Sécurité par la surveillance avec Frédéric Costa | DSI et des Hommes

Description

Dans cet épisode, Frédéric Costa (LinkedIn) de chez Zero Trust nous explique pourquoi il vaut mieux d’abord surveiller l’ensemble de la surface d’attaque avant de lancer un projet Zero Trust complet. Il détaille les étapes clés d’un SOC managé (XDR/MDR), insiste sur l’identification des « signaux faibles » et la mise en place d’un cycle PDCA de gouvernance , et partage ses conseils pour aider les PME à gagner en maturité (activation des logs, déploiement d’un EDR, collaboration continue avec des analystes experts). Frédéric rappelle aussi l’importance de configurer correctement les briques de base (SIEM, EDR, NDR, Threat Intelligence) et de formaliser des politiques de sécurité partagées

Où le trouver ?

LinkedIn : https://www.linkedin.com/in/fredericosta/
Site Zero Trust : https://www.zerotrust.fr/

Ses recommandations

ANSSI (référentiel et bonnes pratiques) : https://cyber.gouv.fr/
CNIL (règles de conservation des logs) : https://www.cnil.fr/

Sources citées dans l’épisode :

Ponemon Institute, Cost of a Data Breach Report (2023)
Gartner, Market Guide for Endpoint Detection and Response (2023)
Forrester, Now Tech: Extended Detection and Response (2023)
IDC, Worldwide Endpoint Security Market Shares (2024)
SANS Institute, Modern SOC Architectures (2023)
NIST, Framework for Improving Critical Infrastructure Cybersecurity (2022)
IBM Security, Cost of a Data Breach Report – Europe (2023)
France Num, Baromètre PME 2023 (https://www.francenum.gouv.fr)

----------------------------------

DSI et des Hommes est un podcast animé par Nicolas BARD, qui explore comment le numérique peut être mis au service des humains, et pas l’inverse. Avec pour mission de rendre le numérique accessible à tous, chaque épisode plonge dans les expériences de leaders, d’entrepreneurs, et d’experts pour comprendre comment la transformation digitale impacte nos façons de diriger, collaborer, et évoluer. Abonnez-vous pour découvrir des discussions inspirantes et des conseils pratiques pour naviguer dans un monde toujours plus digital.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bienvenue dans Décis des Hommes, le podcast qui explore le numérique au service de l'humain. Aujourd'hui, on va se pencher sur un sujet incontournable pour toutes les entreprises, la sécurité des systèmes d'information. Pour en parler, j'ai le plaisir d'accueillir Frédéric Costa. Bonjour Frédéric, merci d'être avec nous.
Speaker #1
Bonjour Nicolas.
Speaker #0
Alors, avant d'entrer dans le vif du sujet, j'ai toujours ma première question, c'est pour arriver à situer notre... de notre interlocuteur, c'est quel est ton premier souvenir de numérique ?
Speaker #1
Allons, alors là, la question que tu me poses, le plus loin que je peux me souvenir qui m'a marqué, c'est ça ?
Speaker #0
Oui, c'est le plus loin, c'est ton premier souvenir.
Speaker #1
Alors, je suis tombé dans l'informatique très très tôt, je devais avoir l'âge de 8 ans, donc c'est assez ancien, et le souvenir numérique qui m'a vraiment marqué, c'est, on était un groupe de démo-makers sur Atari et Amiga, je ne sais pas si tu te souviens de ces plateformes. Et on a, comment dire, donc on faisait des démos et on a gagné un concours pour la revue Génération 4 qui n'existe plus au niveau national. Et c'était une grande fierté pour nous. Et donc, c'était vraiment le point de départ où je me suis dit, ah là là, qu'est-ce que c'est bien ? Et l'informatique, qu'est-ce que c'est ? Ça apporte un vrai bonheur.
Speaker #0
C'est bien, c'est bien, c'est bien. Et justement, parle-nous un peu brièvement de ton parcours. Comment t'es arrivé à la tête de Zero Trust ?
