes utilisateurs notamment et tuer dans l’œuf d’Excube, pense que « Les projets toute attaque, c’est la promesse des EDR (Endpoint Detection & Response). L’approche qui et la gestion des SOC sont complexes et les résultats ne sont pas s’appuie sur la puissance du cloud et le machine learning est séduisante, mais pose question toujours à la hauteur des attentes. en termes de fuites de données et de son positionnement par rapport au SOC. Ceci s’explique notamment par une approche très empirique : 9 concentrer une quantité de don- vec une croissance collectées sur les points afin modèles de Machine Learning seules des métriques de fonc- nées souvent colossale que l’on attendue de 28,8% de faire tourner les modèles sur ces énormes volumes de tionnement sont rapatriées sur analyse au travers d'algorithmes par an sur la période qui vont permettre de repérer données. De facto, de plus en leurs serveurs cloud, mais dans statiques. En parallèle à cela, on 2018 à 2025 selon The les attaques en cours ou même plus d’éditeurs privilégient certains cas, ce type d’assu- assiste actuellement à l’appari- Insight Partners, le les signaux précurseurs d’une maintenant une approche rance ne suffit pas. C’est bien tion de sondes intelligentes sur des marchéA des EDR est une mine attaque en préparation. « cloud-only ». Ceux-ci évidemment le cas d’entreprises verticaux d’infrastructures. Par d’or pour les éditeurs et tous Cette approche mutualisée assurent à leurs clients que liées à la défense nationale exemple, c’est le cas d’Alsid pour veulent leur part du gâteau. est ardemment défendue par L’EDR est présenté par les édi- CrowdStrike, un éditeur créé teurs venus du monde de l’EPP en 2011 par deux anciens VP de (Endpoint Protection Platform) McAfee qui ont souhaité repen- comme une évolution logique des ser la protection endpoint en offres d’antivirus « NextGen » partant d'une feuille blanche. ou comme un composant à part Joël Mollo, directeur général entière d’une infrastructure Europe du Sud de CrowdStrike de cybersécurité pour les gros souligne : « Les fondateurs fournisseurs qui, à l’image de de CrowdStrike sont partis sur l’acquisition de Carbon Black par une approche 100% cloud, une VMware en 2019, se sont rués sur approche qui permet de mutua- cette niche de marché en train liser la surveillance réalisée pour d’exploser. l'ensemble de nos clients. Cela a permis de constituer une commu- Des solutions nauté dans la gestion des menaces, ce que nous appelons le Threat majoritairement Graph. Cela représente d'une cer- portées par taine manière un SOC mondialisé mutualisé et qui permet à toute le Cloud entreprise qui ne dispose pas de Comme l'indique son acro- SOC en propre de bénéficier de l'ac- nyme, toute solution EDR se tion de notre équipe Overwatch. » doit de fournir des solutions de Pour CrowdStrike, l'autre atout détection, avec des moteurs de d’une approche cloud est de détection directement issus du pouvoir s'appuyer sur un agent monde de l'EPP avec de l'anti- logiciel très petit qui peut être virus à base de signature, des déployé sur un parc sans néces- moteurs de Machine Learning siter le reboot des machines. et de la reconnaissance com- L'éditeur revendique 20 millions portementale pour générer des de postes déployés à ce jour. alertes dès lors que des pro- De par ses capacités de stockage cess ou des services se mettent et de traitement virtuellement subitement à fonctionner de infinies, le cloud se prête par- C'est la partie sans doute la plus spectaculaire d'un EDR. manière anormale. Une majo- ticulièrement à la collecte de rité de ces solutions mettent données de fonctionnement L'interface d'investigation permet à l'analyste de se livrer à l'autopsie de l'attaque. en œuvre des ressources cloud de centaines de milliers de Elle permet notamment de retrouver de manière interactive quels étaient les pour centraliser les données postes et pour faire tourner des signaux faibles de l'attaque qui ont échappé aux briques de sécurité en place.

CR2_OUTILS_EDR-V2.indd 9 09/09/2020 22:34 Autre approche, celle de VMware qui, en mettant la main sur Carbon Black, a rap- proché l’EDR de ce dernier à son offre de gestion des postes de travail Workspace One (ex-Airwatch). Ghaleb Zekri, architecte au sein de l’équipe SDDC et expert cybersécu- rité chez VMware, souligne les interactions entre les deux solutions : « Des actions de remédiation peuvent être enga- gées au niveau du client Next-Gen AV, la partie antivirus de la solution afin de casser la chaîne d’attaque, ce que l’on appelle la « kill chain ». Carbon Black peut aussi alerter d’autres sys- tèmes notamment Workspace One qui gère notamment l’identification des utilisateurs. Cette notification permet à l’entreprise de réajuster la posture de sécurité de ses utilisateurs et par exemple verrouiller l’accès VPN d’un utilisateur s’il s’avère que celui-ci a ouvert un email suspect. » De plus, VMware a fusionné sa solution de protection des charges de travail AppDefense avec Carbon Black. « Plutôt que Un EDR est intimement lié à un service de Threat Intelligence afin de détecter puis aider l'analyste dans sa recherche sur un incident de sécurité. de chercher les attaques elles- mêmes, l’idée est de se concentrer sur le comportement habituel des les Active Directory, Vectra pour du monde de la protection applications et générer une alerte la partie réseau et des EDR pour endpoint musclent aujourd'hui en cas de déviation par rapport à la partie postes de travail. Cette le volet service de leur offre ce comportement. Carbon Black approche présente plusieurs avan- qui leur permet une montée en est maintenant capable d’exploi- tages, notamment en simplifiant la gamme opportune en termes ter ce scoring comportemental des collecte de données. La collecte du de revenus. Ainsi Sophos a applications et cela permet à la bon niveau de détails des données considérablement musclé son solution d’avoir une longueur est toujours problématique pour les offre de service avec l'acqui- d’avance et prendre une action SOC, en particulier lorsque le sys- sition de Rook Security en dès qu’un comportement inat- tème d’information est complexe et juin 2019. « Nous avons mis en tendu est détecté. » le nombre de postes élevé. L’EDR se place une offre MTR (Managed déploie au travers des mécanismes Threat Response) de surveillance EDR, le complément 10 de télédistribution et donne ensuite des logs générés par nos EDR en accès à des alertes déjà préqua- 24/7 » explique Bruno Leclerc, naturel du SOC lifiées par l’outil, ce qui simplifie directeur des ventes de Sophos Cette montée en puissance de l’implémentation des règles de France. « Outre les algorithmes l'EDR pose la question de son détection statiques. » d'IA qui traitent 400 000 menaces positionnement vis-à-vis du / jour, une analyse humaine reste SOC lui-même. Initialement Jusqu’où indispensable. Nous avons des labs limités aux seuls endpoints, répartis sur 3 continents afin de les outils d'investigation de externaliser la travailler sur les logs de nos clients certains EDR peuvent aussi protection des sous contrat. Il ne s'agit pas seu- analyser des données glanées lement de faire de l'alerting, mais dans le réseau et leur rôle se postes clients ? bien de prendre la main sur les rapproche des SIEM habituel- Ce qui différencie fondamenta- équipements de nos clients pour lement mis en oeuvre dans les lement un EDR d’un antivirus identifier l'attaquant mais surtout SOC. « Ce qui intéresse le plus les « NextGen », c'est bien le "R", lancer une remédiation pour placer grands comptes, c'est l'ouverture c'est-à-dire la Response ou des postes en quarantaine, lancer de nos API » souligne ainsi plutôt la Remédiation. Les EDR des scripts pour contrer l'attaque. A la différence de l'EDR qui n'analyse que les données glanées au niveau Bruno Leclerc. « La console implémentent des outils qui L'alerting n'est qu'un premier pas, des postes clients (endpoints), le XDR corrèle des données issues de multiples de management est en quelque vont permettre d'une part de ce qui compte, c'est l'action ! » sources, dont les données réseau, les logs, etc. sorte un SIEM intégré. De plus, repérer très rapidement dans disposer d'une telle console uni- le parc quels sont les postes fiée dans le cloud représente une victimes d'une attaque et lan- Capteurs Détections importante source d'économie en cer des mesures correctives sur termes d'administration. » Pour l'ensemble de ces machines. portemen une entreprise qui ne dispose om t e c n Les éditeurs proposent souvent u te pas des moyens d'opérer un d m une offre de service de «Threat e p SOC, le recours à un service s s Hunting » couplée à l’outil, leurs y managé est une solution inté- l r a é

analystes de sécurité venant e ressante estime Bruno Leclerc : n

aider l’entreprise qui fait face à « Pour le midmarket, la pro-

OUTILS une attaque avérée. Des éditeurs Événements blématique est différente. Bien

! tels que FireEye interviennent souvent les PME n'ont pas les res-

auprès des entreprises et par- sources humaines en interne pour

fois des assureurs pour réaliser Partenaire exploiter les capacités d'un EDR. B ™ ro n l’analyse d’attaques qui ont fait a io F-Secure ou Une bonne interface graphique ne d ct des dégâts dans l’entreprise Con ete votre propre suffit pas et une offre de service text D Option mais ce recours peut aller beau- Votre entreprise service informatique va leur donner accès à des compé- coup plus loin. Ainsi, un géant "d'escalader" tences en mode managé. » mondial du e-commerce a confié Faut-il voir dans l’EDR le SOC à CrowdStrike la protection de du pauvre ? Sans doute pas, 800 000 endpoints. « Ils ont fait mais l’EDR reste un moyen le choix de se centrer sur leur métier pour une entreprise ne dispo- et ne souhaitaient pas consacrer des sant pas de SOC de commencer ressources internes sur la sécuri- Conseils et directives Actions automatisées à s’outiller et de mettre en sation des endpoints. C'est pour pour répondre place une organisation pour cela qu'ils nous en ont confié la aller vers les concepts du sécurité. » Dans le schéma de fonctionnement de l'EDR F-Secure, les experts en sécurité de l'éditeur ont un SLA SOC. « L’EDR peut être pré- Même les acteurs venus de 2 heures pour analyser une menace qui a été « escaladée » auprès de son service de Threat Intelligence. senté à une direction comme

CR2_OUTILS_EDR-V2.indd 10 09/09/2020 22:34 Autre approche, celle de une évolution naturelle de l’an- SOC mais n'a certainement pas faibles annonciateurs de l'attaque postes clients et les firewalls VMware qui, en mettant la tivirus, une évolution logique vocation à s'y substituer. » plusieurs mois avant son exécu- qui alimentent le Data Lake main sur Carbon Black, a rap- apportant des fonctionnalités Pour Palo Alto Networks, l'EDR tion. » L'éditeur estime qu'avec Cortex, un moyen d'améliorer proché l’EDR de ce dernier à additionnelles très différentes » a clairement un rôle à jouer vis- les bons mécanismes de corré- la posture de sécurité de l'en- son offre de gestion des postes explique Julien Coulet, co-fon- à-vis du SOC, notamment pour lation de données, le nombre treprise sans avoir à investir de travail Workspace One dateur d’Excube. De même, dégrossir le travail de tri des d'alertes pourra être réduit et dans un SIEM et la mise en (ex-Airwatch). Ghaleb Zekri, certains éditeurs et consul- analystes. « Selon les chiffres de l'équipe SOC sera plus efficace place un SOC. architecte au sein de l’équipe tants poussent les entreprises Gartner, un SOC moyen recueille et mieux à même de prévenir les Adopté en tant que simple évo- SDDC et expert cybersécu- à investir dans des EDR en les plus de 170 000 alertes par semaine attaques et traiter les signaux lution de l’antivirus ou en tant rité chez VMware, souligne présentant comme un rem- mais les analystes ne sont en capa- faibles. « Les SIEM ont bien évi- que brique à part entière d'un les interactions entre les deux plaçant possible du SOC, une cité d'en traiter que 10% environ » demment toujours un rôle à jouer, écosystème cybersécurité, solutions : « Des actions de position à laquelle de nom- argumente Eric Antibi, senior mais le XDR et Cortex XDR ont un l'EDR est en train de s'imposer remédiation peuvent être enga- breux acteurs s'opposent, dont manager et directeur tech- rôle à jouer dans l'enrichissement comme une solution de sécurité gées au niveau du client Next-Gen Dagobert Levy, vice president nique de Palo Alto Networks. et le filtrage des alertes. » Ainsi, majeure à l'aube de la générali- AV, la partie antivirus de la solu- South EMEA de Tanium : « Il « Les SOC n'ont pas les capaci- si le XDR est complémentaire au sation des nouvelles approches tion afin de casser la chaîne ne faut pas tomber dans le tra- tés humaines à corréler toutes les SOC dans les grands groupes qui de type "zero-trust". A chaque d’attaque, ce que l’on appelle la vers de considérer l'EDR comme informations reçues et au-delà de en disposent, pour des entre- RSSI de lui accorder le rôle qui

« kill chain ». Carbon Black le remplaçant du SOC. Ce n'est pas ce chiffre, on se rend compte que prises dont les moyens sont plus sera le plus en phase avec sa OUTILS peut aussi alerter d’autres sys- du tout le cas, l'EDR est un outil lorsqu'une attaque a réussi, on modestes, Cortex XDR peut suf- propre stratégie de sécurité. ❚ tèmes notamment Workspace qui doit se mettre au service du peut retrouver les premiers signaux fire, avec le client XDR sur les Alain Clapaud One qui gère notamment l’identification des utilisateurs. Cette notification permet à l’entreprise de réajuster la posture de sécurité de ses utilisateurs et par exemple verrouiller l’accès VPN d’un utilisateur s’il s’avère que celui-ci a ouvert un email suspect. » De plus, VMware a fusionné sa solution de protection des charges de travail AppDefense avec Carbon Black. « Plutôt que Un EDR est intimement lié à un service de Threat Intelligence afin de détecter puis aider l'analyste dans sa recherche sur un incident de sécurité. de chercher les attaques elles- mêmes, l’idée est de se concentrer sur le comportement habituel des applications et générer une alerte en cas de déviation par rapport à ce comportement. Carbon Black est maintenant capable d’exploiter ce scoring comportemental des applications et cela permet à la solution d’avoir une longueur d’avance et prendre une action dès qu’un comportement inat- tendu est détecté. » EDR, le complément 11 naturel du SOC Cette montée en puissance de l'EDR pose la question de son positionnement vis-à-vis du SOC lui-même. Initialement limités aux seuls endpoints, les outils d'investigation de certains EDR peuvent aussi analyser des données glanées dans le réseau et leur rôle se rapproche des SIEM habituel- lement mis en oeuvre dans les SOC. « Ce qui intéresse le plus les grands comptes, c'est l'ouverture de nos API » souligne ainsi A la différence de l'EDR qui n'analyse que les données glanées au niveau Bruno Leclerc. « La console des postes clients (endpoints), le XDR corrèle des données issues de multiples de management est en quelque sources, dont les données réseau, les logs, etc. sorte un SIEM intégré. De plus, disposer d'une telle console uni- fiée dans le cloud représente une Capteurs Détections importante source d'économie en termes d'administration. » Pour portemen une entreprise qui ne dispose om t e c n u te pas des moyens d'opérer un d m e p SOC, le recours à un service s s y managé est une solution inté- l r a é e ressante estime Bruno Leclerc : n

« Pour le midmarket, la pro- Événements blématique est différente. Bien

! souvent les PME n'ont pas les res-

sources humaines en interne pour

Partenaire exploiter les capacités d'un EDR. B ™ ro n a io F-Secure ou Une bonne interface graphique ne d ct Con ete votre propre suffit pas et une offre de service text D Option Votre entreprise service informatique va leur donner accès à des compé- "d'escalader" tences en mode managé. » Faut-il voir dans l’EDR le SOC du pauvre ? Sans doute pas, mais l’EDR reste un moyen pour une entreprise ne disposant pas de SOC de commencer Conseils et directives Actions automatisées à s’outiller et de mettre en pour répondre place une organisation pour aller vers les concepts du Dans le schéma de fonctionnement de l'EDR F-Secure, les experts en sécurité de l'éditeur ont un SLA SOC. « L’EDR peut être pré- de 2 heures pour analyser une menace qui a été « escaladée » auprès de son service de Threat Intelligence. senté à une direction comme

