| Sécurité opérationnelle

PAROLE D’EXPERT : EDR, gestion des vulnérabilités… Découvrez Guillaume et son expertise SecOp

Interview de Guillaume Gallaud, consultant en Sécurité Opérationnelle chez Synetis
parole-experts-guillaume-gallaud

Peux-tu te présenter en quelques lignes ? Peux-tu nous en dire plus sur ton rôle chez Synetis ?

Avec plaisir ! Cela va faire 5 ans que j’évolue dans le monde de l’informatique. J’ai commencé par de l’administration (en alternance) pour finalement basculer dans le monde de la sécurité informatique.

J’ai d’abord passé un peu plus de 2 ans chez un client final. Intégré à l’équipe Infrastructure et Sécurité, j’ai été autonome sur divers projets afin de proposer et mettre en place des axes de sécurisation de l’infrastructure. Mon rôle était, en effet, de trouver des faiblesses dans l’infrastructure et de proposer des solutions pour y répondre efficacement. Cette première expérience était très enrichissante du fait de l’effectif restreint du pôle. J’ai ainsi pu améliorer mes compétences techniques lors des différents projets et POC réalisés.

J’ai ensuite rejoint Synetis, il y a 2 ans et demi maintenant, et je suis actuellement consultant en Sécurité Opérationnelle. Évoluer dans cette practice me permet de me former en continu sur de nouvelles technologies ! J’ai d’ailleurs pu me spécialiser sur les sujets d’EDR (Endpoint Detection and Response) et de gestion de vulnérabilités.

Comment décrirais-tu le contexte cyber actuel ?

Pour moi, les attaquants sont, et cela depuis toujours, en avance sur les sécurités mises en place par les entreprises. Effectivement, pour attaquer, les cybercriminels doivent trouver une vulnérabilité qui n’a pas encore été exploitée ou corrigée – telle que les vulnérabilités 0day, alors que les patchs de sécurité sont en général développés après la publication ou à la suite d’une attaque par exploitation d’une vulnérabilité…

Les attaques sont de plus en plus importantes et cela ne va pas aller en s’améliorant. Le contexte cyber actuel est également lié à la digitalisation de nos vies quotidiennes et professionnelles. De plus en plus de services sont hébergés sur internet – comme les applications SaaS par exemple. Cette transformation digitale mène ainsi directement à l’augmentation de l’exposition et des surfaces d’attaques des entreprises, car plus de technologies et de données sont accessibles sur internet.

Pour finir, le contexte géopolitique joue également un rôle énorme sur l’évolution du contexte cyber actuel. Et, notamment, les attaques entre l’Ukraine et la Russie (et les pays prenant parti) qui se sont intensifiées depuis le début du conflit.

Besoin de conseils pour sécuriser votre entreprise ?

Quelle attaque ou quel groupe cybercriminel t’a surpris cette année dans son mode opératoire ?

En ce début d’année, j’avoue avoir été surpris par le groupe Conti et son ransomware perfectionné !

Les affiliés du groupe utilisent un fichier DLL (Dynamic Link Library) pour obtenir le code du ransomware. Ce code va ensuite être exécuté directement en mémoire dans le Système d’Information de la victime. Le ransomware est donc filless et n’est pas repérable par des antivirus basés sur des signatures. Les plateformes de protection des points de terminaison (EPPs) ne sont donc pas en capacité d’anticiper ou découvrir cette attaque-là. Alors que les EDRs en ont eux la capacité !

Il est intéressant de noter que l’exécution du ransomware Conti se fait, en général, suite à la compromission du réseau par le déploiement d’un Cobalt Strike dans l’infrastructure – pour conclure son attaque par un vol de données. Conti menace, après coup, de divulguer les informations dérobées si la victime ne paie pas la rançon.

Comment accompagnes-tu tes clients dans le maintien quotidien d’un niveau de risque optimal ?