Speaker #1
Mon parcours aujourd'hui, j'ai plus de 25 ans en cybersécurité, donc vraiment axé sur la cyber. J'ai 11 ans en ESN en ayant démarré en tant que pen-tester pour une ESN, auditeur. Et puis progressivement, j'en suis devenu un manager des équipes au niveau d'ESN qui n'existent plus. Elles ont été rachetées pour la plupart. Et par rapport à ça, au bout de ces 11 ans, j'avais fait le tour un petit peu du sujet. J'étais intéressé pour aller en client final parce que je bossais pour les clients finaux et je voulais vraiment travailler sur des projets sur du long terme et pas simplement sur des missions court terme. J'étais responsable d'ingénierie et sécurité chez SFR, donc chez l'opérateur, au niveau du système d'information. Et pendant quasiment 12 à 13 ans, j'ai justement amélioré les environnements, traité des projets d'envergure. chez cet opérateur avec des projets de cryptographique autour de sujets de clés opérateurs, etc. Des projets de SOC, de détection et réponse à incidents de sécurité chez l'opérateur, mise en place de la sécurité pour un OIV, etc. Au bout, encore une fois, au bout de ces 12 à 13 ans, j'en avais un petit peu fait le tour. Et puis, j'avais fait un constat sur la cybersécurité, notamment sur la partie détection et réponse. qu'il y avait beaucoup d'axes de progrès à faire pour avoir une détection et une réponse efficace. Et j'ai créé Zero Trust en 2017 pour justement créer à partir d'une feuille blanche un soc de nouvelle génération, managé pour les clients du middle market. Voilà, c'est un petit peu, ça c'est mon parcours.
Speaker #0
Ça marche, ça marche, ça marche. On reviendra sur tous les termes que tu as utilisés pour bien les expliquer.
Speaker #1
Je les ai, oui.
Speaker #0
Voilà, c'était bien l'objectif. Et je crois que Zero Trust a été créé, d'après mes recherches, comme jeune entreprise innovante.
Speaker #1
Alors, on a eu le label jeune entreprise innovante très, très tôt, puisqu'en fin de compte, dès 2017, on a développé le SOC pour détecter et répondre aux incidents de sécurité, avec justement, l'objectif, c'était de gommer un petit peu les irritants qu'on pouvait avoir sur des SOC standards, donc une efficacité très faible. pour détecter des signaux faibles. Je reviendrai dessus peut-être, je vais revenir sur cette partie-là, sur la détection des signaux faibles. Un coût important, parce que c'était que les grands faiseurs de soc qui faisaient du soc, les Thales, les Airbus, etc. Et avec un déploiement qui était extrêmement long. Je ne vais pas parler du tout des déploiements que j'ai faits, mais... J'ai subi, mais on est sur des périodes de minimum 12 mois pour des phases de build avec des premiers indicateurs. Donc ça, c'est vraiment problématique, en tout cas aujourd'hui, pour les clients qui souhaitent mettre en place une détection, une réponse rapide à des attaques.
Speaker #0
J'ai trouvé une stat en 2023, le Forester, qui disait que 68% des entreprises françaises admettaient manquer de visibilité sur leurs terminaux. et c'est vrai que Zero Trust se positionne se positionne sur sur un sujet de voir s'il n'y a pas d'angle mort dans le système d'information. Voilà, de tout surveiller. De tout surveiller, c'est ce que tu dis sur le SOC. Donc, en 2017, tu étais déjà un peu en amont.
Speaker #1
Je pense que ça, oui.
Speaker #0
D'après ce que j'ai vu, le SOC était quand même ultra réservé pour des très grandes entreprises. Je pense que ton objectif, c'est aussi de le rendre plus accessible.
Speaker #1
Absolument, absolument. Et donc, le rendre plus accessible avec des coûts optimisés, puisque, encore une fois, le nain de la guerre, c'est l'argent, c'est le chiffre d'affaires. Mais surtout, avec un constat. que les SOC, même encore maintenant, vont s'appuyer essentiellement sur des signaux qui sont issus d'événements remontés par des solutions éditeurs, donc DR, antivirus, firewall, sans mettre en place, en fin de compte, des traitements à côté pour récupérer des événements qui passent sous les radars et qui peuvent mettre en avant très très tôt des signaux faibles d'attaque. Et donc, par rapport justement au J8 que tu as remonté, donc le J8, juste pour mémoire, le J-8. Donc, je n'ai pas trop plus d'inventes pour l'obtenir. On est obligé d'être audité par rapport à notre métier par un laboratoire d'État qui fait référence dans ce domaine. Donc, nous, on a été audité par un laboratoire du CNRS, donc en cybersécurité, par un expert. Et donc, par rapport à ça, il a remonté l'innovation qu'on a mis en place. L'innovation, elle était liée justement à la détection des signaux faibles avant le corps d'attaque. Donc, j'y reviendrai peut-être sur d'autres questions plus précisément. Mais un élément important, c'est que... Dès 2017, on a compris, en tout cas chez Zero Trust, que l'IA, c'était important. Depuis 2017, on développe de l'IA avec quelque chose qui est complètement orthogonal. Dès 2017, par rapport à tout ce que tu as peut-être pu voir au niveau IA, c'est que nos IA, elles n'apprennent pas sur des données clientes, parce que les données clientes, ça prend du temps à apprendre. Et puis surtout, il y a l'IA Poissoning. L'IA Poissoning, c'est l'IA qui va apprendre des mauvaises choses. Et quand on apprend des mauvaises choses, l'analyse que l'on va faire sur d'autres cas d'usage, donc des cas d'usage d'incidents de sécurité, ça va remonter des faux incidents, donc des faux positifs, et ça c'est dommageable. Donc nous, nos IA, elles apprennent sur des jeux de données qu'on a à nous créer, qui sont propres et qui permettent d'avoir une efficacité dès l'activation en IA sur un système d'information d'un client. Et ça, c'était une innovation déjà en 2017, et c'est encore une innovation en 2025. C'est top.
