Category
🤖
TechnologieTranscription
00:00Bonjour à tous, merci à tous d'avoir répondu présents pour ce webinaire qui est intitulé
00:06Autopsie d'une cyberattaque. Donc ce webinaire est enregistré et sera disponible sur notre chaîne
00:12Dailymotion. Donc je me présente, je m'appelle Ségolène Parmentier et je suis ingénieure en
00:20cybersécurité au sein du CSIRT BFC, autrement appelé le Centre Régional de Cybersécurité de
00:26Bourgogne-Franche-Comté. Donc le centre, il a des missions d'alerte, de réponse aux incidents
00:32informatiques et également notre mission est de sensibiliser nos bénéficiaires qui sont les
00:39collectivités, les organismes publics, les PME, les ETI et les associations qui sont situées en
00:46Bourgogne-Franche-Comté. Donc aujourd'hui, j'accueille Pascal Gaden qui est partenaire chez
00:53Allemonte, qui est une entreprise référencée au sein du Centre Régional de Cybersécurité de
00:58Bourgogne-Franche-Comté en tant que prestataire de réponse à incidents. Et aujourd'hui, du coup,
01:05il va vous présenter les dessous d'une cyberattaque. Et à la fin, vous pouvez poser vos questions et
01:14vos réponses et on vous répondra. Et vous pouvez également les mettre dans le chat. Voilà, du coup,
01:21je vous laisse la parole, M. Gaden. Merci Ségolène, bonjour à tous, merci de m'accueillir.
01:28Déjà, je vous demande par avance de me pardonner, j'ai une quinte de tout depuis ce matin. Alors,
01:34j'ai un petit verre d'eau à côté. Donc, si vous me voyez de temps en temps boire une gorgée,
01:39c'est que vraiment, j'ai du mal à m'exprimer. Pardonnez-moi d'avance. En tout cas, merci de
01:44m'accueillir. L'idée, c'est vraiment, Ségolène, et merci d'avoir eu cette idée-là, c'était de
01:51partager et de vous faire un retour d'expérience sur comment se déroule une cyberattaque,
01:56comment elle se prépare, qu'est-ce qui est contenu dedans, et de vous faire un retour sur ce que
02:00potentiellement vous seriez amené à devoir affronter si d'aventure, ce qu'évidemment
02:06personne n'espère, vous étiez confronté à une cyberattaque. Alors, j'ai prévu une
02:11présentation que je vais partager. Tout de suite, elle est prête. Vous me dites quand vous la voyez.
02:20C'est bon. C'est bon, voilà. Alors, c'est enregistré, Ségolène, je crois que vous
02:29pourrez le diffuser aux personnes présentes. Voilà, donc il n'y a pas de secret. Évidemment,
02:37toutes les informations qui sont précisées dedans sont des informations publiques, y compris les
02:42noms des entreprises que je vais citer. Ces entreprises-là nous ont autorisé à les citer,
02:49puisqu'évidemment, il s'agit d'un événement qui a été rendu public. Voilà. Alors, peut-être juste très
02:55rapidement, il ne s'agit pas ici de faire la publicité d'Allemande, mais c'est de présenter
03:00un peu ce pourquoi Cécile Bougon-Franche-Comté nous a retenus en tant que prestataires. Nous sommes
03:07un des premiers acteurs en France en matière de cybersécurité et surtout, nous avons une équipe
03:12de 45 ingénieurs qui ne fait que de la réponse à un incident. Il y a d'autres équipes qui font
03:18soit du conseil de l'accompagnement, soit des tests d'intrusion, soit du renforcement
03:26d'architecture, mais véritablement, notre métier n'est que la cybersécurité. Nous ne faisons pas
03:31autre chose. En matière de référencement, évidemment, nous avons les plus hautes distinctions
03:39disponibles en France, et notamment la qualification qui est délivrée par l'ANSI, l'autorité nationale
03:44en France, en matière de l'Agence Nationale de Sécurité des Systèmes de l'Information, avec
03:51plusieurs qualifications, soit civiles, soit militaires. Cela explique que nous soyons PACI LPM,
03:56PACI qui veut dire prestataire d'audit de sécurité des systèmes d'information, et LPM, c'est une
04:03boîte de programmation militaire, évidemment, puisque nous avons, en tout cas pour une de nos
04:07agences, un client unique qui se trouve être la Direction Générale de l'Armement. Nous sommes
04:13également référencés en tant que partenaire BPI France pour l'ensemble du secteur national et
04:19notamment dans le cadre des audits de diagnostic de cybersécurité qui sont financés à 50 % par
04:26BPI. Nous avons la possibilité de les réaliser, et surtout en Bourgogne-Franche-Comté, évidemment,
04:32je les remis là, j'aurai l'occasion d'en reparler, nous sommes prestataires de second rang auprès
04:38du CECIRT Bourgogne-Franche-Comté, dont le travail, Ségolène l'a rappelé, consiste dès lors que
04:45vous avez une interrogation sur un événement qui survient sur votre système d'information,
04:49en cas de doute vous faites le numéro 0 970 609 909, il va y avoir une analyse brève qui va vous
04:59aider en tout cas à identifier la source du problème auquel vous êtes confronté, éventuellement faire
05:04une levée de doute, ce qui serait plutôt pas mal, soit une confirmation d'un événement indésirable,
05:11et dans ce cas-là vous êtes orienté vers le prestataire de cybersécurité le plus adapté
05:16à répondre aux problèmes auxquels vous êtes confronté, et là, ça pourrait être un de nos
05:22confrères, voire même Allemande, si c'est rendu nécessaire par les compétences qui sont demandées.