J’accompagne les clients de plusieurs manières, en fonction du besoin. J’interviens notamment pour effectuer des audits de configuration et des intégrations de solutions de sécurité – en gestion de vulnérabilités et protection des endpoints par exemple. Lors de ces audits, je réalise une analyse de la configuration qui amène à la rédaction d’un rapport et d’un plan de remédiation en fonction de la volonté du client.

Chez Synetis, plus globalement, à la suite d’une réponse à un appel d’offre ou une preuve de concept (POC), l’intégration de solutions de sécurité – pour accompagner nos clients dans le maintien ou l’amélioration de leur niveau de risque – se fait en plusieurs étapes !

Avant de conseiller les entreprises sur une technologie, nous récoltons un maximum d’informations pour leur conseiller la solution qui sera la plus adaptée à leurs infrastructures. Une prise de connaissance complète de ce qui est actuellement en place chez le client doit donc être réalisée. Suite à cela, nous accompagnons nos clients sur l’intégration d’une solution qui est la plus adaptée à leurs besoins.

Nous rédigeons alors un dossier d’architecture, qui fait suite aux réunions de conception. Ce dernier permet de réaliser l’intégration de la solution en respectant les prérequis identifiés. Une dernière étape, mais pas des moindres, doit alors être réalisée par nos équipes et l’entreprise accompagnée pour conclure le projet : la recette de l’intégration de la solution de sécurité – pour s’assurer de la bonne intégration de la solution.

Finalement, nous dédions des sessions de formation et de transfert de compétences à nos clients pour que la solution technologique soit parfaitement maîtrisée par les équipes internes.

Toutes ces étapes nous permettent d’apporter une réponse personnalisée au besoin de chaque client !

Toutefois, il faut savoir que chez Synetis, nous allons encore plus loin dans l’accompagnement de nos clients : nous proposons de l’EDR MSSP ! Lorsque nos clients choisissent ce service managé, nos équipes analysent 24/7 les alertes remontées par l’EDR ; puis nous traitons et communiquons au client un rapport mensuel en comité de pilotage et comité de projet.

Qu’est-ce que l’EDR ? En quoi est-ce aujourd’hui un outil indispensable au sein des MSSP / SOC ?

Un EDR est un outil de protection qui permet la sécurisation de nombreux endpoints. Il vient, aujourd’hui, remplacer les antivirus dits EPPs – grâce à la technologie de Machine Learning plus performante – qui se base sur des scénarios d’attaques et des comportements, et non plus sur des bases de signatures. Il apporte également une capacité de remédiation avancée allant de l’isolation du poste de travail jusqu’à, pour certains, la capacité de déchiffrer un poste compromis par un rançongiciel.

Cet outil est essentiel si une entreprise possède un SOC car les données apportées par l’EDR permettent d’avoir une vision claire et précise de ce qu’il se passe sur les postes de travail, et, d’ainsi, mieux gérer les menaces.

Mais si vous n’avez pas de SOC, un MSSP est essentiel pour une sécurisation optimale de vos systèmes d’information : voici le message que je voudrais faire passer aux entreprises de toute taille !
En effet, auparavant les antivirus étaient peu monitorés. Beaucoup d’alertes et de faux positifs étaient remontés par les solutions, mais peu de ressources humaines étaient dédiées à la compréhension de ces antivirus. L’EDR change tout, et d’autant plus en MSSP – car l’entreprise peut alors confier la gestion complète de son EDR à des experts dédiés et qualifiés !
Les solutions technologiques d’EDR offrent une remontée d’alertes beaucoup plus pertinentes. Elles permettent d’obtenir plus d’informations (des informations de meilleures qualités) et la collecte de logs y est beaucoup plus importante.

Ces outils sont essentiels pour une sécurisation optimale des postes de travail. Les données utilisées et corrélées dans ces outils permettent d’avoir une source d’information optimale pour l’alerting et l’hunting.

Qu’est-ce que la gestion de vulnérabilités ? Quels sont les atouts de ce processus ? Et quels sont les outils émergents ?