Speaker #0
On va revenir un petit peu sur toutes les définitions pour bien expliquer. Avant même de parler des solutions, et je sais que tu es assez pragmatique sur ce que tu peux dire en solution, il faut d'abord savoir ce qui se passe dans son système d'information. Justement, qu'est-ce que la surface d'attaque d'une organisation pour toi ?
Speaker #1
C'est très simple. La surface d'attaque d'une organisation, c'est tous les systèmes qui sont connectés sur le réseau d'entreprise. Et pas simplement le poste de travail et un serveur. Donc ça peut passer par les badgeuses qui font de l'entrée-sortie au niveau des bâtiments. Tu sais quand tu rentres, voilà, donc c'est ça. Les systèmes incendies, les systèmes exotiques qu'on croit... invisibles sur le système et ils ne le sont pas. Ça peut être des bases de rebonds très intéressantes. Par exemple, des systèmes de sauvegarde de type NAS, des systèmes même réseaux exotiques, des systèmes qui vont donner l'heure en temps réel avec des horloges atomiques. Ce sont des choses qui sont présentes au niveau des SI et qui peuvent servir comme rebonds et comme zone stationnaire pour un assaillant. Donc, il va être invisible. parce que tous les points qui sont traités avec des agents de sécurité, donc des antivirus ou des EDR, EDR pour Endpoint Detection and Response, au niveau d'un système d'information, les assaillants vont essayer de se mettre sur des systèmes qui, justement, sont écartés de la détection et de la réponse. Et donc, par rapport à ça, l'objectif d'un SOC, c'est de couvrir sans angle mort ce système d'information, sans être partout. Sans être partisan, en disant, ben voilà, moi je pense que c'est ça qui va être le plus attaqué. Non, tous les systèmes peuvent être attaqués de manière transparente, parce que l'assaillant va utiliser le système le plus faible en termes de protection pour justement prendre pied dessus. Et donc nous, notre objectif, c'est de couvrir l'ensemble du système. Est-ce que j'ai répondu à ta question ?
Speaker #0
Oui, très bien, très bien. Et puis pour imager même, et pour te faire réagir, c'est... J'ai trouvé, selon Gartner, en 2023, une entreprise moyenne possède plus de 25 000 endpoints. Comme tu dis, tu parles de PC, serveur, tout ce qui va être connecté, connecté. On voit aussi de plus en plus, parce que les smartphones... privés, persos, qui sont connectés au réseau, l'entreprise, du wifi ça, on va les compter dedans c'est des sujets que moi j'essaye de d'éliminer parce que autant, on va dire, il y a 10 ans 10-15 ans, ok t'avais plus de problématiques réseau, d'accès au réseau c'est vrai, c'est vrai maintenant, j'essaye d'éviter parce que comme tu dis, c'est l'attaquant Il veut trouver le moyen le plus facile de rentrer dans le système d'information. Absolument. Vas-y, Ali.