CR2_OUTILS_EDR-V2.indd 11 09/09/2020 22:34 Bitdefender implémente une trentaine de couches de protection dans son client ainsi que sa technologie ERA Bitdefender Gravity Zone Ultra (Endpoint Risk Analytics). L'EDR s'appuie notamment sur le framework ATT&CK du MITRE. BlackBerry Alors que CylancePROTECT permet de contrer les attaques de malware, CylanceOPTICS ajoute une brique d'IA CylanceOPTICS Cylance pour la détection des attaques et des outils d'investigation et réponse à incident. En réalisant Check Point L'agent destiné aux endpoint de Check Point implémente de multiples fonctions, donc les fonctions clé d'un EDR. l'acquisition SandBlast Agent Software A noter qu'il joue aussi le rôle de VPN, de chiffrement des contenus. de Carbon Black, VMware a notoirement Cisco Advanced Malware Protection L'EDR Cisco est disponible en déploiement on-premise ou cloud pour les terminaux Windows, musclé une offre Systems (AMP) for Endpoints Mac, Linux ainsi que Android et iOS. de protection endpoint qui Approche 100% cloud privilégiant la mutualisation des indicateurs de sécurité. s'appuyait sur Workplace One. CrowdStrike CrowdStrike Falcon L'offre Falcon Overwatch met à disposition l'équipe de Threat Hunting de l'éditeur. S'appuyant sur le framework ATT&CK du MITRE, la solution implémente un antivirus Next-Gen Cybereason Cybereason EDR et un EDR avec des données in-memory pour investiguer les graphes d'attaque. Ce qu'en pensent les éditeurs Digital Digital Guardian Endpoint Editeur spécialisé dans la prévention contre les pertes de données, Guardian Detection and Response Digital Guardian propose un service managé d'EDR à son catalogue. ESET Enterprise Inspector vient compléter la solution EPP d'ESET ESET Enterprise Inspector « Un EDR doit pouvoir dialoguer « Un EDR ne doit pas être un outil fermé » avec notamment le Threat Monitoring des postes ainsi que l Threat Hunting réalisé par les experts ESET. F-Secure Rapid Detection & Disponible pour Windows Desktop et Server ainsi que MacOS, l'offre F-Secure stocke ses données en Europe, F-Secure avec d'autres briques de sécurité » DAVID GROUT, Response dans le datacenter d'AWS en Irlande. CTO EMEA DE FIREEYE BRUNO LECLERC, DIRECTEUR DES VENTES L’offre intègre 4 modules de protection : anti-virus, machine leaning, comportemental, FireEye FireEye Enpoint Security DE SOPHOS FRANCE « L’entreprise doit pouvoir utiliser les API de son protection contre le vol d'identifiants déployables au travers de la console de supervision de l'outil. EDR afin de créer ses propres investigations. Nos Fruit de l'acquisition d'enSilo en 2019, FortiEDR vient s'intégrer à la Fortinet Security Fabric, « La valeur ajoutée de notre offre EDR tient dans le fait utilisateurs sont les gens qui opèrent les SOC. Ce Fortinet FortiEDR le framework de communication des différentes briques de sécurité de l'éditeur. qu’elle peut dialoguer avec d'autres éléments de sécurité. sont des analystes qui mènent des levées de doute Depuis 2015, nous avons développé un protocole SynSec et des investigations. Certains SOC cherchent sim- Editeur canadien acquis par CounterTack en 2018, GoSecure propose un EDR on-premise ou cloud GoSecure GoSecure EDR pour Synchronised Security qui permet d'élever le niveau plement dans leur EDR un outil pour créer leurs avec notamment un connecteur vers SAP HANA. de sécurité car on va interroger l'ensemble des briques de propres business cases d'investigation. D'autres font le choix du ser- Module de la suite Kaspersky Endpoint Security for Business, Kaspersky EDR est complété d'une offre sécurité Sophos, au niveau de la messagerie, de la mobilité, Kaspersky Kaspersky EDR vice managé FireEye. Nous travaillons alors pour eux sur la levée de de Threat Hunting en 24/7 de l'éditeur ainsi que de l'outil de détection d'APT YARA. du WiFi et des firewalls. Si le firewall détecte un endpoint doute et la chasse proactive des marqueurs de compromission (IOC). qui cherche à contacter un Command&Control, celui-ci va pouvoir bloquer le Malwarebytes Endpoint Malwarebytes Endpoint Protection and Response met en oeuvre le Linking Engine et le Ransomware Rollback, Enfin, il nous arrive de nous livrer à des investigations chez les entre- Malwarebytes poste de travail et bloquer tous les autres postes qui ont un même flux réseau. prises victimes d'une attaque. Nous déployons l'EDR sur le réseau Protection and Response des technologies de remédiation propres à l'éditeur. 12 D'autres acteurs ont repris cette approche aujourd'hui et le Gartner réfléchit de l'entreprise puis nous menons le volet forensic de l'attaque pour L'offre logicielle MVISION EDR est déployable via la plate-forme de gestion McAfee ePolicy Orchestrator à l'acronyme XDR pour référencer ce type d'approche, mais une interopé- son compte. C'est une prestation à réaliser dans un délai très court. » McAfee MVISION EDR on-premise ou via la plate-forme SaaS McAfee MVISION ePO. rabilité entre les offres est difficile à imaginer entre acteurs en concurrence Le logiciel est complété d'une offre de service managé McAfee Managed Detection and Response. frontale. Notre réflexion vis-à-vis de l'ouverture aux autres acteurs porte plus sur l'accès aux IOC qu'à vouloir convaincre les autres acteurs à implémenter Avec la version Advanced Threat Protection de Defender, Microsoft Microsoft Defender ATP SynSec dans leurs solutions. » Microsoft propose une suite EDR complète dédiée à Windows 10 et qui offre un jeu d'API complet. « Les sources de données de l’EDR doivent Nucleon Editeur français, Nucleon Security propose une solution de gestion des vulnérabilités ainsi qu'un EDR "souverain" Nucleon Smart Endpoint aller au-delà des seuls endpoints » Security qu'il destine notamment aux PME et ETI. Issue de l'acquisition de Guidance Software, l'EDR EnCase Enpoint Security fait partie du portefeuille applicatif ERIC ANTIBI, SENIOR MANAGER OpenText OpenText Security Suite d'OpenText. « La Threat Intelligence est l'activité CHEZ PALO ALTO NETWORKS Panda Panda unit EPP et EDR dans son offre Panda Adaptive Defense, historique de CrowdStrike » « Nous avons été les premiers à non pas parler Panda Adaptive Defense Security avec une approche basée sur une classification de 100% des processus actifs des postes clients. JOËL MOLLO, DIRECTEUR GÉNÉRAL d'EDR, mais de XDR. Le terme est devenu une caté- La solution réunit à la fois l'EDR, le NDR (détection et réponse réseau), SIEM, UEBA gorie du marché en tant que tel depuis. La nuance RSA RSA NetWitness Endpoint EUROPE DU SUD DE CROWDSTRIKE entre EDR et XDR, c'est que la source d'information et SOAR (Orchestration et automatisation) sur une même plateforme. « Nous appliquons la règle 1/10/60 : 1 minute pour détecter qui va alimenter le Data Lake ne va pas être uni- La solution stocke par défaut 30 jours d'activité, un délai qu'il est possible d'étendre, fournit un jeu d'API SentinelOne SentinelOne ActiveEDR une tentative d'attaque, moins de 10 minutes pour qu’un ana- quement le endpoint, mais de multiples sources. Le ainsi que le support du streaming Kafka pour exporter ses données vers un Data Lake. lyste caractérise la menace et 60 minutes pour éradiquer la endpoint est un vecteur d'attaque privilégié par les hackers, cependant Sophos a intégré la fonction EDR à son offre Intercept X en 2018. Elle implémente le protocole SynSec menace et empêcher tout mouvement latéral. Cela nous per- un problème majeur dans la détection d'une attaque est d'avoir une vue Sophos Intercept X avec EDR met de proposer à nos clients une cyberassurance avec une garantie jusqu'à 1 million globale de la situation, corréler des informations issues des endpoints qui permet d'élever le niveau de sécurité de l'ensemble des briques de sécurité Sophos en cas d'alerte. de dollars si des données sont perdues en cas d'attaque. CrowdStrike compte plus mais aussi du réseau et même du cloud. C'est une approche qui est Symantec Anciennement dénommé Advanced Threat Protection (ATP), Symantec EDR est une solution cloud Symantec de 5 000 clients dans le monde et un millier sont sous licence Falcon Complete. » complémentaire à celle du SIEM. » EDR 4 couplée à une offre de service s'appuyant sur les SOC de l'éditeur. OUTILS Expert de la visibilité et du contrôle des postes de travail et serveurs, Tanium exploite son logiciel client Tanium Tanium Threat Response pour proposer des fonctions d'EDR. Tehtris La solution d'EDR de l'éditeur français Tehtris peut fonctionner en mode on-premise ou cloud et peut s'interfacer « Inutile de déployer un EDR si on n'a pas une bonne connaissance de sa surface d'attaque » Tehtris EDR Security à la plateforme XDR de l'éditeur. Son agent est disponible sous Windows, MacOS, Linux et Android. DAGOBERT LEVY, VICE PRESIDENT SOUTH EMEA DE TANIUM Solution complète de protection des postes de travail comprenant gestion des vulnérabilités, chiffrement, Trend Micro Smart Protection for Endpoint « Beaucoup d'entreprises ont lancé un projet de noyer l'équipe de sécurité sous des milliers de détections, avec des mil- protection des mobiles, prévention des pertes de données… déploiement d'EDR en négligeant un prérequis impor- liers de faux positifs à traiter chaque jour. C'est la raison pour laquelle il Palo Alto La solution XDR de l'éditeur est capable d'analyser les données issues de endpoints mais aussi des firewalls, tant : une bonne connaissance de sa surface d'attaque. est nécessaire de customiser l'outil en fonction de son activité et de l'in- Cortex XDR y compris s'ils ne sont pas d'origine Palo Alto Networks. On ne peut protéger que ce que l'on connaît et dans tégrer avec l'existant, notamment le SIEM si on en dispose déjà. Un tel Networks beaucoup de cas il faut atteindre une couverture maxi- déploiement est structurant pour les 3 à 5 années à venir. Dans ce laps VMware Carbon Black Cloud L'offre d'EDR Carbon Black est venu renforcer l'offre Workplace One de VMware et a intégré sa solution AppDefense. male du SI avec les outils existants avant de songer à de temps l'entreprise va gagner en maturité, progresser, la surface d'at- WatchGuard Threat Detection Spécialiste de la sécurité réseau WatchGuard correle les données de ses appliances Firebox ajouter une nouvelle couche de sécurité. Il faut aussi taque va évoluer en parallèle. L'approche "boîte noire" peut rapidement WatchGuard and Response (TDR) et celles glanées par ses agents Host Sensor pour délivrer le service cloud d'EDR ThreatSync. se méfier de l'EDR de type "boîte noire". Cette approche peut conduire à s'avérer inadaptée dans la durée. »

CR2_OUTILS_EDR-V2.indd 12 09/09/2020 22:34 Les principaux EDR du marché

Bitdefender implémente une trentaine de couches de protection dans son client ainsi que sa technologie ERA Bitdefender Gravity Zone Ultra (Endpoint Risk Analytics). L'EDR s'appuie notamment sur le framework ATT&CK du MITRE. BlackBerry Alors que CylancePROTECT permet de contrer les attaques de malware, CylanceOPTICS ajoute une brique d'IA CylanceOPTICS Cylance pour la détection des attaques et des outils d'investigation et réponse à incident. Check Point L'agent destiné aux endpoint de Check Point implémente de multiples fonctions, donc les fonctions clé d'un EDR. SandBlast Agent Software A noter qu'il joue aussi le rôle de VPN, de chiffrement des contenus. Cisco Advanced Malware Protection L'EDR Cisco est disponible en déploiement on-premise ou cloud pour les terminaux Windows, Systems (AMP) for Endpoints Mac, Linux ainsi que Android et iOS. Approche 100% cloud privilégiant la mutualisation des indicateurs de sécurité. CrowdStrike CrowdStrike Falcon OUTILS L'offre Falcon Overwatch met à disposition l'équipe de Threat Hunting de l'éditeur. S'appuyant sur le framework ATT&CK du MITRE, la solution implémente un antivirus Next-Gen Cybereason Cybereason EDR et un EDR avec des données in-memory pour investiguer les graphes d'attaque. Digital Digital Guardian Endpoint Editeur spécialisé dans la prévention contre les pertes de données, Guardian Detection and Response Digital Guardian propose un service managé d'EDR à son catalogue. ESET Enterprise Inspector vient compléter la solution EPP d'ESET ESET Enterprise Inspector « Un EDR ne doit pas être un outil fermé » avec notamment le Threat Monitoring des postes ainsi que l Threat Hunting réalisé par les experts ESET. F-Secure Rapid Detection & Disponible pour Windows Desktop et Server ainsi que MacOS, l'offre F-Secure stocke ses données en Europe, F-Secure DAVID GROUT, Response dans le datacenter d'AWS en Irlande. CTO EMEA DE FIREEYE L’offre intègre 4 modules de protection : anti-virus, machine leaning, comportemental, FireEye FireEye Enpoint Security « L’entreprise doit pouvoir utiliser les API de son protection contre le vol d'identifiants déployables au travers de la console de supervision de l'outil. EDR afin de créer ses propres investigations. Nos Fruit de l'acquisition d'enSilo en 2019, FortiEDR vient s'intégrer à la Fortinet Security Fabric, utilisateurs sont les gens qui opèrent les SOC. Ce Fortinet FortiEDR le framework de communication des différentes briques de sécurité de l'éditeur. sont des analystes qui mènent des levées de doute et des investigations. Certains SOC cherchent sim- Editeur canadien acquis par CounterTack en 2018, GoSecure propose un EDR on-premise ou cloud GoSecure GoSecure EDR plement dans leur EDR un outil pour créer leurs avec notamment un connecteur vers SAP HANA. propres business cases d'investigation. D'autres font le choix du ser- Module de la suite Kaspersky Endpoint Security for Business, Kaspersky EDR est complété d'une offre Kaspersky Kaspersky EDR vice managé FireEye. Nous travaillons alors pour eux sur la levée de de Threat Hunting en 24/7 de l'éditeur ainsi que de l'outil de détection d'APT YARA. doute et la chasse proactive des marqueurs de compromission (IOC). Malwarebytes Endpoint Malwarebytes Endpoint Protection and Response met en oeuvre le Linking Engine et le Ransomware Rollback, Enfin, il nous arrive de nous livrer à des investigations chez les entre- Malwarebytes prises victimes d'une attaque. Nous déployons l'EDR sur le réseau Protection and Response des technologies de remédiation propres à l'éditeur. 13 de l'entreprise puis nous menons le volet forensic de l'attaque pour L'offre logicielle MVISION EDR est déployable via la plate-forme de gestion McAfee ePolicy Orchestrator son compte. C'est une prestation à réaliser dans un délai très court. » McAfee MVISION EDR on-premise ou via la plate-forme SaaS McAfee MVISION ePO. Le logiciel est complété d'une offre de service managé McAfee Managed Detection and Response. Avec la version Advanced Threat Protection de Defender, Microsoft Microsoft Defender ATP Microsoft propose une suite EDR complète dédiée à Windows 10 et qui offre un jeu d'API complet. « Les sources de données de l’EDR doivent Nucleon Editeur français, Nucleon Security propose une solution de gestion des vulnérabilités ainsi qu'un EDR "souverain" Nucleon Smart Endpoint aller au-delà des seuls endpoints » Security qu'il destine notamment aux PME et ETI. Issue de l'acquisition de Guidance Software, l'EDR EnCase Enpoint Security fait partie du portefeuille applicatif ERIC ANTIBI, SENIOR MANAGER OpenText OpenText Security Suite d'OpenText. CHEZ PALO ALTO NETWORKS Palo Alto La solution XDR de l'éditeur est capable d'analyser les données issues de endpoints mais aussi des firewalls, « Nous avons été les premiers à non pas parler Cortex XDR Networks y compris s'ils ne sont pas d'origine Palo Alto Networks. d'EDR, mais de XDR. Le terme est devenu une caté- Panda Panda unit EPP et EDR dans son offre Panda Adaptive Defense, gorie du marché en tant que tel depuis. La nuance Panda Adaptive Defense entre EDR et XDR, c'est que la source d'information Security avec une approche basée sur une classification de 100% des processus actifs des postes clients. qui va alimenter le Data Lake ne va pas être uni- La solution réunit à la fois l'EDR, le NDR (détection et réponse réseau), SIEM, UEBA RSA RSA NetWitness Endpoint quement le endpoint, mais de multiples sources. Le et SOAR (Orchestration et automatisation) sur une même plateforme. endpoint est un vecteur d'attaque privilégié par les hackers, cependant La solution stocke par défaut 30 jours d'activité, un délai qu'il est possible d'étendre, fournit un jeu d'API un problème majeur dans la détection d'une attaque est d'avoir une vue SentinelOne SentinelOne ActiveEDR globale de la situation, corréler des informations issues des endpoints ainsi que le support du streaming Kafka pour exporter ses données vers un Data Lake. mais aussi du réseau et même du cloud. C'est une approche qui est Sophos a intégré la fonction EDR à son offre Intercept X en 2018. Elle implémente le protocole SynSec Sophos Intercept X avec EDR complémentaire à celle du SIEM. » qui permet d'élever le niveau de sécurité de l'ensemble des briques de sécurité Sophos en cas d'alerte. Symantec Anciennement dénommé Advanced Threat Protection (ATP), Symantec EDR est une solution cloud Symantec EDR 4 couplée à une offre de service s'appuyant sur les SOC de l'éditeur. Expert de la visibilité et du contrôle des postes de travail et serveurs, Tanium exploite son logiciel client « Inutile de déployer un EDR si on n'a pas une bonne connaissance de sa surface d'attaque » Tanium Tanium Threat Response pour proposer des fonctions d'EDR. DAGOBERT LEVY, VICE PRESIDENT SOUTH EMEA DE TANIUM Tehtris La solution d'EDR de l'éditeur français Tehtris peut fonctionner en mode on-premise ou cloud et peut s'interfacer Tehtris EDR noyer l'équipe de sécurité sous des milliers de détections, avec des mil- Security à la plateforme XDR de l'éditeur. Son agent est disponible sous Windows, MacOS, Linux et Android. liers de faux positifs à traiter chaque jour. C'est la raison pour laquelle il Solution complète de protection des postes de travail comprenant gestion des vulnérabilités, chiffrement, est nécessaire de customiser l'outil en fonction de son activité et de l'in- Trend Micro Smart Protection for Endpoint protection des mobiles, prévention des pertes de données… tégrer avec l'existant, notamment le SIEM si on en dispose déjà. Un tel déploiement est structurant pour les 3 à 5 années à venir. Dans ce laps VMware Carbon Black Cloud L'offre d'EDR Carbon Black est venu renforcer l'offre Workplace One de VMware et a intégré sa solution AppDefense. de temps l'entreprise va gagner en maturité, progresser, la surface d'at- WatchGuard Threat Detection Spécialiste de la sécurité réseau WatchGuard correle les données de ses appliances Firebox taque va évoluer en parallèle. L'approche "boîte noire" peut rapidement WatchGuard and Response (TDR) et celles glanées par ses agents Host Sensor pour délivrer le service cloud d'EDR ThreatSync. s'avérer inadaptée dans la durée. »