05:29Voilà, alors c'était pas inopportun de vous parler, je sais que le temps nous est compté,
05:35de l'écosystème cybercriminel, parce que c'est vraiment une des composantes essentielles pour
05:41une bonne compréhension de comment se déroule une cyberattaque. Aujourd'hui, l'écosystème
05:47criminel est organisé en chaînes de valeurs, c'est-à-dire que nous avons affaire à des
05:51professionnels qui se sont organisés, c'est un peu chacun son boulot, c'est-à-dire qu'on va
05:56avoir dans l'écosystème cybercriminel, des équipes qui ne vont faire que du développement de
06:04programmes, des équipes qui vont faire que l'exploitation et la commercialisation de ces
06:09programmes, et il va y avoir également des hébergeurs qui stockent des contenus malveillants,
06:15il va y avoir des groupes en charge de la revente de toutes les données qui ont été volées,
06:23et il y a également des intermédiaires financiers dont le rôle est essentiellement de blanchir de
06:30l'argent. Alors je ne rentrerai pas dans les détails de cet écosystème, mais sachez qu'entre
06:35chaque stratégie, évidemment chacun prend sa marge et cette marge est d'environ 20%. Alors
06:42petite chose intéressante, c'est que désormais, on l'a vu, certains groupes ont développé un
06:47système de franchise. Quand je disais que c'était devenu un business, c'est qu'aujourd'hui 90% de
06:53l'écosystème cybercriminel fonctionne par la patte du gain. On a oublié l'adolescent boutonneux
07:00dans sa chambre qui cherchait à s'amuser, là on a véritablement affaire à des systèmes,
07:06à des organismes mafieux qui tirent leur profit de l'activité cybercriminel qui est la leur. A
07:14savoir qu'un groupe comme Wagner par exemple, qui est connu malheureusement depuis quelques temps,
07:19tire 30% de ses revenus de la cybermalveillance, de la cybercriminalité. Et donc certains groupes
07:27qui sont hébergés dans des pays qui sont non signataires de la convention de Budapest,
07:32qui est une coopération policière internationale, et bien ces groupes qui sont installés dans ces
07:39pays ont créé des franchises. C'est à dire qu'aujourd'hui quelqu'un qui veut monter un business,
07:46une affaire de cybercriminalité, peut aller acheter un kit qui va lui être fourni avec des
07:54listes d'adresses, avec des logiciels de cyberattaques automatisés, etc. Il va payer un
08:01droit d'entrée et il va reverser, comme je le disais, 20% de tout ce qu'il va gagner à son
08:06master franchiseur. Donc on voit vraiment que l'écosystème cybercriminel aujourd'hui c'est
08:11véritablement organisé et fonctionne avec une répartition presque vertueuse de l'argent qui
08:19est gagné évidemment sur le dos des entreprises basées en Occident comme chez nous et qui sont
08:23attaquées tous les jours. Malheureusement, je le disais, le problème pour la défense c'est
08:28qu'il y a autant de techniques d'attaques que de franchisées. Évidemment chacun y va de sa
08:32petite particularité et ça pose un problème pour la réponse à la criminalité. Alors le déroulé
08:41d'une attaque, là je vous ai montré quelque chose de graphique, on va le voir après étape par étape,
08:46mais c'est important ce graphique parce qu'il résume l'ensemble du process et de la méthodologie
08:54qui est la leur. Il y a une phase de reconnaissance, on va le voir, qui peut aller jusqu'à six mois,
09:00un an avant le début de l'attaque. Il y a la prise en main des axes initiaux, la persistance,
09:06la latéralisation de l'attaque, l'exfiltration des données, on a vu que ça peut être revendu et
09:12puis parfois ce qu'on appelle le chiffrement et ça ça fait appel à l'adhérention judiciaire derrière
09:16et enfin la prise de contact avec la cible, donc la victime, en l'occurrence vous-même,
09:22et parfois une négociation pour pouvoir obtenir une rançon quand c'est nécessaire. Alors ça c'est
09:29l'ensemble des étapes, on va les voir dans le détail. Le premier c'est l'axe initial,
09:34on voit que, et ça ça peut être un point de vigilance pour vos entreprises, c'est que
09:40l'essentiel des techniques qui permettent de mettre la main sur le système d'information
09:46qui vous appartient, relève en règle générale du phishing, c'est-à-dire des mails que vous-même
09:53ou vos collaborateurs recevez et dans lesquels il y a un mini logiciel malveillant caché sur
09:59une pièce Excel, sur un PDF ou sur un lien par exemple, sur lequel on demande de cliquer pour
10:07gagner un iPhone à 1€, etc. Plus le mail est sexy et attirant et plus il devrait normalement,
10:15susciter votre suspicion. Je le précise, quand quelque chose est urgent, il est urgent d'attendre,
10:22et c'est particulièrement vrai en matière de cybermalveillance. Il y a également une exploitation
10:29qui est assez importante, des mots de passe faibles qui sont utilisés. Malheureusement,
10:35certains des collaborateurs de vos entreprises utilisent le même mot de passe pour leur
10:39session professionnelle que sur Amazon, sur vendreprivé.com, sur Facebook et d'autres.
10:44Dès lors qu'un de ces mots de passe est corrompu ailleurs que chez vous, il y a des machines
10:50automatisées qui vont aller tester ce mot de passe qu'ils ont trouvé sur absolument tous les sites
10:59marchands qu'ils peuvent trouver, de façon à pouvoir rentrer dans le système d'information
11:05si le mot de passe est le même sur votre système d'information professionnel que sur le site.
11:13Donc, première petite précaution, demandez à vos collaborateurs d'avoir un mot de passe
11:18différent pour chaque type de session. Et à cet égard, il existe des coffres forts de mots de
11:26passe qui permettent de générer des mots de passe pour chaque connexion, chaque application.