Speaker #1
Et j'allais dire, la biode, aujourd'hui, c'est un séquence contre aide en gouvernance avec nos clients pour mettre en place des politiques strictes. Et aujourd'hui, au niveau de la biode, ce que l'on constate, c'est que de plus en plus de collaborateurs utilisent des VPN sur leur système, donc leur mobile ou leur poste perso. Et ce qu'il faut savoir, c'est que ces VPN... Je vais encore... pas cité de marque, mais les VPN qu'on trouve sur les stores, sont pour la plupart tout ce qu'a gardé, soit au niveau des SI internes, soit carrément au niveau de l'agent, pour récupérer des credentials. Et ça, aujourd'hui, c'est un vrai fléau, parce qu'on constate qu'opérationnellement parlant, on a beaucoup de clients qui vont subir des vols de credentials à partir de ces systèmes. Et donc ça, c'est quelque chose qui est dramatique. Et aujourd'hui, on est sur un enjeu économique, parce que pour doter une société de toute une flotte de mobiles internes avec un système de contrôle du mobile, donc on appelle ça MDM en anglais, donc ce système de contrôle, c'est un logiciel qui coûte de l'argent. Et par rapport à ça, aujourd'hui, les sociétés ne peuvent pas investir dans ce genre de système parce que ça coûte très très cher. Et ils ont besoin de rester en communication avec leurs collaborateurs par intermédiaire, le plus souvent, de leur téléphone mobile perso. Donc ça, c'est un vrai problème, effectivement.
Speaker #0
C'est un vrai souci. Justement, pour aller dans la priorisation, en 2023, le délai moyen de détection d'une intrusion était 287 jours sans SOC managé. Donc ça veut dire que pendant 287 jours, l'attaquant est dans le SI de l'organisation et tombe jusqu'à 24 heures quand on a mis en place des solutions type XDR. Il y a de nombreux clients qui fanent personnes de l'organisation qui arrivent à construire ces projets en un an mais selon toi avant de mettre en place peut-être ces projets de soc manager il faut pas plutôt essayer de mettre sous contrôle la surface d'attaque quand on la voit elle est quand même assez immense alors
Speaker #1
effectivement enfin aujourd'hui aujourd'hui moi on accompagne des RSSI par rapport à la mise en place du soc puisqu'on propose une gouvernance Et donc par rapport aux sociétés, aujourd'hui ce qu'on constate c'est que les RSSI sont un peu désemparés sur l'ordre dans lequel ils doivent aborder les projets. La plupart en fin de compte pour moi font une erreur, c'est de construire des remparts, des murailles, sans vraiment s'intéresser à ce que j'ai pas une petite fissure quelque part qui permettrait à quelqu'un de s'introduire. On a des projets d'amélioration du système d'information qui peut durer deux ans. Pendant deux ans, on construit du flitrage qui, in fine, ne sert pas à grand-chose parce qu'on ne voit pas par où l'eau peut passer. Je fais toujours l'image avec un bateau. Si j'ai un bateau qui est un peu moyen et que je veux traverser l'Atlantique, je peux le faire. Mais avant tout, je dois connaître où sont les faiblesses de mon bateau, où sont les possibles failles. par lequel l'eau pourrait s'introduire, c'est quelque chose qu'il faut absolument transposer dans l'ESI. Et moi, ce que je dis à un RSSI, c'est que le point de départ d'une amélioration de sa sécurité, c'est d'avoir une visibilité de sa surface d'attaque, comme tu dis, avec un contrôle de qui fait quoi, comment, depuis où. Et donc là, pour le coup, c'est de récupérer les événements de tous les systèmes pour avoir cette visibilité. Et puis en parallèle de ça... Aussi, il y a l'amélioration des configurations de nos systèmes, parce qu'il y a beaucoup de RSSI aujourd'hui qui vont refercer les plafonds en changeant de techno. Mais quand on regarde aujourd'hui toutes les techno firewalls, toutes les techno d'EDR pour la plupart, elles sont toutes bonnes dans l'absolu, avec des éléments différenciants qu'il faut apprécier par rapport à un besoin exprimé. Par exemple, si je veux vraiment être... très fin sur un contrôle au niveau d'un poste de travail ou d'un serveur, peut-être une solution sera meilleure qu'une autre, mais il faut aussi avoir conscience qu'il faut avoir les compétences pour pouvoir mettre en place ce contrôle très précis. Et donc, l'écueil, c'est d'améliorer aujourd'hui les politiques, la configuration de ces environnements, avant de refaire seuls les plafonds. Ça, c'est aussi le message que je passe à tous mes RSSI, et grâce à ça, ça permet de reculer un peu les invests. Aujourd'hui, je pense que ça a du sens par rapport à... aux réductions de budget que l'on a au niveau des DSI. Et d'améliorer progressivement sa sécurité par couche, parce qu'on ne peut pas passer d'un état zéro à un état un en cybersécurité. Il faut des étapes, parce que le principal frein aujourd'hui, c'est le métier. Si on met en place quelque chose de trop contraignant, il y a un rejet des métiers et on va nous demander de descendre le niveau de sécurité. Donc autant y aller étape par étape, avec une présentation des améliorations côté métier par exemple. surtout côté métier ou côté direction générale, et puis de progresser comme ça. Mais la première étape, c'est ce que je dis, c'est maîtriser sa surface d'attaque et maîtriser surtout l'usage des points faibles qui pourraient être faits de cette surface d'attaque, sans être aveugle. Donc l'éclairage se fait par la mise en place d'un contrôle global de ses activités sur son système d'information.