CR2_OUTILS_EDR-V2.indd 13 09/09/2020 23:23 Modélisation de la sécurité :

comment faire du vent Demain... On a tous conscience qu’il y a intérêt à mettre de l’ordre dans notre approche sécuritaire du TI. Car c’est souvent avec de vrais problèmes n’importe quoi, tant du point de vue des comportements, Les grandes entreprises ont souvent recours aux techniques de modéli- que des outils. Mais nous ne sommes pas convaincus qu’une « pure » solution de modélisation, qui n’est rien sation pour traiter d’un problème donné. Leur objectif est d’harmoniser d’autre qu’un catalogue de bonnes intentions, pourra chan- la perception des équipes vis-à-vis de ce problème et d’imposer les ger quoi que ce soit à la gravité de la situation. bienfaits d’une pensée unique. Ce n’est pas pour autant que la modé- Non pas que l’approche CARTA ne soit pas séduisante, mais elle n’est pas suffisamment concrète, les vrais problèmes se lisation soit systématiquement la meilleure approche possible. Dans situant à la source, dans les faiblesses des briques protocole cas de la sécurité, avec des outils tels que CARTA, nous pensons laires et les comportements suicidaires des usagers. justement qu’au minimum, la question mérite d’être posée. Le seul intérêt de ce référentiel est qu’il dresse un inventaire des problèmes à traiter. Il indique ce qu’il faut faire, a tendance est à la pas été touchés par la grâce, édi- C’est exactement ce qui se passe mais ne dit pas comment le faire. modélisation et plus fient de beaux schémas avec des dans le domaine de la sécurité, Quant à savoir s’il faut perdre du temps à se faire certi- précisément à celle de modèles à N couches (sans un où l’on voit fleurir des méthodo- fier, la réponse est dans la question… Au fond, l’histoire se la sécurité. On cherche modèle à N couches, ça ne fait logies et outils de modélisation à décrire de manière pas sérieux), établissent un che- théoriques, les consultants ayant répète. N’a-t-on pas déjà dit la même chose au sujet d’ITIL ? Lexhaustive les tâches à exécu- minement qu’il faut absolument pris soin de rappeler que le TI ter, les comportements à traquer, emprunter, sinon on n’y arrivera est une catastrophe sécuritaire de manière à rendre le SI, sinon pas et surtout ils prévoient des mondiale, que les Russes et les protection, avec des gens qua- faire face à la déferlante, si ce insensible aux attaques venues paliers de certification, auxquels Chinois sont prêts à nous enva- lifiés aux bons endroits et un n’est en fermant tous les accès de l’extérieur, pour le moins le les clients avec force dollars, vont hir, fortement aidés il est vrai traitement technique des problé- de notre SI, ce qui est évidem- plus imperméable possible en se soumettre pour avoir le senti- par les Coréens du nord, sans matiques. Et pas dans un verbiage ment impensable. Nous avions cas d’opération malveillante et ment d’appartenir au cénacle des qui une attaque ne saurait être fumeux bourré d’évidences. bien suggéré de remplacer la capable de réagir avec le maxi- « gens qui savent ». Même s’il y prise au sérieux et qu’il ne faut Nous pensons certes, qu’il peut quasi-totalité des protocoles en mum d’efficacité. a un fond de vérité, ne serait-ce pas se demander si notre sys- être intéressant de répertorier activité sur Internet : TCP, IP, Il y aura deux grandes approches. qu’à travers les bonnes pra- tème d’information va exploser, les failles dans un modèle à N CMIP, DNS, SMTP, SNMP, etc., Celle qui consiste à modéliser les tiques proposées, tout cela n’est mais quand cela va se produire. couches, mais qu’il faut surtout mais il semble que cela soit trop opérations, ressources et com- somme toute que du vent, disons Évidemment dans ce contexte, inculquer des techniques de pro- tard, un peu compliqué à faire et portements dans le cadre d’un une brise, destinée à donner une tout ce qui peut rassurer les grammation et de conception que la facture pour construire un référentiel, comme le font Cobit sorte de « cadre légal » à certains clients est bon à prendre et s’il d’architectures, pour éviter jus- nouvel ordre sur Internet, soit 5 et CARTA du Gartner, avec le domaines du TI : le développe- vous prenait l’envie d’inventer tement ces failles. Autrement dit inenvisageable. Dont acte. 14 risque de se perdre dans des des- ment et la sécurité, entre autres une nouvelle méthode fondée traiter le mal à la racine, plutôt Il nous faut donc faire contre criptions théoriques, sans liens et une légitimité à des équipes sur l’alignement des astres et que de passer son temps à pour- mauvaise fortune bon coeur, avec le terrain et celle qui consiste qui veulent se positionner dans les cycles de reproduction des suivre un ennemi, qui de toute « faire avec » et nous organiser à s’approcher au plus près des la hiérarchie de leur entreprise. hannetons du Baloutchistan façon a toujours une bataille en conséquence. D’où la prolifé- réalités techniques et d’en déduire C’est un peu comme les diplômes. oriental, nul doute que vous d’avance. ration des marchands de rêves. un « modus operandi » spécifique En général, ils ne servent à rien, auriez beaucoup de succès. Il y a, chaque jour, plus de 50 000 du domaine traité, pour la mes- si ce n’est pour entrer « quelque Vous l’avez compris, nous virus nouveaux, chevaux de La modélisation sagerie, pour les accès Cloud, etc. part », mais une fois en place, on sommes quelque peu sceptiques Troie, Rootkits et produits qui C’est ce que proposent les EDR. se rend compte qu’ils n’apportent sur le sujet (…), convaincus exploitent des failles, connues carta du gartner En gros, les outils de type CARTA pas grand-chose de concret. On que la solution est plus dans ou pas (attaques « zero day »). Et Le cabinet américain Gartner a seront parfaits pour concevoir de exagère à peine… une approche rationnelle de la on ne voit pas très bien comment publié en 2014 un référentiel de beaux Powerpoint en couleurs, modélisation applicable à la mais n’apporteront pas grand- sécurité. chose, dès lors que l’on passera Il s’agit de CARTA (« Continuous aux travaux pratiques. Adaptive Risk and Trust Assess- Le danger d’une telle méthodo- LEMARSON 2020 ment »), qui consiste à mettre en logie étant qu’elle peut devenir Cet article est extrait de l'ouvrage LeMarson 2020 ouvrage de référence sur les ten- place une approche prédictive une cible et non plus un outil. de la sécurité, fondée sur l’ana- C’est en tout cas le point de dances et technologies IT/TI (plus de 500 pages format A4, 1,5 kg !). Créé en 2015, le lyse permanente (!!!), le Machine vue que nous défendons ici. service LeMarson (www.lemarson.com) propose de nombreux dossiers qui concernent Learning et l’évaluation constante L’approche des EDR, nous les problématiques du TI. Il comporte aussi du contexte. Évidemment si l’on semble mieux coller à la réalité des formations vidéos longue durée : Big fait intervenir le Machine Lear- des besoins. C’est d’ailleurs ce ning et l’Intelligence Artificielle, qui remonte du terrain, CARTA Data, Tendances Informatiques, NoSQL, dans cette affaire, nul doute que n’étant pas une réussite, malgré projets agiles, applications, etc, des ça ira beaucoup mieux. le nom de son sponsor, alors qu’il webinaires chaque semaine sur invi- Ce qui est sûr, c’est que le existe de plus en plus de produits Gartner était très optimiste lors EDR, tels que SentinelOne, qui tation, des séminaires en direct de l’annonce de CARTA, puisque exploite un mécanisme d’IA ou multi-sessions : IA, Blockchain, le consultant prévoyait qu’en CrowdStrike Falcon Insight. On objets communicants, un 2020, 25 % des grandes compa- peut y voir un signe. accompagnement tech- gnies auraient adopté son modèle (ils étaient 5 % en 2017). Ramené L’art de vendre nique des clients, etc…. aux réalités concrètes du terrain, BONNES FEUILLES du vent Exclusivement en fran- il serait étonnant que CARTA çais, le service est dépasse les 10 % et encore parmi Certains consultants, soucieux de dirigé par Claude ces 10 %, il y a bon nombre d’en- trouver de nouveaux débouchés treprises qui sont prêtes à tout pour leurs équipes et désireux Marson. Il est accepter, à condition que le logo d’attacher leurs clients par des disponible sur du Gartner apparaisse. Qui n’a liens forts, ont choisi une fois de abonnement. d’autre but que de servir de plus le domaine de la sécurité IT parapluie à leurs propres déci- pour sévir. L’idée est géniale… sions. Si le Gartner a dit, donc… Ils élaborent une méthodologie, Pour la petite histoire, CARTA avec un glossaire pour savoir de est donc une méthode d’ana- quoi on parle, des bonnes pra- lyse continue, fondée sur la tiques pour se distinguer des modélisation des « assets » autres intervenants, qui n’ont (ressources), dont on évalue de (suite en page 16)

BONNES_FEUILLES_CR2.indd 14 09/09/2020 22:35 Modélisation de la sécurité : comment faire du vent Demain... On a tous conscience qu’il y a intérêt à mettre de l’ordre dans notre approche sécuritaire du TI. Car c’est souvent avec de vrais problèmes n’importe quoi, tant du point de vue des comportements, BONNES FEUILLES que des outils. Mais nous ne sommes pas convaincus qu’une « pure » solution de modélisation, qui n’est rien d’autre qu’un catalogue de bonnes intentions, pourra changer quoi que ce soit à la gravité de la situation. Non pas que l’approche CARTA ne soit pas séduisante, mais elle n’est pas suffisamment concrète, les vrais problèmes se situant à la source, dans les faiblesses des briques protoco- laires et les comportements suicidaires des usagers. Le seul intérêt de ce référentiel est qu’il dresse un inventaire des problèmes à traiter. Il indique ce qu’il faut faire, mais ne dit pas comment le faire. Quant à savoir s’il faut perdre du temps à se faire certi- fier, la réponse est dans la question… Au fond, l’histoire se répète. N’a-t-on pas déjà dit la même chose au sujet d’ITIL ? faire face à la déferlante, si ce n’est en fermant tous les accès de notre SI, ce qui est évidem- ment impensable. Nous avions bien suggéré de remplacer la quasi-totalité des protocoles en activité sur Internet : TCP, IP, CMIP, DNS, SMTP, SNMP, etc., mais il semble que cela soit trop tard, un peu compliqué à faire et que la facture pour construire un nouvel ordre sur Internet, soit inenvisageable. Dont acte. Il nous faut donc faire contre 15 mauvaise fortune bon coeur, « faire avec » et nous organiser en conséquence. D’où la prolifé- ration des marchands de rêves. La modélisation carta du gartner Le cabinet américain Gartner a publié en 2014 un référentiel de modélisation applicable à la sécurité. Il s’agit de CARTA (« Continuous Adaptive Risk and Trust Assess- ment »), qui consiste à mettre en place une approche prédictive de la sécurité, fondée sur l’analyse permanente (!!!), le Machine Learning et l’évaluation constante du contexte. Évidemment si l’on fait intervenir le Machine Lear- ning et l’Intelligence Artificielle, dans cette affaire, nul doute que ça ira beaucoup mieux. Ce qui est sûr, c’est que le Gartner était très optimiste lors de l’annonce de CARTA, puisque le consultant prévoyait qu’en 2020, 25 % des grandes compa- gnies auraient adopté son modèle (ils étaient 5 % en 2017). Ramené aux réalités concrètes du terrain, il serait étonnant que CARTA dépasse les 10 % et encore parmi ces 10 %, il y a bon nombre d’entreprises qui sont prêtes à tout accepter, à condition que le logo du Gartner apparaisse. Qui n’a d’autre but que de servir de parapluie à leurs propres déci- sions. Si le Gartner a dit, donc… Pour la petite histoire, CARTA est donc une méthode d’analyse continue, fondée sur la modélisation des « assets » (ressources), dont on évalue de (suite en page 16)