11:31J'en dis pas plus sur les demandes opératoires, mais le phishing est vraiment le plus gros des
11:36moyens qui est utilisé pour les cyberattaques. Dès lors qu'ils ont réussi à obtenir un accès,
11:43qu'est-ce qu'ils vont faire ? Ils sont rarement très discrets, mais ils vont aller mettre la
11:49main sur l'actif directory qui est souvent la partie qui va gérer les comptes administrateurs,
11:55et ils vont chercher à augmenter les privilèges et à prendre la main de la même manière que
12:02s'ils étaient administrateurs de votre système d'information. Et donc, à ce moment-là,
12:07ils commettent beaucoup d'erreurs, et c'est là que nous, au niveau des Security Operating Center,
12:11qu'on appelle les SOC, on est capable de les appréhender, en tout cas de les repérer.
12:19Malheureusement, il y a relativement peu d'entreprises qui surveillent les événements
12:23qui se déclenchent sur leur système d'information, parce que souvent, si c'était le cas,
12:28ça pourrait permettre de repérer les cybercriminels pendant leur période de repérage. La plupart du
12:37temps, on s'en aperçoit trop tard, c'est-à-dire quand on n'a plus accès à son système d'information.
12:41Je sais que le temps vous est compté, je vais rapidement. La deuxième phase, on l'a vu,
12:50après le repérage et l'élévation de droits, on va avoir ce qu'on appelle la latéralisation,
12:56c'est-à-dire que là, les cybercriminels vont établir un camp de base, ils vont obtenir,
13:01et en tout cas se donner des droits élargis, puisqu'ils ont la main sur l'actif directory,
13:07et ils peuvent se créer des comptes administrateurs avec des privilèges élevés. Ils vont commencer,
13:13quand je parlais de repérage, à identifier des documents sensibles, ça peut être des fiches de
13:19paye, ça peut être des données personnelles, ça peut être des données financières, et ils vont
13:23les exfiltrer, puisqu'évidemment, non seulement ils auront la possibilité de le revendre,
13:27mais également ça pourra leur permettre de créer des scénarios derrière pour des arnaques au
13:32président, voire même avoir suffisamment d'informations pour attaquer par rebond un des
13:38prestataires ou un des partenaires de votre entreprise, que ce soit un fournisseur ou un
13:41client. Et là, quelque part, si les données ont été exfiltrées chez vous, il est probable que si
13:48la prochaine victime est assurée, dès lors qu'elle aura subi un préjudice, son assureur va chercher
13:56à prouver le responsable, et s'il s'avère qu'il peut être prouvé que les informations qui ont
14:01permis d'accéder à la victime émanent de chez vous et qu'elles n'avaient pas été suffisamment
14:06protégées, ça engage pénalement la responsabilité des dirigeants de votre entreprise. Donc prudence
14:12de ce côté-là. Ils vont également regarder si la santé financière de l'entreprise est
14:18importante, voire intéressante, parce que s'ils vont chiffrer le système d'information derrière,
14:24ça va leur permettre d'adapter le montant de la rançon. C'est-à-dire qu'ils vont potentiellement
14:29consacrer le même temps pour une entreprise qui fait 20 millions d'euros de chiffre d'affaires
14:34que pour une entreprise qui fait 1 million. Néanmoins, ils vont peut-être demander 50
14:39000 euros à l'entreprise qui aura le plus petit chiffre d'affaires et 500 000 euros à
14:45celle qui aura le plus gros. En gros, les informations qu'ils auront collectées vont
14:50leur permettre d'adapter la rançon en étant sûrs qu'il y a un bon compromis auquel,
14:56normalement, vous allez réfléchir dès lors qu'on n'a plus accès à votre système. Ou finalement,
15:04le fait de payer pourrait être plus rentable que le fait de passer un mois et demi sans
15:09chiffre d'affaires et d'essayer de remonter l'ensemble du système. Donc ils ont cette
15:14approche qui est quand même très mercantique du sujet. Ils vont identifier aussi si vous avez
15:21une assurance, si vous avez une cyberassurance. Si c'est le cas, ils savent qu'ils peuvent demander
15:25plus puisque vous allez payer, etc. Je sais que ce plan-là peut susciter plusieurs questions,
15:34j'y répondrai volontiers tout à l'heure. Et surtout, à la fin, et c'est là que c'est
15:39souvent embêtant, ils vont détruire les sauvegardes, voire même ils vont les compromettre.
15:43Pourquoi ? Parce que ça leur permet, si demain vous êtes chiffré, d'avoir aucun moyen de recours
15:49sur des sauvegardes qui n'auraient pas été sanctuarisées. Et donc, dans ce cas-là,
15:53vous n'avez pas d'autre moyen que soit de tout reconstruire, soit de payer la rançon.