Speaker #0
Et justement, en mettant en place quelques outils, ça va ramener beaucoup de log, d'éléments à surveiller, dont dedans ce que j'ai pu voir selon un chiffre en 2022, sur 1000 alertes générées, 95% sont des faux positifs sans triage automatisé. Parce que souvent, moi, ce que je vois, c'est que beaucoup d'entreprises ont les outils, mais ils ne surveillent pas. Parce que surveiller des logs, on le sait, toi et moi, c'est du temps. compliqué de lire toutes les lignes qui passent. Et justement, toi, par rapport à tout ça, quels sont les outils indispensables pour bâtir un SOC capable de détecter rapidement, donc de manière automatisée, parmi toutes les briques technologiques qu'on connaît, du CIEM, tu expliqueras ce que c'est, de l'EDR, tu as expliqué, et d'autres choses.
Speaker #1
Juste en préambule, ce que je dirais, c'est que ce projet est un projet nécessaire pour toutes les sociétés. Donc ça, c'est vraiment quelque chose qu'il faut se préparer à être attaqué, se préparer à gérer de la crise. Mais à partir de là, c'est de savoir comment je vais le faire par rapport à mes ressources. Ça, c'est le point de départ. Parce que le SOC, c'est quelque chose, donc le SOC au sens Security Operations Center, en termes de détection, réponse, incident, c'est un métier à part entière. Ce n'est pas quelque chose qui peut être réalisé par la DSI, par les ingés de la DSI, parce qu'ils sont monopolisés par l'opérationnel. par des projets de refond, d'upgrade, etc. Et donc, si on n'a pas les ressources pour pouvoir, je vais dire, mettre en place une structure interne qui puisse assurer le maintien en condition opérationnelle d'un SOC, il faut plutôt se tourner vers quelque chose d'externe. D'accord ? À partir de là, au niveau des solutions externes, il existe deux types de solutions. C'est tout ce qui est plateforme, plateforme complète, éditeur, qui vont faire... de manière intégrée à un certain nombre de choses. Encore une fois, je n'ai pas cité de nom, mais des plateformes qui vont proposer de l'XDR pour pouvoir justement fédérer un ensemble d'événements et confronter ces événements à d'autres événements pour ne pas avoir une approche verticale d'un incident. Parce qu'un incident, par exemple, qui est remonté sur un ODR, comme tu le disais, au niveau des faux positifs, un ODR, c'est 99,999% de faux positifs, pour être très concret. Et donc, il faut reprendre cet incident et regarder quel a été son impact ou la phase initiale qui a généré cet incident sur un autre système. Donc la seule manière de voir ça, c'est d'avoir quelque chose de global, qu'on appelle maintenant XDR. Et au niveau des XDR, l'idée c'est de pouvoir corréler avec différents types d'indicateurs ces incidents pour justement éliminer ces faux positifs et cibler une activité malveillante. Donc là, le XDR va pouvoir fédérer tout ça. Maintenant, si on veut monter en gamme et avoir une vue à 360 degrés sans angle mort, le XDR n'est pas suffisant. Il faut introduire cette notion de couverture à 360 degrés puisqu'aujourd'hui, un XDR, en fin de compte, quand on regarde les solutions éditeurs, ça va être des collets qui seront très ciblés sur certains composants, mais ils ne vont pas collecter l'ensemble des composants du SI. Donc l'XDR va pouvoir remonter à un certain nombre d'incidents, mais pas les signaux faibles, d'une part, qui sont un officiateur d'attaque, parce que les XDR actuels, pour la plupart, vont s'appuyer sur des événements de sécurité issus des solutions de sécurité. Et