BONNES_FEUILLES_CR2.indd 15 09/09/2020 22:35 (suite de la page 15) manière prédictive et continue le On sait, « grâce » au CMDB, vulnérabilités des systèmes et trimestre. C’est le coeur de la sont « rangées » dans un comportement. Autrement dit, en qu’il est très difficile de garan- les prioriser pour les prendre méthode, s’adapter aux évè- modèle CARTA, qu’elles seront fonction du contexte qui n’arrête tir les remontées temps réel des en charge. L’idée que recom- nements et être proactif pour plus faciles à mettre en oeuvre. pas de changer, avec de nouvelles modifications et qu’il reste tou- mande le Gartner étant de se anticiper sur les nuisances. menaces et faiblesses, on cherche jours une part importante de focaliser sur les vulnérabi- Une fois ces prérequis respec- Les liens à modéliser la capacité de réac- saisies manuelles à effectuer. lités les plus criantes, celles tés, la modélisation CARTA est tion et d’opposition aux attaques Modéliser ensuite les relations qu’exploitent réellement les censée répondre à quatre grands avec les EDR et aux dysfonctionnements. entre les ressources, de manière criminels. Évidemment, on ne objectifs : prédire les aléas Dans un domaine plus limité, le Le Gartner liste cinq points à anticiper sur les effets col- va pas suggérer le contraire… sécuritaires, sur un modèle Gartner et d’autres consultants, clés, à prendre en compte, latéraux d’une attaque menée Comme toujours, il faut démon- donné, prévenir les incidents, de nous suggèrent depuis 2013, une pour y parvenir. D’abord réa- sur une ressource bien précise : trer que l’approche CARTA est manière continue, ce qui n’est approche différente de la modé- liser un inventaire de toutes machine, réseau, poste de tra- pertinente, aussi allons-nous pas pareil que de se contenter lisation des actions sécuritaires, les ressources et effectuer des vail, fichiers, etc. nous armer de métriques qui de les prédire, prioriser les fai- focalisée sur les « endpoints », mises à jour systématiques et Là encore on est exactement démontreront le bien-fondé de blesses pour mieux s’opposer serveurs et postes de travail, les automatiques, dès que les modi- dans le même contexte que le l’approche. aux attaques et répondre aux EDR (« Endpoint threat Detection fications interviennent. Vieux CMDB et l’on sait que si l’idée Le dernier point concerne changements de contextes. and Response »). « serpent de mer » que l’on a est effectivement très sédui- l’adaptabilité du modèle CARTA, Personne ne pourra dire que ce Ces EDR, qui ressemblent par connu avec les CMDB de l’ap- sante, elle est difficile à mettre qui doit être remis en cause ne sont pas de bonnes idées, certains aspects à CARTA, sont proche ITIL, si ce n’est que l’on en oeuvre. régulièrement, chaque mois, sauf à être de mauvaise foi, basés comme celle-ci sur la se concentre ici sur la sécurité. Evaluer de manière continue les au minimum une fois par mais ce n’est pas parce qu’elles récupération en temps réel, d’un maximum d’informations ayant trait à la sécurité des endpoints. Qui vont leur permettre de remplir une triple mission : détecter, investiguer et remédier. Cette-fois, on n’est plus dans un référentiel de type CARTA, mais dans une chronologie de bonnes pratiques. C’est beaucoup plus concret et proche des problématiques à traiter, que la seule modélisation. La détection se fera en temps réel et de manière intelli- gente, selon une escalade à quatre niveaux : recherche de présence de l’anomalie dans d’autres sources recherche de signatures connues recherche d’attributs comportementaux ou d’écarts de comportements et si les attributs ne sont pas reconnus, confinement et « sand boxing » Pour ce qui est de l’investigation, deuxième volet EDR, elle sera intuitive, 16 avec recherche des IOC (indicateurs de compromission) ou IA (Indicateurs d’attaques), sur les « endpoints » : date de création, hash, noms de fichiers, taille, etc., qui auront pu être compromis et sur la recherche d’événements caractéristiques, telle qu’une augmentation anormale des privilèges ou une escalade hori- zontale, le code s’exécutant sur des machines tierces, dans le Cloud par exemple ou dans un botnet.Quant à la remédiation, autrement dit l’organisation des parades, son principe consiste à prioriser les interventions des équipes, grâce à l’évalua- tion de la criticité des alertes. On pourra alors supprimer les process malveillants, quand ce sera possible, mais aussi isoler le réseau, mettre le process en quarantaine, voire revenir à une version plus saine des fichiers et de l’OS… ou décider de le traiter quand on aura le temps. En comparant CARTA et les EDR, on voit bien qu’il y a d’incontestables zones de recouvrement. Les deux réfé- rentiels pouvant d’ailleurs se

BONNES FEUILLES concevoir conjointement. La vraie différence tient à ce que CARTA est un modèle global de sécurité de l’entreprise, à 8 000 pieds d’altitude par rapport aux problèmes concrets des clients, alors que l’EDR propose un che- minement d’actions à effectuer, de manière très précise, en se focalisant sur les serveurs et les postes de travail. De ce fait, il est beaucoup plus utile. Et n’a pas ce côté abstrait, que certains trouvent décalé… ❚

BONNES_FEUILLES_CR2.indd 16 09/09/2020 22:35 Emotet, le retour Ce n’est plus le cheval de Troie bancaire que l’on a connu mais plutôt désormais Pour Matt Walmsley, expert cybersécurité et directeur Europe de Vectra, « cher- un vecteur d’attaques opéré par un groupe appelé TA542 lequel a des « clients » cher à identifier et à comprendre qui sont les opérateurs d’Emotet ainsi que leurs qui exploitent des trojans tels que Dridex, Qbot et TrickBot distribués sous forme motivations fait partie du puzzle et c’est le rôle des forces de l’ordre. Mais le plus de seconde charge utile. Emotet doit donc être détecté au plus tôt sur les postes utile et le plus durable pour la sécurité reste de comprendre les tactiques et les infectés car sa présence laisse prévoir d’autres intrusions. Les premiers courriers techniques qu'ils utilisent et d'anticiper la manière dont elles pourraient être atté- d’hameçonnage contiennent la plupart du temps des fichiers joints de type PDF nuées pour protéger les cibles du Trojan. ou Word. L’ANSSI a lancé une alerte le 7 septembre sur la recrudescence d’Emo- « Dans le cas d'Emotet, il s'agirait notamment de détecter l'utilisation abusive de tet en France avec quelques recommandations : Sensibiliser les utilisateurs à ne comptes à privilèges, les mouvements latéraux sur le réseau local (pour les PME pas activer les macros dans les pièces jointes et à être particulièrement attentifs par exemple) et les comportements signalant la présence d’outils de commande et aux courriels qu’ils reçoivent et réduire l’exécution des macros. Limiter les accès de contrôle (C&C). Les équipes de sécurité doivent être de plus en plus agiles, car Internet pour l’ensemble des agents à une liste blanche contrôlée. Déconnecter le temps est leur ressource la plus précieuse pour faire face aux attaques de logi- les machines compromises du réseau sans en supprimer les données. De manière ciels malveillants. Une détection et une réponse précoces sont essentielles pour MENACES générale, une suppression / un nettoyage par l’antivirus n’est pas une garantie suffi- reprendre le contrôle et arrêter les attaquants avant qu'ils ne puissent se propager sante. Seule la réinstallation de la machine permet d’assurer l’effacement de l’implant. dans l'organisation, et qu’ils volent ou empêchent l’accès aux données. »

Trois mesures clés pour le retour au bureau Sur la base d’une enquête menée auprès de son club d’utilisateurs, SailPoint a identifié trois mesures clés que doivent prendre les équipes IT et sécurité alors qu’un nombre croissant d’employés ont commencé à retourner à leur bureau en septembre : Mettre à jour et vérifier continuellement les identités 17 des utilisateurs afin d’ali- gner les droits d’accès aux fonctions de chacun. Utiliser des politiques intégrées de conformité et de traçage des groupes de travail pour s’assurer que chaque utilisateur a les droits d’accès adé- quats dès son recrutement en qualité d’employé et de sous-traitant, lorsqu’il change d’affectation, est promu ou quitte l’entreprise. S’assurer d’autorisa- tions d’accès appropriées aux applications, fermer des accès sur la base d’ana- lytiques en temps réel, et contrôler les actions des utilisateurs. Utiliser le machine learning et les plus récents outils d’IA pour gérer toutes ces procédures à la fois pour les applications hébergées sur site et dans le cloud. Passer d’une protection des données basée sur un périmètre de sécurité à un processus basé sur l’identité. Identifier propriétaires des données et la plate-forme pour classer et cataloguer les données de façon intelli- gente. Ceci à la fois pour les données structurées et non structurées.

CR2_MENACES.indd 17 09/09/2020 23:24 Mathieu Bonenfant, directeur marketing Appliances firewall : et de produit chez Stormshield. l’essor de la virtualisation

Devant l’essor du Cloud et de la virtualisation, que deviennent les appliances de Hervé Schauer (HS2) filtrage ? Nous avons voulu faire un point de situation, en interrogeant quelques parties « La protection prenantes du secteur… périmétrique e pare-feu a été l’un des encore de « Lockbit », cette premiers éléments de la menace nouvelle génération est caduque » là aussi de proposer une sim- sécurité des réseaux. Au qui combine chiffrement des plicité d’administration. Ils départ déployés dans données, vol d’informations et proposent également une plate- les années 90 avec menace de divulgation. Aujourd’hui à la tête du cabinet de forme de « CTM » (Cyber Threat Ldes simples listes de filtrages Sophos propose le concept conseil HS2, Hervé Schauer a été Management). Leurs appliances d’adresses IP, ces équipements de sécurité synchronisée qui l’un des pionniers de ces technolo- sont capables de faire de la détec- empilent aujourd’hui les fonc- permet de corréler tous les évé- tion d’intrusion, de l’antivirus, tionnalités : terminaison SSL/ nements collectés, au niveau gies dans les années 80. Nous lui de l’inspection protocolaire TLS, antivirus, filtrage applicatifs, firewall et endpoints, pour pro- avons demandé de dresser un bref TLS. L’objectif consiste à pro- authentification des utilisateurs, duire des réponses automatisées poser du« best of breed » avec data-leak prevention, deep packet aux menaces. Le point central panorama de ces évolutions techno- un déploiement modulaire, pour inspection… de management est la console logiques, et sa vision du futur ! coller aux besoins spécifiques de « Sophos Central », déployée leurs clients. Ce que proposent dans le Cloud, pour laquelle Finalement, l’inspection SSL les éditeurs Sophos annonce un taux de dis- L'1FO-CR : M. Schauer, vous êtes un expert périmétrique et l'expansion d'Internet de 1994 n’est-elle pas trop consom- ponibilité de 99,99%. reconnu en sécurité des systèmes d’informa- à nos jours. matrice de ressources ? Zscaler aujourd’hui Selon Patrice Clair, directeur tion. Pourriez-vous nous décrire l’historique En 1999 j'ai fais des présentations aux USA et dit répondre à ce besoin, en Chez tous les éditeurs, on note avant-vente de Sophos France, il du firewall, et dans un contexte de virtualisa- même dispensé un "Short Course" à la confé- effet selon Ivan Rogissart une volonté de proposer à leurs y a deux points de sécurisation (responsable des ingénieurs clients des solutions unifiées de du réseau: au niveau du poste de tion, quels sont les gains opérationnels et les rence SANS à Orlando sur "The doom of the avant-vente pour l’Europe gestion de leur sécurité, avec travail avec Sophos Intercept X mesures de sécurité à déployer ? firewall" pour démontrer que la protection du sud, Zscaler): un proxy une simplicité d’administration. et, au niveau du filtrage LAN/ Hervé Schauer : « Tout d’abord je ne suis périmétrique était insuffisante et qu'il fallait est indispensable au niveau Depuis les années 2010 nous WAN, Sophos propose le XG architecture pour obtenir des avons constaté un fort dépla- firewall, qui a une fonctionna- pas spécialiste et justement je ne trouve pas impérativement cloisonner les réseaux. C'était performances satisfaisantes. cement du traitement et du lité d’IPS (intrusion prevention de spécialistes Cybersécurité Azure ou AWS le paroxysme de la sécurité dans le réseau, qui L’avantage de Zscaler, pure 18 stockage des données vers system). Comme le rappelle pour dispenser des formations. En effet J'ai coin- n'a cessé de se développer des années 2000 à player du Cloud, est de pouvoir le Cloud. Que deviennent ces Patrice Clair : « aujourd’hui plus venté le proxy firewall en 1991 avec Christophe nos jours. En 2003 des réflexions chez Cisco ont répondre à la demande grâce à équipements dans un contexte de 80% du trafic réseau est chiffré. son infrastructure multi tenant multi-réseau et de forte vir- L’interception SSL est primordiale Wolfhugel. Cela a été présenté à Usenix à mené à la création du Jéricho Forum qui a fait et le cas échéant d'upgrader tualisation ? Pour le savoir, pour analyser le trafic ». Baltimore en 1992. une campagne en 2004 pour la dépérimétrisa- son infrastructure. Pendant nous avons demandé à dif- Lors de l'avènement des réseaux dans les tion. J'ai répondu en 2005 avec une présentation la crise pandémique, certains férents éditeurs de présenter Le déchiffrement années 80, la sécurité passait par le mot de ci-jointe à la JSSI de l'OSSIR que ce n'était pas clients ont vu leurs connexions leurs dernières nouveautés : VPN multipliées par 10 ou 20. Sophos, Fortinet, Stormshield, SSL est essentiel passe pour authentifier l'utilisateur. En 1986 Bull pour tout de suite. Cédric Blancher m'a emboité Zscaler a doublé ses infrastruc- Watchguard, pour la par- Même son de cloche chez a couplé un lecteur de carte à puce au PC et en le pas avec une présentation plus complète à tures pour absorber la montée tie appliance, et Zscaler, pour WatchGuard : pour Jérémie 1988 je prédisais que tous les claviers auraient SSTIC en 2008. en charge en quelques jours. l’offre «pure player » Cloud. Schram, ingénieur avant- Quel est l’état de la menace ventes, « 80% du trafic utilisateur un lecteur de carte à puce et que nous nous Mais quand j'ai clamé haut et fort aux Assises de Analyse fine aujourd’hui ? Sophos a publié est chiffré, le déchiffrement SSL authentifierions avec. Raté. Il a fallu attendre la Sécurité toujours en 2008, appellé à l'impro- des protocoles un rapport, «The State of est donc essentiel. Les équipe- les ports USB, des bus série comme le lecteur viste à la conférence plénière à la tribune, que industriels Ransomware 2020 », qui pré- ments doivent être dimensionnés de carte à puce, mais pour une authentifica- "le RSSI allait survivre au DSI", j'ai fait scandale, cise que l’année dernière une en conséquence. » WatchGuard Stormshield, seul éditeur de entreprise sur deux dit avoir propose le « Firebox » (phy- tion par un facteur autre que le mot de passe, il y a beaucoup de DSI invités aux Assises, pas solutions de firewalls en France rencontré un cas de ran- sique), le « Firebox Cloud » ce sont les ordiphones qui le permettent enfin, que des RSSI, j'ai froissé du monde. Pourtant, et 1er éditeur européen, fait somware sur son réseau. Le (cloud public) et le « FireboxV » c'est récent, il aura fallu 30 ans. le directeur cybersécurité des années 2020 va aussi de la terminaison HTTPS Sophos Lab, qui analyse des (virtualisé). Avec deux niveaux Dans l'intervalle TCP/IP a pris le pas sur Novell prendre l'importance et le grade qu'ont eu les sur ses équipements, nous milliers de fichiers suspects de licences : « Basic Security » explique Mathieu Bonenfant, tous les jours, nous parle de et « Total Security ». La phi- Netware et la sécurité d'accès aux applications DSI dans les années 2000 et 2010. directeur marketing et de « Maze ransomware », ou losophie de WatchGuard est totalement défaillante, que ce soit sur des PC Maintenant les applications sont dans le cloud, produit. « Stormshield, filiale de l'époque ou des stations de travail Unix (rlo- elles seront gérées majoritairement par les d’Airbus, est issu de la fusion de Arkoon et Netasq. Nous avons un gin, NFS et les Yellow Pages de Sun, etc). Puis métiers directement, localement, plus par une centre de threat intelligence, pour Patrice Clair, en 1988 TCP/IP a quitté le réseau local pour DSI centralisée, les DSI sont un service d'accès identifier les menaces et proposer directeur passer en inter-sites et le vers Morris a montré à Internet et de gestion d'annuaires (eux-mêmes des contre-mesures. Nos équipe- OUTILS avant-vente les conséquences. Il fallait pouvoir échanger dans le cloud), comme les gestionnaires de ments de filtrage de la gamme SNS de Sophos sont tous équipés en standard de avec Telnet et FTP, voir avec X11 ou SQL, entre téléphonie l'étaient avant eux. Les applications filtrage d’URL, d’analyse anti- France. entreprises distinctes, et aucun moyen d'authen- utilisent des webservices dans tous les sens, malware, de terminaison HTTPS, tifier les flux n'existait. Donc en 1989 Network seuls les auditeurs en cybersécurité retracent de prévention d’intrusion et de Systems (devenu StorageTek puis EMC) a quel composant appelle quel composant, les VPN. Les PME activent souvent un maximum de fonctionnali- inventé le filtrage IP sur un contrat Darpa, et il DSI ne savent plus. Et les utilisateurs sont hors tés sur le même équipement. Les a été programmé dans Wellfleet (devenu Bay du réseau protégé, chez eux avec la crise sani- grandes entreprises et adminis- Networks puis Nortel) en 1991, puis dans CISCO taire, avec des appareils divers et personnels... trations vont plutôt utiliser nos firewalls en connexion intersites, IOS aussi en 1991. J'ai co-inventé le proxy firewall La protection périmétrique est donc caduque, avec la fonction VPN ». sur un contrat CNES en 1991, afin d'aller au-delà la sécurité doit être mise au plus proche des « Notre stratégie, poursuit Mathieu du filtrage IP en identifiant et authentifiant l'utili- données auxquelles l'utilisateur réclame l'ac- Bonenfant, est d’accélérer notre sateur en coupure dans la communication. Pas cès. Google a très bien expliqué comment il le développement vers la protection des réseaux d’automates indus- de brevet, de là tous les éditeurs ont repris le faisait en 2017 et maintenant c'est sous le terme triels, qu’on appelle « réseaux principe, les firewalls ont permis la protection "ZeroTrust" que ce mouvement est popularisé. » OT » (Operational Technology). »