15:57L'étape cruciale, c'est ce qu'on appelle la double extorsion, c'est-à-dire, d'une part,
16:08l'exfiltration des données sensibles qui peuvent être utilisées, mais deuxièmement,
16:13le chiffrement de ces données et la demande des rançons. Alors, je le disais tout à l'heure,
16:20on est susceptible de les repérer, notamment il y a des indications, des indicateurs qui peuvent
16:25vous aider, c'est notamment un échange inhabituel de volumes de données. Donc,
16:31si je peux me permettre de donner un conseil à vos techniciens, vos ingénieurs et directeurs
16:37des systèmes d'information, c'est dès lors qu'il y a un échange de données important,
16:43il faut s'assurer de sa légitimité. Deuxièmement, c'est la compromission. Au moment de la
16:54compromission, c'est-à-dire qu'on va voir que l'attaquant se révèle et en général,
17:03il a déjà pris le temps de chiffrer les données avant de se révéler. Donc là, c'est important,
17:08c'est qu'il va se révéler à un moment où vous êtes le moins susceptible d'être en alerte,
17:12c'est-à-dire les veilles de week-end, les veilles de jours fériés ou le soir. Et en général,
17:19quand l'attaquant se révèle, il est souvent trop tard pour y agir puisqu'elle a déjà fonctionné et
17:24qu'il s'attend à avoir arrivé à la cavalerie, que ce soit les services de gendarmerie, que ce
17:29soit les services du CSIRT Bourgogne-Franche-Comté. Et là, en général, quand il se dévoile,
17:37c'est qu'il est déjà certain d'avoir ferré le poisson et que le poisson a avalé la meçon jusqu'à
17:43très profondément avant de se montrer. Alors là, il peut y avoir deux types de réactions. Dès lors
17:52que votre entreprise a fait l'objet d'un chiffrement, c'est-à-dire que plus
17:59aucune fonctionnalité du système d'information n'est disponible, plus aucun document. Il y a
18:05vraiment une incapacité totale à faire fonctionner l'entreprise et à donner accès aux informations.
18:12Il peut y avoir deux choses. La première, c'est de dire qu'on va négocier. Évidemment,
18:19les autorités en France recommandent de ne pas négocier et c'est également la ligne sur laquelle
18:25nous nous sommes placés chez Allemande, c'est qu'on recommande de ne pas négocier pour plein de
18:29raisons. Et notamment, si négociation il y a, elle doit être faite par un professionnel puisque le
18:38seul objectif dans ce cas-là consiste à essayer de gagner du temps. Et le deuxième sujet est celui
18:46de la rançon. Alors, on pourra évoquer ce sujet plus en détail, mais clairement, le paiement de
18:51la rançon n'est pas une solution acceptable pour plein de raisons. Et notamment, la raison
18:58principale, c'est que si vous payez, clairement, ils vont garder les accès et dans six mois,
19:04c'est rebelote. Vous allez devoir repayer puisqu'ils ne seront pas vraiment partis. Ils vont vous
19:09donner les clés de déchiffrement, mais vous n'aurez pas compris où ils étaient et ils vont
19:13chercher à rester. La deuxième chose, c'est que dès lors qu'on finance une rançon, eh bien ça
19:21va financer neuf autres attaques d'entreprise. Alors, certes, pas la vôtre, mais ça va financer
19:26neuf autres attaques. Et donc, on entretient un système cybercriminel qui va être de plus en
19:33plus important. Petite chose, je voulais vous montrer un exemple sur la réalité d'une crise
19:41et surtout les effets qu'elle va porter. Ces effets peuvent se dérouler pendant une période
19:47qui va jusqu'à trois ans. Certes, il y a les découvertes de l'attaque, ça va poser un problème
19:52technique, ça va générer un enjeu juridique. Je le disais tout à l'heure, si votre entreprise a
19:58été le point de passage pour attaquer une entreprise plus importante, eh bien votre responsabilité
20:03est mise en œuvre et ça nécessite d'avoir une défense juridique qui est quand même tirée au
20:09cordon. Il va y avoir une incidence économique, évidemment, puisqu'il y a un impact sur le
20:15chiffre d'affaires, souvent le vôtre. Un problème médiatique et réputationnel, notamment si vous
20:23avez une entreprise qui vend beaucoup sur Internet, si des clients se sont fait avoir en dépensant de
20:30l'argent sur ce qu'ils pensaient être votre site web et que ce n'est pas le cas. Néanmoins,
20:37c'est votre nom qui est mis en avant et c'est à vous qu'il sera demandé des explications,
20:41même si vous n'en êtes pas responsable. Il y a une dimension humaine et sociale qui est
20:45importante, les salariés, évidemment. Parfois, ils sont envoyés au chômage technique, donc ça peut
20:52avoir une assinance financière pour eux aussi, mais il faut gérer la partie humaine. Et puis,
20:56il y a une dimension très opérationnelle avec une incapacité de l'entreprise à fonctionner
21:00pendant un certain temps. Le tout, c'est qu'une attaque va produire des effets pendant une
21:05période qui va jusqu'à 3 ans. Il faut vraiment considérer que c'est important. Et il va y avoir
21:12une baisse de la valorisation de l'entreprise d'environ 20% suite à une cyberattaque. Et ça
21:18veut dire que si vous êtes en phase de vente ou de pré-vente de l'entreprise ou de cession,
21:23bien clairement, le prix de vente en sera modifié à la baisse. On a vu chez certaines entreprises,
21:32comme des entreprises cotées en bourse, je pense à Target notamment, qui a fait l'objet d'une attaque
21:39sur ses logiciels de caisse en 2017. Elle a perdu l'équivalent de 4,4 milliards de dollars de
21:46valorisation boursière, qu'aujourd'hui encore en 2024, elle n'a jamais récupéré. Là, je voulais
21:53vous montrer un exemple concret de l'entreprise Clestra-Auzermann, qui est basée dans la banlieue
21:58de Strasbourg. C'est une entreprise séculaire qui avait plus d'un siècle, 150 millions d'euros
22:04de chiffre d'affaires en France, 280 millions d'euros dans le monde, 750 salariés à Strasbourg.
22:10Ils se sont fait attaquer la veille du 1er mai 2022. Il y avait une paralysie totale de l'entreprise.