donc ce qu'on sait, c'est qu'aujourd'hui, ces solutions de sécurité, donc si je prends le Firewall, un EDR, un antivirus, quelqu'un qui connaît son art, un cœur normal ou un bon consultant, il va être en mesure de... de contourner ces moyens de détection. Et nous, on le voit comment ? Aujourd'hui, on a des clients qui font des tests d'intrusion, de la retine. Donc la retine, c'est du test d'intrusion qui est un peu récurrent au niveau du système d'information. Et dans la plupart des cas, ce qu'on constate chez nos clients, c'est que ces équipes ne vont pas faire sonner l'antivirus, l'EDR ou le firewall. Ils ne vont pas déclencher les alarmes. qui sont normalement déclenchés par des attaques conventionnelles. Alors pourquoi ça ne déclenche pas ? C'est parce qu'ils connaissent les solutions et ils savent comment les contourner. Et aujourd'hui, la seule manière de pouvoir capter ces activités, c'est de mettre en place d'autres signaux qui vont être remontés à côté de ces solutions. Donc des événements de sécurité issus des systèmes, des serveurs de flux de firewall qui n'ont pas été remontés comme incident de sécurité, par exemple par le firewall, puisque le firewall est contournable. Et donc c'est la seule solution qui permet de faire ça, on va dire au niveau fonctionnel, ça s'appelle, c'est une SIEM concrètement, donc c'est un collecteur de logs, avec... Une nouvelle intelligence qui va offrir des indicateurs de détection qui vont être plus sophistiqués que ceux proposés de base par ces solutions, avec de l'IA qui va apprendre sur une fenêtre de temps, des systèmes qui vont évaluer des étapes d'activité. et si 100% des étapes ont été cochées, donc ça s'appelle une machine d'état pour les puristes, si ces étapes ont été cochées, il est passé par le firewall, il a téléchargé un fichier, etc. sur le serveur, ça, c'est des choses qui vont monter comme un incident de sécurité. Donc, tu vois, on est sur des éléments qui sont beaucoup plus fins en termes de détection. Et donc là, ce système SIEM, tu as bien compris que je pense que soit tu as l'équipe en interne qui est en mesure de le gérer complètement, soit tu fais appel à des experts qui vont être en mesure de le configurer et de le maintenir dans le temps par rapport à tes politiques.
Speaker #0
On y reviendra justement sur ce lien entre l'équipe interne et l'équipe externe. Mais je voulais revenir sur quelque chose que tu as cité tout à l'heure, tu as parlé de signaux faibles. Qu'entends-tu par toi, par signaux faibles ? Est-ce que tu as des exemples de signaux ?
Speaker #1
Alors j'ai des exemples de signaux. Et justement, je vais parler de techniques de contournement des systèmes actuels. Donc prenons par exemple un EDR qui est positionné sur un serveur en production. Et ce serveur de production est connecté à Internet et il a des accès web. Donc, c'est un serveur web qui délivre un service. Ce serveur web, il a une vulnérabilité qui n'a pas été patchée. Une vulnérabilité non patchée, c'est la plupart du temps lié au système ou lié à l'applicatif qui exécute le serveur web. Et aujourd'hui, bon nombre de systèmes d'information ont des vulnérabilités non patchées. Tu t'as cité des statistiques, moi je vais t'en citer une là. première, c'est qu'aujourd'hui, dans 90% des cas, ce qui est utilisé pour s'introduire sur un système d'information et le compromettre, c'est une vulnérabilité non patchée. Et ça, c'est une statistique qui existe depuis mes débuts en informatique.
Speaker #0
Oui, je te rejoins.