OUTILS_FIREWALLS.indd 18 09/09/2020 22:32 Sur ces infrastructures, il y place une segmentation IT/OT Pour analyser les binaires, Mathieu Bonenfant, a trois types de contraintes : et une analyse protocolaire pour WatchGuard est en partenariat directeur marketing contraintes matérielles du fait sécuriser les zones industrielles. avec Lastline (qui vient d’être et de produit des conditions environnemen- racheté par VMware) sur la par- Appliances firewall : tales (résistance aux vibrations, tie sandboxing, avec Bitdefender chez Stormshield. La configuration du à l’humidité, aux variations de pour la partie anti-virale, et températures,…), maintien de firewall, étape clé enfin avec Cylance (une société la sûreté de fonctionnement et Comment s’opère la détection BlackBerry) pour la partie ana- l’essor de la virtualisation prise en charge des protocoles de binaires ? D’après Jérémie lyse de fichiers basée sur l’IA. de communication industriels. Schram (WatchGuard) : « Pour Sophos n’est pas en reste et pro- Par exemple quand on met un sécuriser une appliance, qu’elle soit pose de l’IA et une corrélation firewall qui est en segmentation virtualisée ou non, la configuration d’évènements de sécurité via réseau, Stormshield sait faire du firewall va être aussi importante son « Sophos Lab ». Hervé Schauer (HS2) une analyse très fine des pro- que la robustesse de la solution elle- Fortinet est un autre acteur tocoles industriels, et déterminer même. Le client a par ailleurs une historique avec la solution qu’une commande qui est passée grande part de responsabilité en ce Fortigate. Christophe Auberger « La protection est légitime ou non. Cela a été qui concerne sa sécurité : les quali- est Cybersécurité évangéliste mis en œuvre récemment, par tés du produit et de l’intégrateur ne France. Selon lui, la philoso- OUTILS exemple chez leur client SNCF peuvent pas suffire si le client refuse phie de Fortinet est de protéger périmétrique Réseau: Stormshield a mis en certains mécanismes. » ses clients contre l’ensemble des est caduque » là aussi de proposer une sim- plicité d’administration. Ils proposent également une plate- Aujourd’hui à la tête du cabinet de forme de « CTM » (Cyber Threat conseil HS2, Hervé Schauer a été Management). Leurs appliances l’un des pionniers de ces technolo- sont capables de faire de la détec- tion d’intrusion, de l’antivirus, gies dans les années 80. Nous lui de l’inspection protocolaire avons demandé de dresser un bref TLS. L’objectif consiste à pro- Avec EGERIE, poser du« best of breed » avec panorama de ces évolutions techno- un déploiement modulaire, pour logiques, et sa vision du futur ! coller aux besoins spécifiques de les risques n’ont plus leurs clients. Finalement, l’inspection SSL périmétrique et l'expansion d'Internet de 1994 n’est-elle pas trop consom- à nos jours. matrice de ressources ? Zscaler rien d’e rayant En 1999 j'ai fais des présentations aux USA et dit répondre à ce besoin, en même dispensé un "Short Course" à la confé- effet selon Ivan Rogissart (responsable des ingénieurs rence SANS à Orlando sur "The doom of the avant-vente pour l’Europe firewall" pour démontrer que la protection du sud, Zscaler): un proxy périmétrique était insuffisante et qu'il fallait est indispensable au niveau architecture pour obtenir des impérativement cloisonner les réseaux. C'était performances satisfaisantes. le paroxysme de la sécurité dans le réseau, qui L’avantage de Zscaler, pure n'a cessé de se développer des années 2000 à player du Cloud, est de pouvoir 19 nos jours. En 2003 des réflexions chez Cisco ont répondre à la demande grâce à son infrastructure multi tenant mené à la création du Jéricho Forum qui a fait et le cas échéant d'upgrader une campagne en 2004 pour la dépérimétrisa- son infrastructure. Pendant tion. J'ai répondu en 2005 avec une présentation la crise pandémique, certains ci-jointe à la JSSI de l'OSSIR que ce n'était pas clients ont vu leurs connexions VPN multipliées par 10 ou 20. pour tout de suite. Cédric Blancher m'a emboité Zscaler a doublé ses infrastruc- le pas avec une présentation plus complète à tures pour absorber la montée SSTIC en 2008. en charge en quelques jours. Mais quand j'ai clamé haut et fort aux Assises de Analyse fine la Sécurité toujours en 2008, appellé à l'impro- des protocoles viste à la conférence plénière à la tribune, que industriels "le RSSI allait survivre au DSI", j'ai fait scandale, Stormshield, seul éditeur de il y a beaucoup de DSI invités aux Assises, pas solutions de firewalls en France que des RSSI, j'ai froissé du monde. Pourtant, et 1er éditeur européen, fait le directeur cybersécurité des années 2020 va aussi de la terminaison HTTPS prendre l'importance et le grade qu'ont eu les sur ses équipements, nous explique Mathieu Bonenfant, DSI dans les années 2000 et 2010. directeur marketing et de Maintenant les applications sont dans le cloud, produit. « Stormshield, filiale elles seront gérées majoritairement par les d’Airbus, est issu de la fusion de Arkoon et Netasq. Nous avons un métiers directement, localement, plus par une centre de threat intelligence, pour DSI centralisée, les DSI sont un service d'accès identifier les menaces et proposer à Internet et de gestion d'annuaires (eux-mêmes des contre-mesures. Nos équipe- dans le cloud), comme les gestionnaires de ments de filtrage de la gamme SNS sont tous équipés en standard de EGERIE ÉDITEUR LEADER DE LA GESTION téléphonie l'étaient avant eux. Les applications filtrage d’URL, d’analyse anti- DES RISQUES CYBER EN EUROPE utilisent des webservices dans tous les sens, malware, de terminaison HTTPS, seuls les auditeurs en cybersécurité retracent de prévention d’intrusion et de EGERIE propose une plateforme logicielle quel composant appelle quel composant, les VPN. Les PME activent souvent collaborative et agile permettant une maîtrise un maximum de fonctionnali- des cyber risques en toute sérénité. DSI ne savent plus. Et les utilisateurs sont hors tés sur le même équipement. Les du réseau protégé, chez eux avec la crise sani- grandes entreprises et adminis- taire, avec des appareils divers et personnels... trations vont plutôt utiliser nos firewalls en connexion intersites, La protection périmétrique est donc caduque, avec la fonction VPN ». la sécurité doit être mise au plus proche des « Notre stratégie, poursuit Mathieu données auxquelles l'utilisateur réclame l'ac- Bonenfant, est d’accélérer notre www.egerie.eu cès. Google a très bien expliqué comment il le développement vers la protection des réseaux d’automates indus- faisait en 2017 et maintenant c'est sous le terme triels, qu’on appelle « réseaux "ZeroTrust" que ce mouvement est popularisé. » OT » (Operational Technology). »

OUTILS_FIREWALLS.indd 19 09/09/2020 22:32 risques cyber au travers d’une de l’Anssi (diffusion restreinte). à la configuration des équipements Pour sécuriser la console de plateforme intégrée, unifiée et Christophe « C’est un investissement important, (fine-tuning). Il faut penser aux management, l’accès aux automatisée, appelée « Fortinet Auberger est souligne Mathieu Bonenfant, qui failles humaines, il faut penser à appliances, Il faut sécuri- Security Fabric ». Le pare-feu Cybersécurité permet de démontrer la robustesse de patcher son infra contre les der- ser l’authentification des nouvelle génération, FortiGate, évangéliste nos technologies. Le process d’éva- nières CVE. » users. Comme l’explique Ivan peut être déployé en mode France pour luation lié à la qualification s’appuie Selon Christophe Auberger Rogissart (Zscaler): on va uti- appliance ou en mode virtua- Fortinet. notamment sur du test de vulné- (Fortinet), pour parer aux risques liser l’IdP (identity provider) de lisé, sur tout type de plateforme rabilités, de l’audit de code source engendrés par la virtualisation, nos clients pour les authentifier (AWS, Azure, GCP). mais aussi de l’audit organisation- « il faut intégrer la sécurité dès la sur nos solutions. Cela permet Fortinet propose aussi le nel ». Ce qui semble nécessaire conception du système, du réseau d’obtenir un niveau de gestion «Zero-trust Network Access »: pour satisfaire aux exigences de virtuel. Peu importe l’environ- d’identité et d’accès satisfai- la transformation numérique leurs nombreux clients « OIV » nement de destination, Cloud ou sants. Ce sera par exemple du fait que l’on ne peut plus avoir et administrations. Stormshield physique, il faut déployer la sécu- SAMLV2 avec de l’authentifica- de zones de confiances dans le revendique plus de 15000 clients rité en même temps qu’on déploie tion multifacteur. réseau. On va donc valider l’en- et un réseau de 800 intégrateurs. le projet. C’est la sécurité de bout Même constat chez Zscaler : semble des personnes qui se en bout. On cherche à sécuriser la « Pour répondre aux probléma- connectent sur le réseau. C’est La sécurité donnée. Le plan de sécurité doit tiques de sécurisation des services plus de que l’authentification. On être unifié. Il doit être imposé par cloud, La politique de sécurité de va savoir qui se connecte à partir de bout en bout la donnée. Quand on déploie sur Zscaler est de l’authentification et de quoi et où, et s’il en a le droit Pour Jérémie Schram (Watch- Azure, AWS, quand on augmente du multitenant. Il y a des rôles et des ou pas. Cela fonctionne sur du Guard), « les solutions les plus la capacité du datacenter interne, il permissions basées sur l’identité pour filaire, sur du wireless. Ces fonc- simples ne doivent pas être délais- faut prendre en compte la sécurité gérer les privilèges de la personne. tions peuvent êtres portées par sées au profit des solutions de de bout en bout. Le plan de sécu- Toutes les actions sont loggées » un pare-feu nouvelle génération, pointe, elles restent fondamen- rité doit être unifié et basé sur la nous explique Ivan Rogissart. par un système d’authentifica- tales : il faut penser à la visibilité, donnée qu’on cherche à protéger ». Selon lui Zscaler permet tion, ou déployées sur un Cloud. d’adresser deux problématiques: Voilà typiquement une bonne les applications se déplacent réponse aux risques engendrés Il note également : « Aujourd’hui vers le cloud. De plus les uti- par le cyber et la virtualisation. il y a un engouement pour le lisateurs ne se connectent pas Une tendance intéressante est SD-WAN » (software-defined toujours depuis le LAN, mais le partage d’informations sur la wan). Il poursuit : « On trouve Les conseils d’un intégrateur depuis des tablettes, mobiles, « threat intelligence » en back de la 5G, du MPLS… L’intérêt du pc portables, différents réseaux. end. Tous les éditeurs possèdent SD-WAN est d’avoir un réseau Nous avons également recueilli le point de vue d’un intégrateur avec le Zscaler a été créé en 2008. des laboratoires d’analyses de agile, flexible, évolutif. Cela ne partage d’expérience de Orange Business Services (OBS) sur ses offres Dans ces conditions de « data binaires, et prétendent pou- doit pas se faire au détriment de in motion », il faut des solu- voir détecter en temps réel la sécurité. ». d’hébergement et de virtualisation dans un contexte multi-Cloud. tions spécifiques qui dépassent un malware chez un client, le Concernant Stormshield, Mathieu Pour ses offres de confiance, OBS s’appuie sur l’expérience de Orange la sécurité périmétrique. remonter dans leur propre lab Bonenfant précise « 90% de nos CyberDefense. A partir de 2010, Zscaler a pour analyse, puis distribuer appliances sont encore vendues en deployé ses solutions de sécurité rapidement sa signature à tous mode hardware. Le risque avec la Selon Cédric Prevost, directeur « Solutions apporte toutes garanties possibles d’in- dans des datacenters en mode leurs autres équipements. C’est virtualisation, c’est qu’Il faut pouvoir SaaS. Aujourd’hui Zscaler dis- ce qu’on a constaté en opérations maîtriser l’ensemble des compo- de confiance » au sein de la BU Cloud, OBS dépendance » nous explique Christophe pose de 150 datacenters répartis dans de nombreux cas. Le facteur sants, or un équipement virtualisé propose des offres de Cloud « Orange » et Dernys. dans le monde. Ils traitent 100 de mutualisation de la sécurité va être dépendant de l’hyperviseur s’intègre aussi dans des offres de Cloud milliard de connexion quoti- dans ce cas semble fonctionner à et du hardware sous-jacent. De plus diennement (30 milliards il y fond, avec une amélioration glo- l’administration d’un hyperviseur tierces parties. il faut penser les solutions Quelles sont les tendances a 3 ans), avec 2 offres de ser- bale des systèmes de signature. peut être consommateur de res- de sécurité dans un monde « multi-cloud ». dans la virtualisation ? vice : Zscaler internet access, 20 sources pour certaines entreprises. OBS a des offres de Cloud souverain, et, « On voit une vraie tendance à accumu- pour la protection internet (à Où en est-on C’est pourquoi les clients se tournent pour répondre aux besoins de ses clients ler plusieurs instances de firewalls sur une destination de services logiciels de la virtualisation de préférence vers des machines « SaaS »), et Zscaler private virtuelles déployables dans Azure « OIV » (« opérateurs d’importance vitale »), même appliance. Avant les clients se retrou- access, pour faire accéder des des appliances ? ou AWS. ». Stormshield propose a développé une offre « CCOE » : Cloud vaient avec 4 ou 5 clusters pour sécuriser utilisateurs authentifiés à des Selon Patrice Clair (Sophos), 80% des solutions virtualisées depuis Center Of Excellence, pour s’intégrer chez des zones différentes. Aujourd’hui les clients applications hébergées dans des XG firewalls sont vendus en 2010 et depuis 2018 des instances le client et offrir des services d’accompa- investissent sur une grosse infrastructure un cloud privé (Zscaler secu- mode appliance, et 20% en mode « élastiques » qui permettent rity Cloud). virtualisé. Pour lui les avantages d’allouer à chaud des ressources gnement des opérations Cloud. physique, et ils virtualisent les firewalls, Selon Ivan Rogissart, aujourd’hui du Cloud vont être de pouvoir en VRAM ou VCPU. Pour Christophe Dernys, directeur Build tous sur une même appliance physique. la tendance est au SD-WAN, qui faire du scale up ou scale down Solutions de confiance au sein d’Orange Sur un même boîtier hardware, on va avoir donne une intelligence de rou- rapidement. Mais in fine, c’est Des appliances tage. Cela permet de sélectionner CyberDefense, « Orange CyberDefense est un firewall qui sécurise les accès web, les la politique de sécurité décidée compatibles avec les réseaux et d’avoir un accès par le client qui va déterminer le bras armé d’Orange en cybersécurité. » réseaux partenaires. Donc différentes zones plus rapide aux applications. le niveau de sécurité. les « majors » Ils comptent 3000 experts, et 700 millions de sécurité sur une même appliance ». Le cœur du métier de Zscaler Idem chez Fortinet, où Christophe Tous les éditeurs affirment avoir d’euros de chiffre d’affaires. Leur métier « Dans ce contexte, l’étanchéité est essen- est de s'occuper du filtrage pour Auberger nous parle d’un ratio des appliances compatibles avec « nettoyer » le trafic. Cela per- 80/20 entre les appliances et les trois majors : AWS, GCP, va être de préserver voire d’améliorer le tielle pour sécuriser le trafic « est -ouest » met de vérifier qu’il n’y a pas de la virtualisation. Fortinet pro- Microsoft Azure. Il n’est plus MCS (Maintien en conditions de sécurité) (interne au datacenter). Cette étanchéité va malware (IDS) et qu’il n’y a pas pose le FortiGate (Firewall), question de parler d’indépendance de leurs clients, par l’accompagnement être garantie, soit par l’appliance proprié- de « data leaks » (DLP). Dans ce FortiManager (console d’admi- des données, mais de haute dis- en sécurité, par l’intégration de solutions taire, soit par des éditeurs spécialisés. On contexte l’interception HTTPS nistration), FortiAnalyser pour ponibilité, et avec les milliards est primordiale pour analyser l’analyse des logs et FortiSIEM investis par ces 3 éditeurs amé- Cloud (y compris équipements de filtrage peut citer Trend micro deep security, ou le trafic. pour la partie SIEM, qui sont ricains, le dimensionnement des par exemple), et enfin par l’intégration de encore Aqua security qui sont capables de disponibles « on-premise » ou infrastructures semble garanti. cyber-SOC pour détecter les menaces en sécuriser les microservices. » Visualiser le risque en mode « Cloud » (notamment Reste qu’on nous évoque l’exis- AWS). tence de milliers de machines temps réel chez leurs clients. Mais selon Christophe Dernys « la grande Zero Day virtuelles hébergées en datacenter OBS propose deux offres de services tendance c’est les micro services. On explose Un exemple de détection de sur une seule machine physique « Cloud » : Flexible engine qui est un cloud les systèmes en différents services ». « Le malware: pendant la crise virale OUTILS (ou appliance). Techniquement public avec un hub de service sur une vrai risque c’est le risque de rebond. Usurper « NotPetya » et « Wannacry », se pose alors la question de la Zscaler a activé la « cloud confidentialité des instances, et souche openstack, proche de Zscaler, et un niveau d’authentification et rebondir sur sandbox » gracieusement pour de la disponibilité du serveur. Flexible computing advance qui est un d’autres machines plus sensibles. Avec les leurs clients. Ils ont pu bloquer AWS, Google Cloud proposent des cloud public sur souche technologique micros services cela peut prendre encore un grand nombre d’attaques solutions dédiées en surcouche VMware. plus de proportions ». C’est dans ce contexte pendant 120 jours, le temps de virtualisation. Les éditeurs pour les attaques basées sur des d’appliances ont eux aussi pris Le niveau suivant, c'est quand un client veut que OBS propose des tests d’intrusion variantes de s’estomper. Certains en compte ces problématiques. protéger en autonomie un service hébergé réguliers à tous ses clients Cloud. clients ont gardé l’offre de Qu’en est il de la sécurité des chez eux. C’est ce qu’on appelle « cyber Pour Cédric Prevost : « la vraie sécurité des « cloud sandbox » même après appliances elles-mêmes ? Off- la crise car elle leur a permis de the-record, on nous parle de protection express » (CPE). applications cloud, et donc l’efficacité de la visualiser le risque des « Zero noyaux linux « custom », de En matière de technologies de filtrage, OBS protection des réseaux dans un contexte de days » circulant dans leur SI. pentests réguliers et de parte- va proposer des solutions Stormshield, virtulisation, cela va être le « cloud native » A noter que cette fonctionnalité nariats avec l’Anssi. Fortinet, Vadescure… « Il n’y a pas que qui va permettre le « security by design ». de « sandbox » est disponbile A savoir que les produits également chez Stormshield, Jérémie Schram, Stormshield de la gamme SNS, des solutions open source. Tout est mis en Il faut penser la sécurité et l’intégrer dès le WatchGuard, et tous les éditeurs WatchGuard. sont qualifiés au niveau standard œuvre et opéré par les équipes orange. Cela début du projet ». du marché… Dans ce contexte,