22:18Elle ne sortait plus d'un bon de production, plus d'un bon de commande, elle n'avait plus accès à son
22:22système d'information, elle ne savait plus ce qu'elle avait en stock. Elle avait notamment un
22:26transstocker, ils ne savaient pas faire l'état du stock. Ils ont pris papier et crayon, ça leur a
22:31pris trois semaines pour refaire l'état du stock. Ils avaient des chantiers en cours, puisqu'ils
22:35fabriquent des cloisons pour les bureaux tertiaires. Ils avaient des chantiers en cours, ils ne savaient
22:41plus ce qu'ils avaient déjà livré, pas encore livré, ce qu'il fallait monter, ce qu'il fallait
22:45facturer. En gros, l'entreprise s'est vue demander une rensonce de 150 000 euros, qu'elle n'a pas payée
22:52et on considère qu'elle a eu une perte financière entre 2 et 3 millions d'euros. Malheureusement,
22:57là on peut voir que la différence entre la perte qui est de 3 millions d'euros et la
23:04rensonce qui était de 150 000 euros, on aurait pu imaginer que le bon conseil eût été de recommander
23:10à l'entreprise de payer. La vérité, c'est que les autorités qui étaient en charge de suivre
23:18cette entreprise et de discuter n'avaient absolument aucune certitude que celui qui
23:24demandait la rensonce était celui qui détenait la clé de déchiffrement. Donc clairement, il pouvait
23:30y avoir un imposteur, et c'était vraisemblablement le cas, qui demandait une rensonce et qui a demandé
23:35150 000 euros au début, puis après il a dit finalement 80 000, j'en prends quand même, et
23:40puis 50 000, et donc là il a perdu toute crédibilité sur le fait d'avoir véritablement la clé
23:47de déchiffrement. La conséquence malheureusement pour l'entreprise, c'est que je vous l'ai dit,
23:52l'attaque le 1er mai, elle a déposé le bilan fin juillet et elle a été reprise à la barre du
24:00tribunal le 15 octobre 2022. Les deux dirigeants ont perdu leur entreprise, au passage 85 personnes
24:07ont perdu leur emploi parce qu'elles n'ont pas été reprises par l'europreneur, et on voit
24:14véritablement que la réputation de l'entreprise a été entachée, et de très loin, puisqu'elle
24:19était souvent fournisseur sur des chantiers sensibles, et évidemment elle a été écartée
24:25de tous les futurs chantiers sensibles sur lesquels elle était en marché public. Le
24:33dirigeant de Clestrat est intervenu avec moi l'année dernière à Belfort, à la CCI,
24:39pour une conférence et justement parler dans le détail de ce qui s'était déroulé.
24:44Voilà, quelques petits conseils, ça vous le verrez dans la situation,
24:52c'est quelques conseils pour gérer la crise, je vous le disais, tenir une main courante par
24:58exemple, parce qu'évidemment quand vous ferez appel à un prestataire, mais ça,
25:00au CECIRT, Bourgogne-Franche-Comté, ils savent vous le dire, il est important d'avoir une chronologie
25:06des événements, c'est ce qui permet de reconstruire proprement derrière un système
25:09d'information. Voilà, il faut s'appuyer sur les équipes, il faut veiller au bien-être des membres,
25:15il faut savoir renvoyer les gens de chez eux, parce que la crise elle ne va pas durer trois
25:20jours, elle va durer un mois et demi, c'est à peu près la moyenne, donc il faut que tout le monde
25:24soit reposé, travaille, voilà, il faut pouvoir s'isoler pour rédiger la communication, il faut
25:30être prêt, éventuellement avoir déjà en amont un plan de continuité d'activité, avoir des fiches
25:36réflexes pour savoir comment est-ce qu'on communique entre nous, avec quels moyens, s'il n'y a
25:40plus de système d'information, on ne peut plus s'envoyer des mails, quels sont les moyens de recours
25:43alternatifs qu'on a déjà mis en place, enfin tous ces éléments-là doivent être organisés. Et enfin,
25:50je le redis, véritablement le premier interlocuteur, ça doit être pour vous, en cas de doute,
25:57ça ne coûte rien de les appeler, s'ils lèvent le doute, c'est tant mieux, vous serez tranquille
26:02pour le week-end, mais en cas de doute, appelez-les, parce qu'eux ont la vision et la
26:09connaissance technique, ils sont habitués de voir des choses anormales et de voir aussi des choses
26:15normales, donc ils sauront vous dire très très rapidement si vous faites face à une attaque en
26:19cours, et donc n'hésitez pas à les appeler. Si d'aventure vous êtes attaqué, là encore il y a
26:27des choses, et notamment des obligations légales, comme le fait de déclarer à l'ACNI d'un incident,
26:33ça c'est indispensable de le faire dans les 72 heures, et puis évidemment déposer plainte. Alors
26:40je sais que souvent ça peut paraître inutile, mais que vous soyez en zone police ou en zone
26:45gendarmerie, nous recommandons de déposer plainte pour une raison simple, c'est que ça va alimenter
26:51les enquêtes, il y a des recoupements qui peuvent exister entre diverses enquêtes et ça permet,
26:56au final, d'arrêter les cyber malveillants, qui ne sont pas tous basés en Russie, certains sont en
27:01France, au Canada ou au Maroc, et avec la coopération policière internationale en Europe ou ailleurs,
27:07eh bien au final ça permet d'arrêter ces gens et de les empêcher de vivre. Donc n'hésitez pas
27:14à déposer plainte, et souvent c'est une obligation aussi légale, si vous êtes assuré, déposer plainte
27:21c'est avoir l'assurance de pouvoir recourir à l'indemnisation que votre assureur vous propose.
27:31Voilà, j'ai laissé un peu de temps pour laisser la place aux questions, pardonne-moi Ségolène,
27:37je suis d'un naturel bavard. Merci pour cette présentation, donc comme vous avez dit à la
27:45fin, l'essentiel ce n'est pas de rester seul lors d'une cyber-attaque. C'était une présentation
27:52très enrichissante, très intéressante. Si vous avez des questions, n'hésitez pas à les poser
27:59dans le chat, on va y répondre. La question de la rançon est souvent posée, je ne sais pas si
28:07ça interpelle quelques-uns d'entre vous, mais n'hésitez pas à évoquer ce sujet si vous le souhaitez.