Speaker #1
Voilà. Et bien là, par exemple, le DR est sur le serveur, et puis j'ai l'assaillant qui est sur Internet, qui a vu que cette faille n'était pas patchée. Et il va exécuter la charge, il va exécuter une charge pour prendre la machine et avoir un accès de contrôle sur cette machine. D'accord ? Et bien, lorsque la charge est exécutée, l'EDR, lui, ne voit rien passer. Il ne va pas sonner parce qu'il n'est pas fait pour ça. Donc ça, c'est déjà beaucoup d'idées reçues de la part des clients qui utilisent un EDR. Et donc, à partir de là, la série 1, il y a plusieurs possibilités. soit ce qui l'intéresse c'est que le serveur et c'est dans 99% des cas c'est pas ça qui l'intéresse, ce qui l'intéresse c'est poursuivre son attaque et donc à partir de là il va télécharger une charge il va télécharger des outils sur la machine pour pouvoir récupérer de l'outillage pour progresser dans son attaque, d'accord, donc ça ça se fait pas le jour même, généralement cette attaque elle se fait on va dire le premier jour et puis il va revenir et c'est ce qu'on voit, il revient plusieurs jours après Merci. L'action ne se fait pas en temps réel. Ça, c'est aussi un problème pour les systèmes de détection actuels, parce que les systèmes de détection actuels sont sur des fenêtres temporelles qui sont très courtes, de l'ordre de la seconde ou quelques minutes. Et dès lors qu'on va avoir des activités qui sont diluées dans le temps, ça devient beaucoup plus difficile pour les systèmes de détecter cette activité. Alors d'une part parce que les systèmes éditeurs ont des temps de rétention qui sont assez faibles, quelques heures, quelques jours, voire... Les meilleurs, c'est 90 jours. Et donc l'assaillant va télécharger sa charge sur le serveur. Et bien là, par exemple, le téléchargement de la charge sur le serveur, si on a mis en place un contrôle de la zone d'hébergement du serveur, qu'on appelle DMZ en sécurité, pour Démilitarité, comment dire, zone, Militarizone, et bien il va télécharger quelque chose sur le serveur. Et bien là, par exemple, on a un point de contrôle qui permet de remonter un signe faible d'activité anormale. J'ai téléchargé quelque chose sur le serveur, alors qu'un serveur de production, logiquement, il n'est pas connecté à Internet pour faire du téléchargement. Donc ça, on va être en mesure, nous, de le détecter. Et à partir de là, cette détection va remonter comme activité anormale et on va pouvoir suivre le flux, qu'est-ce qui a été téléchargé, avec quel compte, par exemple, ça a été téléchargé. Et donc, le plus souvent, les comptes qui vont être compromis, c'est des comptes, on va dire, non nominatifs. Donc, c'est des comptes de service qui seront compromis, donc des comptes internes à la machine. Et quand on voit, par exemple, ce schéma d'activité, on est sûr que le serveur est compromis. Et donc là, on va détecter un signe faible. Les systèmes conventionnels, sur le téléchargement de la charge par exemple, et donc ça ne sera pas téléchargé dans des zones qui sont normalement couvertes par les EDR, parce que les assaillants le savent, ça ne va pas sonner. Et donc là, l'attaque se met en place, elle va avancer petit peu par petit peu au niveau du SI. Ça peut durer des semaines, des mois. Et grâce à ça, au bout d'un moment, on va avoir, une fois que l'assaillant ou le groupe mafieux a tout butiné sur le système d'information, on va avoir l'explosion de l'attaque. L'attaque, c'est juste pour dire ça y est, on t'a tout piqué. Ça peut être après un cryptolocage, des messages, etc. Voilà comment ça se passe. Et ça, c'est des signaux faibles qu'il faut absolument détecter. Et la seule manière de le détecter, c'est d'avoir un stock intelligent.
Speaker #0
Oui, et ça, comme par exemple en autre signaux faibles que je peux citer, l'accès inhabituel d'un employé en dehors des heures. Des heures ouvrées, du chiffrement progressif de fichiers, d'un contenu autorisé, des petites choses que, comme tu dis, l'antivirus de base, l'EDR, ne va pas détecter. Parce que lui, il va juste détecter qu'il y a un virus.
Speaker #1
Absolument. Et l'écueil aussi sur les EDR, puisqu'on a quasiment tous nos clients ont des EDR aujourd'hui. L'écueil des EDR, c'est qu'un EDR, c'est quelque chose de nécessaire pour aujourd'hui dans le monde dans lequel on est. Mais les éditeurs font croire que les EDR, on n'a pas besoin de les configurer. D'accord ? Oui. Pour déclencher l'achat, etc. Alors qu'un EDR, ça contient plusieurs milliers de règles de détection. Et l'EDR, il n'est pas en mode bloquant lorsqu'il est déployé par défaut. D'accord ? Donc, ça veut dire que l'activité va remonter en information. Alors, bien sûr, un virus, il sera bloqué. Parce que là, il n'y a pas de question de poser. Une activité malveillante, par exemple, sur un périmètre serveur, c'est quelque chose qu'il faut configurer pour rendre efficace l'ODR. D'accord ? Et donc ça, aujourd'hui, le message que je passe à tous mes clients, c'est que l'ODR, pour le configurer, il faut avoir une maîtrise et une expertise en sécurité. Parce que sinon, on a un ODR qui ne sert pas à grand-chose. Et donc, je reviens sur la meilleure configuration, avoir une meilleure configuration de son ici. Ça, c'est un point important qu'il faut absolument porter auprès des sociétés. parce qu'aujourd'hui, elles ont une méconnaissance du niveau de configuration possible dans leur solution. Moi, j'ai déjà eu des clients qui m'ont remonté le fait qu'ils voulaient changer de solution parce qu'elle n'était pas bonne. Elle ne faisait pas ceci, elle ne faisait pas cela. Mais moi, je leur ai dit qu'elles ne faisaient pas ceci et pas cela parce qu'elles n'étaient pas configurées.