OUTILS_FIREWALLS.indd 20 09/09/2020 22:32 à la configuration des équipements Pour sécuriser la console de comment choisir entre ces solu- se transforme vers une notion (fine-tuning). Il faut penser aux management, l’accès aux Ivan Rogissart, tions ? Fortinet nous annonce de protection de la donnée pour failles humaines, il faut penser à appliances, Il faut sécuri- responsable avoir remporté un important les utilisateurs. On va ainsi vers patcher son infra contre les der- ser l’authentification des des ingénieurs contrat chez un fournisseur de une protection « contextuelle ». nières CVE. » users. Comme l’explique Ivan avant-vente logements de vacances & loi- Ensuite, il faut souligner Selon Christophe Auberger Rogissart (Zscaler): on va uti- pour l’Europe sirs. A regarder le communiqué, un fort développement du (Fortinet), pour parer aux risques liser l’IdP (identity provider) de on voit que toute la gamme SD-WAN. Enfin, le déchiffre- engendrés par la virtualisation, nos clients pour les authentifier du sud de solutions est prévue pour ment HTTPS reste bien entendu « il faut intégrer la sécurité dès la sur nos solutions. Cela permet chez Zscaler. le déploiement : « FortiGate, indispensable. conception du système, du réseau d’obtenir un niveau de gestion FortiMail, FortiClient (…) ». C’est Au final on voit que dans un virtuel. Peu importe l’environ- d’identité et d’accès satisfai- l’un des arguments forts des contexte de mobilité des don- nement de destination, Cloud ou sants. Ce sera par exemple du éditeurs, qui, pour déployer leur nées et des utilisateurs, de physique, il faut déployer la sécu- SAMLV2 avec de l’authentifica- « sécurité unifiée » avec cor- virtualisation, de pervasivité rité en même temps qu’on déploie tion multifacteur. rélations d’évènements, vont des réseaux, l’évolution des le projet. C’est la sécurité de bout Même constat chez Zscaler : proposer l’ensemble de leurs menaces nécessite plus que en bout. On cherche à sécuriser la « Pour répondre aux probléma- solutions. jamais des équipements de fil- donnée. Le plan de sécurité doit tiques de sécurisation des services De ces nombreux entretiens trage « intelligents » et une

être unifié. Il doit être imposé par cloud, La politique de sécurité de nous retiendrons quelques coopération entre les éditeurs OUTILS la donnée. Quand on déploie sur Zscaler est de l’authentification et tendances. En premier lieu la du marché. ❚ Azure, AWS, quand on augmente du multitenant. Il y a des rôles et des notion de sécurité périmétrique Julien Alis la capacité du datacenter interne, il permissions basées sur l’identité pour faut prendre en compte la sécurité gérer les privilèges de la personne. de bout en bout. Le plan de sécu- Toutes les actions sont loggées » rité doit être unifié et basé sur la nous explique Ivan Rogissart. donnée qu’on cherche à protéger ». Selon lui Zscaler permet d’adresser deux problématiques: les applications se déplacent vers le cloud. De plus les utilisateurs ne se connectent pas toujours depuis le LAN, mais depuis des tablettes, mobiles, pc portables, différents réseaux. Nous avons également recueilli le point de vue d’un intégrateur avec le Zscaler a été créé en 2008. partage d’expérience de Orange Business Services (OBS) sur ses offres Dans ces conditions de « data in motion », il faut des solu- d’hébergement et de virtualisation dans un contexte multi-Cloud. tions spécifiques qui dépassent Pour ses offres de confiance, OBS s’appuie sur l’expérience de Orange la sécurité périmétrique. CyberDefense. A partir de 2010, Zscaler a deployé ses solutions de sécurité apporte toutes garanties possibles d’in- dans des datacenters en mode SaaS. Aujourd’hui Zscaler dis- dépendance » nous explique Christophe pose de 150 datacenters répartis Dernys. dans le monde. Ils traitent 100 milliard de connexion quotidiennement (30 milliards il y Quelles sont les tendances a 3 ans), avec 2 offres de ser- dans la virtualisation ? vice : Zscaler internet access, « On voit une vraie tendance à accumu- pour la protection internet (à 21 ler plusieurs instances de firewalls sur une destination de services logiciels « SaaS »), et Zscaler private même appliance. Avant les clients se retrou- access, pour faire accéder des vaient avec 4 ou 5 clusters pour sécuriser utilisateurs authentifiés à des des zones différentes. Aujourd’hui les clients applications hébergées dans investissent sur une grosse infrastructure un cloud privé (Zscaler security Cloud). physique, et ils virtualisent les firewalls, Selon Ivan Rogissart, aujourd’hui tous sur une même appliance physique. la tendance est au SD-WAN, qui Sur un même boîtier hardware, on va avoir donne une intelligence de rou- tage. Cela permet de sélectionner un firewall qui sécurise les accès web, les les réseaux et d’avoir un accès réseaux partenaires. Donc différentes zones plus rapide aux applications. de sécurité sur une même appliance ». Le cœur du métier de Zscaler « Dans ce contexte, l’étanchéité est essen- est de s'occuper du filtrage pour « nettoyer » le trafic. Cela per- tielle pour sécuriser le trafic « est -ouest » met de vérifier qu’il n’y a pas de (interne au datacenter). Cette étanchéité va malware (IDS) et qu’il n’y a pas être garantie, soit par l’appliance proprié- de « data leaks » (DLP). Dans ce taire, soit par des éditeurs spécialisés. On contexte l’interception HTTPS est primordiale pour analyser peut citer Trend micro deep security, ou le trafic. encore Aqua security qui sont capables de sécuriser les microservices. » Visualiser le risque Mais selon Christophe Dernys « la grande Zero Day tendance c’est les micro services. On explose Un exemple de détection de les systèmes en différents services ». « Le malware: pendant la crise virale vrai risque c’est le risque de rebond. Usurper « NotPetya » et « Wannacry », Zscaler a activé la « cloud un niveau d’authentification et rebondir sur sandbox » gracieusement pour d’autres machines plus sensibles. Avec les leurs clients. Ils ont pu bloquer micros services cela peut prendre encore un grand nombre d’attaques plus de proportions ». C’est dans ce contexte pendant 120 jours, le temps pour les attaques basées sur des que OBS propose des tests d’intrusion variantes de s’estomper. Certains réguliers à tous ses clients Cloud. clients ont gardé l’offre de Pour Cédric Prevost : « la vraie sécurité des « cloud sandbox » même après la crise car elle leur a permis de applications cloud, et donc l’efficacité de la visualiser le risque des « Zero protection des réseaux dans un contexte de days » circulant dans leur SI. virtulisation, cela va être le « cloud native » A noter que cette fonctionnalité qui va permettre le « security by design ». de « sandbox » est disponbile également chez Stormshield, Il faut penser la sécurité et l’intégrer dès le WatchGuard, et tous les éditeurs début du projet ». du marché… Dans ce contexte,

OUTILS_FIREWALLS.indd 21 09/09/2020 22:32 par Michel Van Den Berghe (lire article dans ce numéro), visant à réunir et à renforcer l’ensemble des acteurs de l’écosystème fran- L'ANSSI a publié dans l’open çais de la cybersécurité. L’agence apportera au projet son expertise en matière de sécurité numérique. « Le Campus de la cybersécurité offre une belle opportunité pour décloison- source le code d'ORC, son outil ner les activités publiques et privées. Il jouera un rôle important de cata- lyseur et de vitrine internationale du dynamisme et de l’engagement de collecte de données forensiques de l’écosystème français », selon Guillaume Poupard, directeur général de l’Agence de sécurité. L’Agence nationale pour la sécurité des systèmes L’Anssi est convaincue de l’importance de s’ouvrir à d’autres d’information (ANSSI) a publié fin septembre écosystèmes, notamment ceux de 2019 sur son compte GitHub les sources de DFIR l’enseignement et de la recherche pour répondre au défi du passage ORC, conçu pour récupérer les données crimina- à l’échelle de la sécurité numé- listiques dans les parcs Windows. Dans quelles rique en France. « Le concept même de cybersécurité doit évoluer, conditions peut-il être exploité ? Comment le afin d’être perçu favorablement par toutes et tous. Les professionnels de la mettre en œuvre et le configurer ? sécurité numérique doivent assumer un rôle de conseil et d’accompagne- RC (pour Outil de sa méthodologie et son outillage. ment des projets, surtout les plus Recherche de Compro- DFIR ORC est directement issu innovants en la matière. » Il faut mission) a été conçu de cette démarche et n’a cessé viser l’intégration de la sécurité en 2011 et n’a cessé de se développer depuis afin de dès le début des projets logiciels. depuis d’évoluer pour mieux s’adapter aux besoins en L’objectif avoué est d’assurer une Oregrouper un ensemble d’outils matière d’investigation et de compatibilité entre les usages et permettant la recherche, l’ex- réponse à incident. Créé et utilisé la sécurité, sans pour autant frei- traction et la mise à disposition de longue date par les équipes ner l’innovation. « La politique de de données forensiques, tout cela de l’Anssi, le logiciel de collecte la terreur a trouvé ses limites ! Nous dans un environnement Microsoft DFIR ORC a été conçu afin de Vous trouverez sur le compte GitHub de l’Anssi (https://github.com/DFIR-ORC/ devons aller vers une sécurité numé- Windows (uniquement). DFIR Orc fonctionner de façon décentra- rique toujours plus ambitieuse, à la (DFIR veut dire Digital Forensics lisée et à grande échelle. « Après dfir-orc) les sources d’ORC ainsi que la documentation de l’outil. hauteur des menaces, mais égale- and Incident Response) est capable 8 ans d’usage, DFIR ORC a été uti- ment plus positive, en phase avec les de récolter des données sur des lisé sur plus de 150 000 postes dans de façon fiable, mais aussi à tous usages numériques modernes. Nous parcs de très grande taille. le cadre de nos activités opéra- les développeurs qui souhaite- devons collectivement prioriser l’ac- Il a été développé dans le cadre de tionnelles en matière de réponse à ront s'en inspirer ou contribuer compagnement et le conseil au plus la lutte contre les APT (Advanced incident. » dixit François Deruty, à son développement. ORC peut près des projets, en associant tous les Persistent Threats), des attaques le sous-directeur Opérations de être déployé sur l’intégralité décideurs et responsables, dont les caractérisées par leur haut niveau l’Anssi. En s’engageant dans d'un parc Microsoft Windows, préoccupations naturelles ne sont pas 22 de furtivité et de continuité d’in- une démarche claire d’ouverture tout en minimisant l’impact encore la cybersécurité », a encore fection. Elles sont le plus souvent avec la communauté de la sécu- sur son fonctionnement nor- déclaré Guillaume Poupard. le fruit du travail de groupes de rité numérique, l’Anssi souhaite mal. Il assure ainsi la collecte pirates très organisés, capables aujourd’hui partager cet outil des informations souhaitées en Des outils d’exploiter rapidement des mature qu’elle utilise au quoti- respectant de grandes exigences failles de sécurité inconnues dien depuis plusieurs années. Elle en termes de fiabilité, de qualité spécifiques de (les fameuses Zero-day), ce qui veut profiter ainsi de l’émulation et de traçabilité, sans modifier collecte, mais pas rend leur détection d’autant plus de la communauté et l’a pour cela la configuration des machines complexe. L’outil, intégralement publié sous licence LGPL 2.1+. analysées et en réduisant au d'analyse libre, est aujourd’hui publié par maximum les risques d’altéra- Ces outils sont clairement des- l’agence à l’usage des acteurs et A qui s’adresse tion des données collectées. tinés aux professionnels de la des professionnels de la « com- DFIR ORC permet donc de dis- sécurité informatique et n’ont munauté » (entendez par là tous DFIR ORC ? poser d'une vision de l'état rien de grand public. Ils ne ceux qui s’intéressent à la pro- DFIR ORC s’adresse aux pro- du parc au moment de la col- peuvent d’ailleurs pas être uti- blématique de la cybersécurité). fessionnels de la sécurité lecte. Son rôle s’arrête là. Il lisés tels quels et nécessitent un C’est donc pour faire face à ces informatique soucieux d’acqué- n’a pas été conçu pour analy- fichier de configuration adapté fameux APT, apparus il y a près rir les données nécessaires à la ser les données collectées. Cette (au format XML). Ils permettent de 10 ans, que l’Anssi a adapté réponse aux incidents de sécurité tâche reste celle de spécialistes de connaitre l’état à un instant t d’un parc, mais ne s’occupent, encore une fois, que de récupérer Connaissez-vous le mystère du logo de l’Anssi ? des données, pas de les analyser. Commandes de compilation Non ? Et bien cherchez, alors… L’Anssi assure qu’ORC réalise ses opérations « en minimisant l’im- Les versions 32-bit et 64-bit devraient toutes deux être compilées pour garantir un maxi- disposant de leur méthodolo- Opérations à l’Anssi. pact sur le fonctionnement normal mum de compatibilité avant le déploiement. Dans le terminal pour développeur de Visual gie propre et d’outils adaptés. d’un parc Microsoft Windows » et DFIR ORC est un outil modu- Un seul objectif : « les risques d’altérations des don- Studio (et non dans le cmd classique de Windows), tapez les commandes suivantes : laire, configurable, capable le partage de nées collectées ». ORC ne modifie git clone --recursive https://github.com/dfir-orc/dfir-orc.git d’embarquer d’autres outils, ainsi pas la configuration des connaissances cd dfir-orc ceux proposés par l’agence machines analysées. mais pas seulement. Avec la L’Anssi, encore une fois, sou- TECHNO mkdir build-x86 build-x64 publication dans l’Open Source haite encourager l’émergence De l’open source, cd build-x86 d’ORC, l’Anssi partage le code d’une communauté publique de source, la procédure de com- développeurs et d’utilisateurs encore et encore cmake -G "Visual Studio 16 2019" -A Win32 -T v141_xp -DORC_BUILD_VCPKG=ON .. pilation ainsi que des exemples de l’outil, ceci en vue de favori- L’Anssi s’investit en effet plus cmake --build . --config MinSizeRel -- -maxcpucount de configuration de l’outil. Tous ser sa montée en maturité et de massivement que jamais dans le ces éléments permettent la créer de nouvelles fonctionnalités. logiciel libre ces dernières années. cd ../build-x64 génération d’un outil fonction- L’agence continuera bien entendu ORC est publié sous licence LGPL nel adapté à l'usage souhaité, à développer de son côté DFIR ORC 2.1, une licence open source par- cmake -G "Visual Studio 16 2019" -A x64 -T v141_xp -DORC_BUILD_VCPKG=ON .. comme montré un peu plus et publiera régulièrement des ticulièrement souple puisqu’elle cmake --build . --config MinSizeRel -- -maxcpucount loin dans cet article. « À travers mises à jour accessibles à tous. permet de lier sans contrainte le DFIR ORC, nous avons l’ambition L’Anssi invite tous les acteurs de code open source à du code pro- Cela change un peu si vous utilisez VS 2017 au lieu de VS 2019. L’option « -T v141_xp » de de contribuer activement à la vie la communauté à enrichir dès à priétaire. La version fournie est la l’avant-dernière ligne permet d’assurer la compatibilité avec Windows XP SP2 et les ver- de la communauté de la réponse présent ce projet en collaboration 10. Le choix de l’agence de libé- sions ultérieures de Windows (et antérieures à Windows 10). Vous pouvez donc l’omettre à incident, en lui permettant de avec ses équipes, comme pour tout rer les sources n’est en effet pas si ce n’est pas nécessaire dans votre cas de figure. L’option ORC_BUILD_VCPKG=ON s’approprier et de développer bon projet open source. L’agence anodin. Elle veut prolonger un l’outil à sa manière », précise soutient également le projet de cercle vertueux déjà initié avec compilera les packages vcpkg dans le répertoire external/vcpkg. François Deruty, sous-directeur Campus de la cybersécurité, porté d’autres outils comme le système