28:13On pourra même potentiellement faire un prochain webinaire sur le sujet, parce qu'on a vu que même
28:25votre présentation, il y a d'autres sujets abordés, par exemple la gestion de crise.
28:28Alors sur la rançon, une petite précision, c'est vrai que j'avais gardé ça en cas de question,
28:37mais il faut savoir que la rançon, si vous payez la rançon, vous ne savez pas qui vous payez,
28:43puisque vous payez en crypto-monnaie. Dans ce cas-là, au regard du droit américain,
28:50vous êtes supposé, en tout cas suspecté, d'avoir financé le terrorisme international,
28:57puisque vous ne savez pas prouver à qui vous avez payé. Le Patriot Act américain et l'extraterritorialité
29:07de la loi américaine fait que vous tombez sous le coup de la loi américaine. Donc si vous payez
29:11une rançon et que c'est su et que c'est connu, il est vraisemblable que vos prochaines vacances
29:16en Californie ou à Las Vegas vous orientent directement vers Guantanamo habillé en orange
29:23tout frais payé. Parce que clairement, ce n'est pas du tout du goût des autorités américaines
29:28de voir les entreprises financer l'écosystème cybercriminel. Pour toutes les raisons que je
29:34vous ai évoquées, c'est-à-dire le fait que votre rançon payée va servir à financer neuf autres
29:42attaques. Et donc à un moment donné, les autorités, c'est même le cas en France, l'idée est vraiment
29:47de dire ça suffit, on siffle à la fin de la récréation, on arrête de financer cet écosystème.
29:52Des questions peut-être sur la latéralisation ou les points de vigilance à avoir sur les systèmes,
30:07je parlais d'exfiltration de données, de volume inhabituel de données qui pouvaient bouger. Est-ce
30:21qu'il y a des choses qui vous ont interpellé dans vos propres systèmes d'informations récemment ?
30:24Bon, de Ségolène, je crois qu'on a affaire à des experts qui n'ont absolument aucun problème de
30:46cybersécurité, c'est tant mieux. On s'aperçoit vraiment qu'il y a une élévation très significative
30:53du niveau de sécurité dans nos entreprises aujourd'hui. Aujourd'hui, si je devais rajouter
31:00une chose, c'est que les DSI, les RSSI font très bien leur travail, qu'on a des dirigeants
31:07aujourd'hui d'entreprises qui sont certainement moins au fait de la cybermalveillance que les
31:15techniciens et qu'aujourd'hui, c'est assez nouveau, on le voit dans les ETI, on le voit dans
31:21les PME de croissance, désormais la sécurité s'invite dans la réflexion stratégique du chef
31:27d'entreprise parce qu'une bonne sécurité, ça permet d'avoir des bonnes conditions avec son
31:32banquier, ça permet de pouvoir discuter le bout de gras et la prime avec son assureur, ça permet
31:40de répondre à des marchés publics, etc. Et donc, pouvoir afficher une bonne cybersécurité,
31:46ça permet souvent de gagner des parts de marché et de se préserver d'une attaque.
31:52Aujourd'hui, clairement, c'est plus un sujet qui est pris en main par la direction générale et qui
32:00va demander aux services techniques de se mettre en ordre de marche et qui sont ravis parce que ça
32:06fait longtemps qu'ils ont envie de le faire mais ils n'avaient pas les budgets. Maintenant, il y a
32:09une bonne conjonction entre les deux et je le rappelle, je l'évoquais tout au début, BPI en
32:15Bourgogne-Franche-Comté finance des diagnostics de cybersécurité qui valent 8800 euros, BPI en
32:22paye la moitié, il y a un reste à charge de 4400 euros pour les entreprises, mais c'est vraiment
32:29très bien fait, il y a un audit organisationnel, un audit technique et ça permet de créer une
32:34feuille de route sur ce qu'il faut faire ou qui n'aurait pas déjà été fait en matière de
32:39cybersécurité et ça permet de définir une feuille de route sur trois ans qui permet vraiment d'avoir
32:45une vision et une visibilité sur les choses à faire. Donc, n'hésitez pas à solliciter BPI dans
32:50ce cas-là ou à m'appeler directement, je vous aiderai à faire la demande de subvention.
32:54De toute façon, si vous avez des questions, n'hésitez pas à recontacter monsieur Gaden
33:01ou le CIRT puis nous, on vous mettra en relation.
33:10Ségolène, on vous a perdu.
33:11Oui, on vous avait perdu Ségolène pendant un temps.
33:19Ah, je vois que du coup, il n'y a pas de questions dans le chat. Je ne sais pas si vous avez encore
33:26des choses à rajouter, même s'il y a des questions. La première question, est-ce que ce
33:33webinaire sera disponible en replay? Alors, effectivement, il sera disponible en replay
33:41sur notre chaîne de l'e-motion que je vous donne le lien dans le chat directement. Et une autre
33:48question, comment former et conseiller les employés aux bonnes pratiques de cybersécurité?
33:53Très intéressant. Il y a en fait deux moyens idéaux, même plusieurs. La première, c'est au
34:02moment de leur entrer dans l'entreprise, c'est de leur faire signer une charte informatique avec
34:06un certain nombre de règles qui sont indispensables. Donc, la gestion des mots de passe, par exemple,
34:12ou le fait de ne pas mettre une clé USB qui vient de l'extérieur sur son PC portable.