La gestion de vulnérabilités consiste à avoir une vision globale des vulnérabilités présentes sur un système d’informations. 
Cela permet de scanner des actifs, d’avoir un rapport de vulnérabilités sur l’ensemble des assets présents sur le réseau de l’entreprise, pour ensuite prioriser et implémenter les corrections – et donc s’assurer de leurs bonnes remédiations. Mais les entreprises ont également la possibilité d’accepter un risque de vulnérabilité, si celle-ci est connue mais trop compliquée – voir impossible – à corriger (souvent à cause d’impératifs métiers). Cette acceptation de risque n’est pas conseillée, et n’est à utiliser qu’en cas extrême !

Un tel travail permet de s’assurer que le SI n’est pas vulnérable à des attaques connues, qu’il ne présente aucune vulnérabilité.

De nombreux outils de gestion de vulnérabilités sont apparus sur le marché, et bon nombre d’entre eux embarquent également des outils de conformité. Ces outils se basent sur des référentiels (comme le CIS) et permettent de s’assurer du hardening système des machines scannées.

Comme par exemple : 

  • Cyberwatch propose une solution française qui permet de faire de la gestion de vulnérabilités, des scans de conformité et l’installation de patchs de sécurité Windows ;
  • Tenable permet de couvrir un ensemble important d’assets et de vulnérabilités. Cet outil est présent OnPremise ou en SaaS et permet de scanner la conformité, les vulnérabilités sur les assets du SI, des conteneurs. Cette solution se base sur des plug-ins ;
  • Hackuity est un agrégateur de vulnérabilités, qui fonctionne avec des connecteurs permettant de récupérer les informations de vulnérabilités d’autres solutions. Ces informations sont ensuite mises au même format pour avoir un ensemble cohérent. La lecture de celles-ci est alors facilitée pour les équipes travaillant sur cette thématique.

Pour toi, quel est le top 3 des conseils à donner à une entreprise pour protéger efficacement ses systèmes d’informations ?

Le premier conseil que je souhaiterais donner aux entreprises est la mise en place de solutions d’authentification multi-facteurs (MFA) pour l’ensemble des utilisateurs de son parc informatique. 
En effet, beaucoup d’entreprises sont encore réticentes à ce changement important pour les utilisateurs finaux – par peur du changement. Elles ne l’appliquent donc que sur des comptes sensibles… Ma recommandation serait pourtant de l’appliquer à tous les utilisateurs, afin d’éviter les usurpations d’identité et, ainsi, offrir une meilleure sécurité de l’ensemble des comptes de l’entreprise.

Ensuite, à mon sens, il est impératif – de nos jours – pour les entreprises de s’assurer que tous les systèmes informatiques sont bien à jour, mais également qu’il n’y ait pas de vulnérabilités dans l’infrastructure. Pour ce faire, les entreprises doivent mettre en place un processus de Patch Management – car plus les patchs de sécurité sont à jour, plus la société se protège contre les attaques extérieures. En effet, la plupart des attaques de type Cobalt Strike, par exemple, apparaissent à la suite de l’exploitation d’une vulnérabilité par des attaquants. Des vulnérabilités, la plupart du temps, déjà officielles et connues par le monde cyber.

Pour finir, je pense qu’il est bon de rappeler la règle d’or d’une bonne protection de ses données et SI : connaître son infrastructure ! Encore aujourd’hui, beaucoup d’entreprises n’ont pas une vision claire de ce qui se trouve sur leur réseau. Cela fait place à du Shadow IT, une véritable porte d’entrée pour les attaquants.

Et aller, le mot de la fin… Messieurs, mesdames, assurez-vous de la sécurité de vos assets grâce à une solution adaptée de type EDR ! L’accompagnement sur-mesure que peut vous apporter un MSSP n’est pas à négliger dans ce monde cyber, qui est le nôtre, en transformation constante.