CR2_TECHNO_ORC.indd 22 09/09/2020 22:33 par Michel Van Den Berghe (lire Vous pouvez gagner beaucoup de temps en ce qui concerne la configuration de l’environnement article dans ce numéro), visant à de compilation en téléchargeant des machines virtuelles pour développeurs prêtes à l’emploi réunir et à renforcer l’ensemble depuis cette adresse : https://developer.microsoft.com/en-us/windows/downloads/virtual-machines/ des acteurs de l’écosystème fran- L'ANSSI a publié dans l’open çais de la cybersécurité. L’agence apportera au projet son expertise d’exploitation Clip OS (cf encadré) quarantaine de projets open en matière de sécurité numérique. ou WooKey, un projet de disque source, la plupart sous licence GPL « Le Campus de la cybersécurité offre externe sécurisé (https://woo- 3.0 et d’autres sous licence BSD. une belle opportunité pour décloison- key-project.github.io/architecture. source le code d'ORC, son outil ner les activités publiques et privées. html), pour ne citer qu’eux. C’est Configuration du Il jouera un rôle important de cata- aussi une bonne méthode pour lyseur et de vitrine internationale créer une émulation autour de logiciel DFIR ORC du dynamisme et de l’engagement ses outils dédiés à la sécurité Pour configurer DFIR ORC, il faut : de collecte de données forensiques de l’écosystème français », selon et permettre, par exemple, de • des fichiers de configura- Guillaume Poupard, directeur repérer de nouveaux talents. En tion au format XML, enregistrés général de l’Agence de sécurité. dehors de ces sorties relative- dans le répertoire config ; L’Anssi est convaincue de l’im- ment récentes, le dépôt GitHub • des éléments à intégrer (par- portance de s’ouvrir à d’autres de l’agence de sécurité (https:// ticulièrement les binaires 32 et 64 TECHNO écosystèmes, notamment ceux de github.com/DFIR-ORC/dfir-orc) bits de DFIR-Orc), stockés dans le l’enseignement et de la recherche compte actuellement plus d’une répertoire tools. pour répondre au défi du passage à l’échelle de la sécurité numé- rique en France. « Le concept même de cybersécurité doit évoluer, afin d’être perçu favorablement par toutes et tous. Les professionnels de la sécurité numérique doivent assumer un rôle de conseil et d’accompagnement des projets, surtout les plus innovants en la matière. » Il faut viser l’intégration de la sécurité dès le début des projets logiciels. L’objectif avoué est d’assurer une compatibilité entre les usages et la sécurité, sans pour autant freiner l’innovation. « La politique de la terreur a trouvé ses limites ! Nous Vous trouverez sur le compte GitHub de l’Anssi (https://github.com/DFIR-ORC/ devons aller vers une sécurité numé- rique toujours plus ambitieuse, à la dfir-orc) les sources d’ORC ainsi que la documentation de l’outil. hauteur des menaces, mais égale- ment plus positive, en phase avec les usages numériques modernes. Nous devons collectivement prioriser l’accompagnement et le conseil au plus près des projets, en associant tous les décideurs et responsables, dont les préoccupations naturelles ne sont pas encore la cybersécurité », a encore 23 déclaré Guillaume Poupard. Des outils spécifiques de collecte, mais pas d'analyse Ces outils sont clairement des- tinés aux professionnels de la sécurité informatique et n’ont rien de grand public. Ils ne peuvent d’ailleurs pas être uti- lisés tels quels et nécessitent un fichier de configuration adapté (au format XML). Ils permettent de connaitre l’état à un instant t d’un parc, mais ne s’occupent, encore une fois, que de récupérer Connaissez-vous le mystère du logo de l’Anssi ? des données, pas de les analyser. Non ? Et bien cherchez, alors… L’Anssi assure qu’ORC réalise ses opérations « en minimisant l’im- Opérations à l’Anssi. pact sur le fonctionnement normal d’un parc Microsoft Windows » et Un seul objectif : « les risques d’altérations des don- le partage de nées collectées ». ORC ne modifie ainsi pas la configuration des connaissances machines analysées. L’Anssi, encore une fois, souhaite encourager l’émergence De l’open source, d’une communauté publique de développeurs et d’utilisateurs encore et encore de l’outil, ceci en vue de favori- L’Anssi s’investit en effet plus ser sa montée en maturité et de massivement que jamais dans le créer de nouvelles fonctionnalités. logiciel libre ces dernières années. L’agence continuera bien entendu ORC est publié sous licence LGPL à développer de son côté DFIR ORC 2.1, une licence open source par- et publiera régulièrement des ticulièrement souple puisqu’elle mises à jour accessibles à tous. permet de lier sans contrainte le L’Anssi invite tous les acteurs de code open source à du code pro- la communauté à enrichir dès à priétaire. La version fournie est la présent ce projet en collaboration 10. Le choix de l’agence de libé- avec ses équipes, comme pour tout rer les sources n’est en effet pas bon projet open source. L’agence anodin. Elle veut prolonger un soutient également le projet de cercle vertueux déjà initié avec Campus de la cybersécurité, porté d’autres outils comme le système

CR2_TECHNO_ORC.indd 23 09/09/2020 22:33 est suffisante). Les binaires DFIR-Orc_x86.exe .\tools (programmes exécutables), Copy-Item \dfir-orc\ qu’ils soient ou non configurés, build-x64\MinSizeRel\DFIR-Orc_ requièrent des droits de niveau x64.exe .\tools administrateur. Les commandes Afin d’illustrer la manière d’in- qui suivent doivent elles aussi clure des outils externes dans le être exécutées dans un termi- framework DFIR ORC, voici un nal Powershell avec des droits exemple de configuration uti- de niveau administrateur. Il est lisant autorunsc.exe qu’il faut possible – mais guère intéres- bien évidemment téléchar- sant – de les adapter quelque ger depuis le site de Microsoft, peu pour les exécuter dans un comme mentionné plus haut. terminal Windows classique Invoke-WebRequest https://live. (cmd) avec les mêmes droits. sysinternals.com/autorunsc.exe -OutFile .\tools\autorunsc.exe Compilation Puis exécutez la commande sui- Cette étape est la seule qui vante, qui produit un binaire requiert une compilation avec DFIR ORC configuré (nommé la chaîne d’outils (toolchain) de par défaut DFIR-Orc.exe) Microsoft. Les instructions pour dans le répertoire de sortie : compiler ces fichiers à partir du .\Configure.cmd code source sont détaillées un peu plus haut. La compilation du code Test de la source pour DFIR ORC produit ce qui est appelé des binaires non configuration Un binaire non configuré contient tout ce qui est nécessaire configurés, nommés normalement Une fois que le binaire DFIR ORC pour orchestrer la collection d’artefacts, comme illustré à l’adresse DFIR-Orc_x86.exe (pour le 32-bit) configuré a été créé, vous pou- https://dfir-orc.github.io/architecture.html#architecture-exec et DFIR-Orc_x64.exe (pour la vez le tester. Vous pouvez bien version 64-bit). Un binaire non entendu l’utiliser pour exécu- Les configurations données ici configuré contient tout ce qui est ter un des outils intégrés, tout comme exemple utilisent l’ou- nécessaire pour orchestrer la col- comme pour les programmes til Autorunsc des Sysinternals. ClipOS lection d’artefacts (comme illustré exécutables non configurés : Pour les reproduire, vous devez à cette adresse https://dfir-orc. .\output\DFIR-Orc.exe NTFSInfo / le télécharger et le placer dans L'Anssi avait ouvert en 2018 le code source de son système d’ex- github.io/architecture.html#ar- out=C_drive.csv C:\ le répertoire tools. Vous le ploitation « durci » Clip OS. Celui-ci a pour rôle de séparer les chitecture-exec). Il contient Cette commande va créer un trouverez, avec le reste de la activités triviales des plus sensibles, en partant du cœur du sys- également la suite d’outils inté- fichier nommé C_drive.csv dans suite, à l’adresse https://docs. grés incluse par défaut. le répertoire courant avec l’énu- microsoft.com/en-us/sysinter- tème jusqu'à l'interface utilisateur. Cette action avait été réalisée mération de la MFT (Master nals/. Ne le récupérez surtout dans le cadre du plan d'action de l'Open Government Project. Configuration File Table) du volume C:. De pas à une autre adresse, non Utilisé par l'administration et des opérateurs dits « d'importance Après la première étape, plus manière similaire, GetThis peut gérée par Microsoft, comme vitale » (OIV) depuis plusieurs années, il a été complétement aucune compilation n’est requise. être invoqué depuis la ligne de Softonic ou autres sites mal- Pourquoi est-il nécessaire de défi- commande : veillants. Vous risqueriez fort réécrit. Son principe est simple : il offre deux environnements nir une configuration ? Un binaire .\output\DFIR-Orc.exe GetThis /noli- d’avoir un petit « cadeau » à de travail séparés, l'un pour la navigation Internet classique et est simplement un ensemble d’ou- mits /sample=ntdll.dll /out=ntdll.7z C:\ l’intérieur. Le répertoire tools les opérations banales, l'autre pour obtenir et traiter des docu- tils avec un moteur de recueil Cette commande va créer un doit, par conséquent, contenir ments sensibles. Dans le jargon de l'Anssi, ces deux « cages » de données. Par conséquent, fichier appelé ntdll.7z dans le les fichiers suivants : la liste des artefacts à récolter répertoire courant, contenant 24 • DFIR-Orc_x64.exe sont de niveau « bas » et « haut ». Cette séparation est au cœur et la manière de le faire n’ont tous les fichiers ntdll.dll dans le • DFIR-Orc_x86.exe de Clip OS, qui cloisonne autant que possible les processus, jusqu’alors pas été définis. C’est volume C:. Cependant, les confi- • autorunsc.exe en leur retirant tous les privilèges qui peuvent l'être. La racine cette liste d’éléments à collecter gurations ont été mises en place Enfin, pour générer un exé- qui représente précisément ce de telle sorte que les utilisateurs cutable DFIR-Orc configuré, du système est impossible à modifier une fois celui-ci lancé. qu’est une configuration. L’étape puissent écrire ces lignes de vous devez exécuter le script Les bureaux sont dupliqués et même le serveur audio et le décrite ci-dessous détaille com- commande une fois pour toutes. .\Configure.cmd sur un sys- copier-coller sont cantonnés à chaque niveau. ment obtenir un binaire configuré Lorsqu’un outil est exécuté, ses tème Windows depuis un à partir d’un binaire non confi- résultats sont stockés dans un terminal Windows cmd clas- guré et le dépôt des configurations fichier d’archive. Le contenu de sique ou powershell en mode éventuellement, les vstools (https://developer.microsoft. existantes. Tout d’abord, il faut ces archives est déterminé par Administrateur, comme on (https://visualstudio.microsoft. com/en-us/windows/down- cloner la configuration par défaut, le fichier de configuration. Pour dit chez Microsoft. Le binaire com/fr/downloads/); loads/virtual-machines/). avec cette commande : un binaire configuré donné, l’op- généré est créé dans le réper- • CMake de Kitware version Vous pouvez importer le dos- git clone https://github.com/dfir- tion keys liste toutes les archives toire output. 3.12 ou supérieure ou la version sier de configuration prédéfini orc/dfir-orc-config.git qui peuvent être créées en fonc- intégrée à Visual Studio ; .vsconfig disponible à l’adresse cd dfir-orc-config tion de la configuration intégrée. Outils nécessaires • Clang Format de LLVM ver- https://github.com/DFIR-ORC/ Ensuite, il faut copier les Voici ce que cela donne appliqué à la compilation sion supérieure à 8.0.0 ou la dfir-orc/blob/master/.vsconfig binaires non configurés DFIR au binaire obtenu après exécution version intégrée à Visual Studio directement depuis l’outil Visual ORC (DFIR-ORC_x86.exe et des précédentes instructions : d’ORC 2019 16.3 (ou ultérieure). Studio Installer. DFIR-ORC_x64.exe) dans le .\output\DFIR-Orc.exe /keys Voici les quelques outils indis- L’environnement de compilation dossier tools grâce à ces com- Pour voir le résultat que pro- pensables pour compiler OrRC: peut être défini rapidement (et Options mandes en powershell : duira cette commande, voir • Visual Studio version 2017 donc facilement) en employant Il est recommandé d’em- Copy-Item \dfir- l'encadré ci-contre. ❚ ou ultérieure (ce sera bien des machines virtuelles pour ployer les options par défaut orc\build-x86\MinSizeRel\ Thierry Thaureaux plus simple avec VS 2019) ou, développeurs de Microsoft sauf pour ORC_BUILD_VCPKG qui doit être positionné sur ON afin que les dépendances soient construites automati- quement à l’aide de vcpkg. Pour À propos de l’Anssi connaître les valeurs par défaut L’Agence nationale de la sécurité des systèmes d’information de quelques options, parmi les TECHNO a été créée par le décret n°2009-834 du 7 juillet 2009 sous la principales, consultez le tableau ci-contre. forme d’un service à compétence nationale. L’agence assure Le tutoriel officiel détaille en la mission d’autorité nationale en matière de défense et sécu- profondeur les étapes permet- rité des systèmes d’information. Elle est rattachée au secrétaire tant d’obtenir un binaire DFIR général de la défense et de la sécurité nationale, sous l’autorité ORC configuré et prêt à être déployé. Il explique quel code directe du Premier ministre. L’agence de sécurité gouvernemen- compiler, comment intégrer une tale s’ouvre clairement aux acteurs de l’écosystème numérique configuration, comment modi- dans le but avoué de s’enrichir mutuellement en partageant fier une configuration, quelle est la différence entre compila- les expertises, les capacités et les outils de chacun. L’Anssi tion et configuration. Tout doit s’est engagée dans une démarche open source, publiant de Pour reproduire l’exemple de cet article être réalisé dans un environne- nombreux projets tels que OpenCTI, CLIP OS, WooKey ou, ment Microsoft Windows. Seule plus récemment, DFIR ORC. Suivant une logique d’ouverture, tiré du tutoriel officiel d’ORC, vous devez télécharger la première étape nécessite la l’outil Autorunsc.exe des sysinternals compilation avec Visual Studio l’agence plaide pour le partage des données, en toute sécurité, depuis le site de Microsoft. (l’édition gratuite, Community, afin d’accroître le niveau de connaissance de tous.