34:17Enfin, tout ça, ce sont des bonnes pratiques qui peuvent être formalisées dans une charte
34:21informatique qui est un avenant au contrat de travail. Ça, c'est la première chose parce que
34:25comme là, ça relève du légal, ça doit être lu. La deuxième, c'est de faire des petites piqures
34:31de rappel régulièrement, soit avec des formations en présentiel. Peut-être que le CECIRT en fait,
34:37ou d'autres prestataires en Bourgogne-Franche-Comté peuvent faire cette sensibilisation. Et le plus
34:43souvent, ce que nous constatons, c'est du e-learning, c'est-à-dire que l'EDRH va choisir
34:51trois ou quatre modules, par exemple la gestion des mots de passe, l'ingénierie sociale, le
34:55comportement sur les réseaux sociaux, etc. Et va dire à tous les salariés, eh bien voilà,
35:00vous avez un compte, suivez cette formation, chaque module prend dix minutes, un quart d'heure,
35:05faites-le. Et il a un outil de pilotage pour s'assurer que tous les salariés ont bien respecté
35:11et suivi la formation qui a été recommandée. Et ça, ça permet d'élever le niveau global de
35:17vigilance des salariés face au phishing, face aux informations laissées sur Internet, etc.
35:22Donc le meilleur moyen de sensibiliser les salariés, c'est souvent le e-learning et c'est
35:29le faire régulièrement et s'assurer que ça a bien été suivi. Et parfois, on fait ce qu'on appelle
35:34des campagnes de phishing factices, c'est-à-dire qu'on va créer un événement, un faux phishing,
35:39qui ressemblera à s'y méprendre à un vrai. Et l'idée, c'est de faire la preuve aux salariés
35:47qu'on peut se faire avoir et que c'est pour autant très important de suivre les formations
35:53de cybersécurité et l'application des bonnes pratiques parce que, et on en rigolera à la
35:59machine à café en disant, ben moi j'ai répondu et je me suis fait avoir, toi non, etc. Mais c'est
36:04créer une fois, deux fois par an, une campagne de phishing factice qui peut être générée en interne
36:09par les équipes techniques, évidemment. J'espère avoir répondu à cette question en matière de
36:16sensibilisation. La cybersécurité, c'est un process d'amélioration continue. On ne peut pas
36:24considérer que ce qu'on a bien fait il y a trois ans vaut encore aujourd'hui. Il faut vraiment,
36:29régulièrement, entretenir ce... Merci Dominique. Il faut vraiment entretenir ce process de façon
36:38continue dans le temps. Alors dans le chat, on a eu une petite précision concernant le MOOC de
36:48l'ANSI qui est également un bon point de départ pour comprendre un peu la cybersécurité. Il y a
36:57également sans cyber qui a été dévoilé et ouvert à tout le monde au FIC à Lille par Cyber Malveillance.
37:07Donc, c'est deux outils qui permettent également un peu de se former. Alors le MOOC de l'ANSI,
37:15je l'ai fait moi-même. Pour vous dire, je l'ai trouvé très intéressant. C'est quasiment une
37:22formation puisque ça prend une vingtaine d'heures pour le réaliser si on veut le faire bien.
37:27Personnellement, je suis dans une structure où il y a 470 employés. Si je demande à 470 employés
37:36de passer 20 heures chacun face à son écran, ce n'est pas très rentable. Et donc, je conseille
37:45vraiment d'aller plutôt vers des modules. En tout cas, pour les professionnels, l'URSSI qui sera
37:52en charge de la sécurité, je conseille vivement de suivre le MOOC de l'ANSI. Pour le salarié qui est
37:57à la compta, qui est à la paye, qui est au RH ou au commercial, une formation légère avec des
38:07modules qui ne durent pas plus de dix minutes ou un quart d'heure chacun et trois ou quatre modules
38:11par an, pas plus, c'est déjà largement suffisant. Et ça préservera aussi les ressources financières
38:17de l'entreprise.
38:18Je ne sais pas s'il y a d'autres questions. En tout cas, il y a encore une question,
38:41quel est le pourcentage des entreprises qui portent plainte après une attaque?
38:46Je crois que c'est entreprises ETS.
38:50Oui, alors en fait, on ne sait pas vraiment. On ne sait pas vraiment parce que celles qui ne portent
38:58pas plainte, on ne le voit pas. Les quelques informations que nous avons viennent des
39:05sociétés d'assurance. En moyenne, les sociétés d'assurance qui sont sollicitées par les entreprises
39:13qui ont une assurance, elles demandent un remboursement moyen pour une PME d'environ
39:19120 000 euros. C'est le coût à peu près que représente une cyberattaque pour une PME.
39:24Ce montant-là est de 458 000 euros dans les entreprises de taille intermédiaire,
39:31donc plus de 250 salariés. Maintenant, le nombre d'entreprises qui portent réellement plainte,
39:37je ne sais pas, mais ce que je peux vous dire, c'est que sur 100 attaques, l'année dernière,
39:43on a géré environ 70 réponses à incidents. Donc, comme vous le faites au CECIRT, nous,
39:49on a fait 70 réponses majeures à des incidents, sachant que chaque incident mobilise entre cinq
39:56et sept ingénieurs pendant une période qui va de trois semaines à un mois et demi. Donc, c'est
40:00dire si on est parfois, on n'a plus de bande passante et dès lors qu'on nous sollicite,
40:05on recommande d'aller vers nos petits collègues de chez Orange Cyber Défense, par exemple de chez
40:11Thalès, de chez Airbus, qui ont des services similaires aux nôtres, parce que l'idée est
40:14d'assurer de façon mutualisée la défense des entreprises françaises. Donc, évidemment,
40:19nos clients sont prioritaires, on prend quand on peut. Mais il faut savoir sur 100 attaques en
40:25moyenne, dans 85 % des cas, le mode opératoire nous permet d'identifier le groupe attaquant.