CR2_TECHNO_ORC.indd 24 09/09/2020 22:33 COMMENT PROTÉGER LES DONNÉES À CARACTÈRE PERSONNEL DE SES COLLABORATEURS TOUT EN FAVORISANT LE TÉLÉTRAVAIL ? Par Marina Casas, Chargée de mission à l’AFCDP, et Paul-Olivier Gibert, Président de l’AFCDP.

Comment protéger les en rappelant les usages de base circonstances exceptionnelles de panne ou de vol du matériel et actuelle, le télétravail se géné- données à caractère per- des outils informatiques à des (horaires, etc.) combiné à la des données est recommandée. ralise, les entreprises s’efforcent sonnel de ses collaborateurs tout fins personnelles (par exemple, charte informatique. L’entreprise La sensibilisation des salariés de maintenir leur activité et en favorisant le télétravail ? inscrire dans l’objet d’un cour- doit prévoir des assurances spé- reste essentielle pour garantir peuvent perdre de vue les enjeux À l’heure où la crise sanitaire riel l’indication « personnel » cifiques en consultation avec les la sécurité des données person- de cybersécurité liés au travail

nécessite un recours mas- ou « privé »). ressources humaines et être en nelles. Ils doivent notamment à distance et ceux de protection TRIBUNE LIBRE sif au télétravail, qui semble Pour des conditions plus spé- mesure de mettre à disposition le prêter une attention particulière des données à caractère person- devenir durablement une nou- cifiques, le télétravail peut matériel nécessaire pour le sala- aux accès à l’Internet, en parti- nel. C’est là que le rôle du DPD/ velle norme, il ne faut pas faire l’objet d’un guide détaillé, rié afin de limiter l’utilisation de culier en cas d’usage du WI-FI DPO (Délégué à la protection perdre de vue les risques que par exemple, sur les modali- son propre matériel personnel. public s’il leur est nécessaire. des données ou Data Protection cela implique pour les données tés de mise en œuvre en cas de Une procédure en cas de perte, En raison de la crise sanitaire Officer) prend tout son sens. ❚ personnelles des employés et la responsabilité des entreprises.

Quels sont les risques ? Le télétravail permet au sala- rié de travailler hors des locaux de son entreprise, de façon R&S®Cloud Protector volontaire, et en utilisant les technologies de l'information et de la communication de son La sécurité web applicative entreprise (1). En cas de circonstances exceptionnelles, ou de force majeure, le télétravail peut être imposé simplifiée au salarié, sans son accord. Il est donc essentiel pour chaque orga- nisme de mettre en œuvre un ensemble de règles concernant le télétravail, en vue de limiter R&S®Cloud Protector, WAF en tant que service, les risques juridiques et relatifs à de Rohde & Schwarz Cybersecurity protège la sécurité des systèmes d’information et/ou des données. efficacement les applications internes et externes En effet, pour éviter tout conflit contre les cyberattaques sans utiliser les ressources d’intérêts entre le salarié et internes essentielles. l’entreprise, il faut pouvoir permettre le cloisonnement entre vie privée et vie pro- R&S®Cloud Protector sécurise vos sites fessionnelle dans un cadre 25 de travail à domicile, tout en et applications web en toute tranquillité. permettant au salarié d’avoir accès aux ressources profes- Commencez votre essai gratuit aujourd‘hui sur sionnelles nécessaires pour travailler. De plus, l’entreprise www.cloudprotector.com doit se protéger de la compromission générale du système d’information de l’entreprise à distance, pour éviter toute fuite de données.

Quelles mesures préventives adopter ? Le télétravail doit être encadré, dans la charte informatique de l’entreprise, annexée au règle- ment intérieur et/ou accord collectif pour lui donner une valeur contraignante, excepté dans le secteur public où le télé- travail est fixé par arrêté. En l’absence de ces éléments, les parties peuvent formaliser un accord par tout moyen. Il faut ainsi prêter une attention toute particulière aux droits et obligations des salariés ainsi que des employeurs dans ce contexte de travail à distance. Cela nécessite une véritable analyse de risque, intégrant les aspects juridiques, techniques ainsi que les modalités de mise en œuvre du télétravail. La charte informatique est essentielle puisqu’elle permet d’encadrer et de limiter ces risques. Elle facilite pour l’em- ployeur le cloisonnement entre vie privée et vie professionnelle de ses salariés, en interdisant par exemple, l’utilisation des outils personnels à des fins pro- fessionnelles, ou au contraire,

(1) Article L.1222-9 du Code du travail

TRIBUNE_AFCDP.indd 25 09/09/2020 22:31 Campus Cyber : ça se précise !

Le confinement n’a pas ralenti les travaux autour du projet du gouvernement cinq propositions : tout ce qui touche à la défense et trois à la Défense, une à Saint Ouen aux activités sensibles. Nous regar- Campus Cyber, lieu qui doit rassembler l’écosystème français de la et une à Boulogne » nous dévoile dons à l’extérieur de Paris et avons Michel Van Den Berghe. « Pour déjà des accords tacites avec plu- cybersécurité. Michel Van Den Berghe, a soumis au gouvernement chaque projet, nous sommes sieurs régions »”. cinq propositions de lieux dans la Petite Couronne parisienne, tandis accompagnés par des promoteurs, L’un des projets actuellement des collectivités ». présenté est de créer un premier que la structure juridique et de gouvernance du campus a été définie. La structure juridique a elle campus cyber à deux jambes, aussi été choisie, une SAS l’une dans la proche banlieue Le projet est désormais suspendu à la décision gouvernementale. jouera l’opérateur du Campus de Paris pour les activités sur- Cyber, tandis que la gouver- tout tertiaires, c’est le projet qui taille moyenne à l’instar d’Ad- nance sera assurée par le biais attend le feu vert du gouverne- vens et des startups, ainsi que d’un « fonds de pérennité », ment, et une autre sur le plateau des acteurs publics tels que un véhicule instauré par la loi de Satory, dans les Yvelines, l’Anssi et l’Acyma, des asso- PACTE, équivalent français des pour la cybersécurité du sec- ciations et même des groupes fondations d’actionnaires. Ne teur industriel et les activités internationaux, plutôt euro- manque plus désormais que la qui exigent plus de surface. « Il péens, « qui préfèrent prendre décision politique qui entérinera ne faut pas rater le coche, insiste des bureaux au Campus Cyber plu- le projet. Mais le dernier rema- Michel Van Den Berghe. Le sec- tôt que s’installer dans une tour niement gouvernemental risque teur de la cybersécurité représente de bureau anonyme ». Car rap- de retarder la mise en oeuvre des milliers d’emplois à créer, nous pelons que ce campus ne sera du campus. « J’attends mainte- avons besoin d’avoir de l’expertise, pas une simple vitrine, occu- nant la fumée blanche » indique de créer des vocations ». Et pour pée uniquement à l’occasion Michel Van Den Berghe. Une ce faire, le campus incarnerait d’évènements quelques fois décision qui pourrait être prise un véritable totem, une marque dans l’année, c’est du moins ce par le président de la République attractive, tant et si bien que que souhaite Michel Van Den lui-même. « les experts demanderont à leurs Berghe, et ce qui semble se dirigeants pourquoi ils ne sont pas concrétiser aujourd’hui. Des Campus Cyber au Campus Cyber ». La volonté La création du Campus Cyber des industriels est réelle et le Dans le vif du sujet ne sera néanmoins qu’une pre- patron d’Orange CyberDefense mière étape. Au FIC, Michel Van se dit prêt à démarrer les tra- Le lieu sera avant tout un centre Den Berghe nous expliquait se vaux dès septembre prochain, opérationnel où les acteurs refuser à une démarche jaco- de sorte à tenir le calendrier publics et privés positionneront bine, mais pouvoir disposer, sur initial et d’avoir un lieu prêt à des équipes et des ressources. un même niveau, d’un réseau accueillir les entreprises dès la La phase 2 du projet, lancée lors du FIC en début « Bonne nouvelle, nous avons déjà de campus. Il s’agit de “voir fin du premier trimestre 2021. d'année, n'a pas été ralentie par la crise et les travaux des engagements forts de petites plus grand” avec dans la ligne Encore faut-il qu’une décision entreprises qui veulent y mettre de mire de nombreuses struc- politique soit prise rapidement, pourraient démarrer en septembre prochain. toutes leurs équipes » précise le tures régionales. « Nous avons mais le porteur du projet se veut patron d’OCD. Ainsi le Campus des soutiens forts. La région des confiant et espère « pouvoir 26 n pouvait penser fin janvier, à la veille du FIC de Cyber s’articulera autour de Hauts de France réfléchit à une entrer dans le concret au moment que la crise sani- Lille. Le projet entrait alors dans plusieurs grandes activités unité satellite dédiée à la sécuri- des Assises de la Sécurité », qui taire allait mettre sa phase 2, celle de “l’opération- opérationnelles, à commen- sation des PME et PMI, tandis que se tiennent à Monaco du 14 au un coup d’arrêt au nalisation”, pour reprendre les cer par un “Observatoire de les Pays de Loire sont sur la partie 17 octobre. ❚ projet de Campus termes employés par le directeur la menace cyber”. « Le marché smart cities, et la Bretagne surtout G. P. OCyber porté par Michel Van Den de l’Anssi, Guillaume Poupard. Le numérique, et en particulier celui Berghe. Au contraire, le confi- patron d’Orange CyberDefense de la cybersécurité, est mené par nement lui a permis d’avancer. devait alors, au cours des deux trois composants : les hackers, la Mandaté en juillet 2019 par le mois à venir, recenser les orga- régulation et les modes. La France, Premier ministre, alors Edouard nisations participatrices et les si elle veut exister sur ce terrain, Beer Sheva, Philippe, le patron d’Orange effectifs qu'elles veulent posi- doit travailler sur la compréhen- Cyber Defense avait pour pre- tionner dans ce lieu, de sorte à sion de la menace et je pense que l’exemple israélien mière mission de mener une pouvoir enfin déterminer l'em- nous avons une réelle expertise sur Parmi les structures servant d’inspiration au Campus Cyber réflexion sur la faisabilité d’un placement du campus. Il nous le sujet » souligne Michel Van tel projet, celui d’une structure expliquait alors vouloir aller Den Berghe. français, l’exemple de Beer Sheva est l’exemple le plus fré- capable de répondre aux pro- vite, visant un lieu déjà bâti, Par exemple, un groupe de quemment cité. Situé dans le désert du Neguev, ce centre blématiques posées en France plutôt dans l’ouest parisien, avec travail intégrant de grandes dédié à la cybersécurité concentre les acteurs clés du sec- par le milieu de la cybersé- une surface de 10 000 ou 15 000 banques réfléchit à la créa- teur en Israël, privés et publics. On y trouve aussi bien un curité. Le secrétaire d’Etat au m2, à Paris même ou en proche tion d’un CERT inter-bancaire, numérique, Cedric O, fixait trois banlieue et capable d’accueil- CERT qui se positionnerait dans centre d’affaires, nommé Cyber Spark, où se regroupent la objectifs : résoudre la pénurie lir 500 à 1 000 personnes dès le ce campus et qui agirait alors majeure partie des sociétés, que la chaire dédiée à la cyber- de compétences en renforçant premier trimestre 2021. Ce qui, comme une zone neutre, où sécurité de l’Université Ben Gourion ou encore les locaux « la sensibilisation et la forma- considérant 10 mois de travaux plusieurs acteurs habituelle- tion », faciliter les interactions pour « aménager, câbler, cloison- ment en concurrence peuvent de la branche cyberguerre de l’armée israélienne. Plusieurs entre les différents acteurs ner, sécuriser » les lieux, laissait travailler ensemble. Des règles géants internationaux, à l’instar d’Oracle ou d’IBM, s’y sont de la cybersécurité en France, au porteur du projet jusqu’à avril de bonne conduite viendront également installés. Et si Beer Sheva semble surtout ser- notamment par « le partage pour présenter plusieurs options par ailleurs assurer la bonne vir de vitrine à la cybersécurité israélienne, il est indéniable et la mutualisation d’outils, de au gouvernement. Mais voilà, le entente entre tous ceux pré- compétences et de données » et 17 mars, la France se trouvait sents sur le campus, chacun que tout l’écosystème profite de cette proximité physique enfin« accompagner l’innovation confinée, frappée par l’épidémie pouvant en outre avoir sa et de l’émulation autour de ce lieu. L’écosystème français PROJETS publique et privée pour concou- de Covid-19. “zone de confiance”, avec un espère qu’il en ira de même au sein de son Campus Cyber. rir au développement de la filière Pourtant, la crise n’a pas gêné certain niveau de confidentia- industrielle de cybersécurité, en outre mesure Michel Van Den lité quand bien même il se veut cohérence avec le comité straté- Berghe. « Nous avons profité du un lieu de partage. S’ajoute à gique de filière sécurité ». confinement pour réaliser une sorte cet observatoire des activités de cahier des charges pour inter- de formation, de recherche ou Une soixantaine roger les organisations intéressées encore d’événementiel. d’engagements sur le nombre de personnes qu’elles Ces activités, conjuguées à la veulent y positionner, la typologie soixantaine d’entreprises et fermes des équipes, les mètres carrés dont d’administrations désireuses Après une cinquantaine d’au- elles ont besoin... » nous explique de s’installer dans le cam- ditions, des discussions et des le CEO d’Orange CyberDefense. pus, aboutissent à un lieu de visites de campus similaires Résultat : une soixantaine de 17 000 à 20 000 mètres carré, à l’étranger, Michel Van Den propositions d’engagement où se côtoieront entre 800 et 1 Berghe a remis fin 2019 son ferme, avec les “moteurs” du 000 spécialistes. Reste à défi- rapport de faisabilité au gouver- projet que sont Atos, Capgemini nir le site approprié. « J’ai nement, qui a étudié la question et Orange, des entreprises de visité plusieurs lieux et remis au

PROJETS_CAMPUS_CYBER.indd 26 09/09/2020 22:37 Sans titre-7 27 10/09/2020 00:21 Nos solutions basées sur des technologies EDR Démultipliez permettent de prévenir et détecter les attaques la puissance complexes, à la vitesse de l’éclair, sans demander d’effort de votre supplémentaire à votre équipe. cybersécurité

Sans titre-7 28 10/09/2020 00:21