40:32Je le disais, ce sont presque des groupes commerciaux, ils ont des noms, ils ont des
40:35sites internet. Dans 10 % des cas, on peut le prouver. Donc, le mode opératoire nous permet
40:44d'avoir une suspicion réelle et sérieuse. Dans 10 % des cas seulement, on en a la preuve. Et
40:49l'enquête judiciaire aboutit en général dans 3 % des cas, par l'arrestation du groupe attaquant.
40:57Donc, 3 %, ça peut paraître peu, mais c'est quand même phénoménal. C'est pour ça que je le
41:02disais, n'hésitez pas à déposer plainte. Maintenant, je pense qu'il y a peut-être une
41:09entreprise sur 3 ou sur 4 qui dépose réellement plainte après s'être fait attaquer, parce que
41:14souvent, on est un peu honteux de s'être fait attaquer ou on a payé la rançon et on ne veut
41:19pas le dire. Il faut savoir que si vous payez la rançon, demain, votre nom, vos coordonnées seront
41:25disponibles sur le Dark Web à vendre, parce que vous serez considérés comme un bon client. Et
41:30donc, vos coordonnées vont être vendues et vous ferez à nouveau l'objet d'une attaque dans les
41:34mois qui viennent, parce que vos coordonnées auront été cédées à un autre tiers. Donc, il ne faut pas payer.
41:43Nous avons également une autre question. Sur les 70 incidents que vous avez traités,
41:51combien concernaient des infras industriels ? Le ransomware est-il toujours le type d'attaque
41:59principal ? Le ransomware et le type d'attaque, c'est souvent le ransomware. Il y a aussi ce
42:10qu'on appelle le DDoS, c'est-à-dire le défacement d'un site internet sur les sites marchands. Par
42:15exemple, je parlais de vente privée, ça peut être d'autres, mais le ransomware est certainement à
42:2180% aujourd'hui le mode d'attaque privilégié des cyberattaquants. Et pour revenir sur les...
42:29Alors, la centaine, j'ai dit c'est 70, c'est 70 cyberattaques sur lesquelles on est intervenu
42:35l'année dernière. Sur des systèmes industriels, nous en avons vu peu, parce que ça n'est pas
42:40notre spécialité. Donc, on en a eu peut-être 4 ou 5 sur lesquelles on s'est intéressé,
42:47mais véritablement on a des experts des systèmes industriels aujourd'hui, des gens comme Clancy,
42:56enfin Effage à Mulhouse, qui sont spécialisés sur la cybersécurité des systèmes industriels,
43:02et très souvent on travaille en coopération avec eux dans ces cas-là. Mais nous, on va
43:09principalement être déployé sur des événements de type entre guillemets bureautique, mais des
43:15systèmes d'information globaux, sur des systèmes qui ont allé entre 200 et 5000 utilisateurs à peu
43:27près. Souvent multi-sites, multi-serveurs, multi-forêts, etc. Et sur les systèmes industriels,
43:35on en a vu quelques-uns, et souvent, je vais dire pour nous, c'est assez difficile de travailler
43:44sur l'industriel, parce qu'on s'est aperçu que dans les systèmes industriels, très souvent,
43:49il y a une machine qui fonctionnait avec un vieux PC qui fonctionnait encore en Windows 95 ou en
43:54Windows XP, qui n'est plus mis à jour, mais comme la machine ne fonctionne qu'avec ça, on la laisse
43:59ouverte. Le risque, c'est de la laisser connectée au réseau de l'entreprise. Et c'est souvent par
44:04cet intermédiaire d'une machine qui n'est plus mise à jour, qu'il va y avoir une porte d'entrée,
44:10une vulnérabilité qui va être exploitée. Donc souvent, nous, on préfère intervenir en amont de
44:14ça plutôt que de régler le problème de la cybersécurité industrielle. C'est de dire,
44:20si on intervient en amont, la cartographie va nous permettre de suggérer, de déconnecter cette
44:27machine qui fonctionne encore avec de vieilles solutions logicielles, de le déconnecter du
44:32réseau qui, lui, peut être sécurisé proprement aujourd'hui. Voilà, pardon si j'ai un peu digressé
44:40sur ce point-là, mais c'est vrai, et la question a été tout à fait pertinente, qu'il y ait vraiment
44:44deux environnements, l'un industriel, l'autre sur des systèmes d'information globaux. Et la
44:49fragilité des systèmes industriels, c'est souvent le fait que ça fonctionne avec des vieilles
44:55solutions logicielles qui ne sont plus mises à jour et dont les vulnérabilités sont parfaitement
44:59connues de l'écosystème cybercriminel qui les exploite au quotidien.
45:10J'espère que je vous ai rassuré un peu quand même. En tout cas, il y a des solutions,
45:23et la meilleure des solutions, c'est déjà de commencer à s'en occuper.
45:26Ségolène, je vous rends la main.
45:36Écoutez, il n'y a plus de questions. Vous avez encore quelques petites secondes le temps que
45:44j'énonce le prochain webinaire qui aura lieu le 21 mai, donc en lien avec Silexo,
45:51le cabinet de DPO, et ça sera sur comment réagir en cas de violation de données.
45:56Donc, je vous mets le lien dans la conversation. Et si vous voulez suivre toutes les actualités
46:06du CIRC BFC, n'hésitez pas à aller voir notre site internet ou également nous suivre sur LinkedIn.
46:12Entendu. Merci à tous et je réponds à toutes les invitations sur LinkedIn aussi, n'hésitez pas.
46:21Et si vous avez des questions, n'hésitez pas à nous recontacter. On vous mettra directement
46:29en lien avec Monsieur Gaden. Merci à tous. Merci à tous. Bonne journée. Au revoir.