Speaker #0
C'est hyper important ce que tu dis et c'est aussi, pour moi, le message à faire passer, c'est que choisissez bien vos partenaires. Parce que sur ces... Et de ce côté-là, les teams vendent beaucoup de l'EDR. Ils sont associés avec différents teams d'EDR qui sont tous plus ou moins bons. Pour moi,
Speaker #1
il n'y a pas de problème de ce côté-là. Aujourd'hui, ce sont des solutions qui sont abouties. Tous les éditeurs se tirent la bourre. On n'a que de bonnes solutions.
Speaker #0
Après ce que tu dis, c'est le paramétrage et surtout le suivi.
Speaker #1
Et puis le partenaire, comme tu disais. Aujourd'hui, il y a beaucoup de clients qui sont infogérés et ils vont mettre toute la partie sécurité, détection et contrôle et réponse chez leur infogéreur. Ça, c'est une vraie erreur. Je veux dire, il faut séparer. On ne peut pas être jugé parti en tout cas sur cette partie-là. Et donc, il faut absolument séparer cette activité. pour justement avoir une vue neutre sur comment sont faites les implémentations, est-ce que les politiques sur le monde sont bonnes. Parce que concrètement, plus on améliore son niveau d'exposition au risque, plus ça nécessite un maintien en condition opérationnelle, je veux dire dans le temps, sans interruption. Alors, je ne dis pas qu'il faut une personne à plein temps tout le temps, mais ça nécessite peut-être une, deux, trois, quatre heures par semaine de tuning. pour justement pas avoir une dérive de sa configuration. Et donc ça, ça ne peut que venir par un partenaire de confiance, pour le coup.
Speaker #0
Et justement, pour revenir un peu sur la mise en place de tout ça, je sais qu'on l'avait changé pour préparer, vous, vous utilisez le cycle d'amélioration continue, le PIDCA, le Plan d'Outrage Act. Moi, j'y crois à ces choses-là. Et pourquoi, toi, c'est crucial pour arriver à un SOC managé ? Comment ça se traduit concrètement dans votre démarche, dans votre méthode ?
Speaker #1
Alors, moi, je suis convaincu du PDCA depuis de nombreuses années. Pour atteindre un objectif complexe, on peut cueillir par étapes avec des modes itératifs. Pourquoi ? Parce que concrètement, les systèmes d'information client, il y a avant tout de l'humain dessus. Et par rapport à cet humain qui est dessus, on ne peut pas faire n'importe quoi au niveau du business, au niveau de la gestion du changement. Je l'ai dit en introduction tout à l'heure, il faut absolument marcher avec les métiers, marcher avec les utilisateurs, parce que si ça ne fonctionne pas bien, de toutes les manières, in fine, la direction générale tranchera en disant, vous diminuez le niveau de sécurité parce qu'on ne peut pas travailler. Donc le PDCA est obligatoire, avec une mise en visibilité des bénéfices pour les métiers, quels qu'ils soient. Et puis après, de dire, voilà, la prochaine étape, c'est ça, on est d'accord et on y va. Donc, c'est pour ça que le PDCA est essentiel. Sur la mise en place du SOC, nous, aujourd'hui, on a cette approche, puisque je pense que c'est la seule qui est possible, avec une cartographie complète au niveau de la build, de l'état du système d'information. Donc, on produit un rapport d'audit et d'étonnement avant de rentrer en run. Et à partir de là, on valide avec notre client les étapes. que l'on va mettre en place avec lui pour améliorer sa surface d'attaque. Avec des quick wins, donc les quick wins, le plus souvent, c'est de l'amélioration qui n'aura pas d'impact pour ses collaborateurs, ses métiers, d'accord ? Avec une augmentation significative de sa sécurité. Et puis, progressivement, on va épurer comme ça le plan d'action avec des actions qui sont un peu plus, comment dire, qui nécessitent un peu plus de gestion du changement côté collaborateurs. Et ça, on l'accompagne et c'est aussi une valeur ajoutée. de Zero Trust dans la mise en place d'un SOC. Ça, on l'accompagne avec cette identification des étapes et aussi quels vont être les changements que va devoir faire le client en termes de communication, etc. Même des formations auprès de ses collaborateurs. Et donc ça, c'est vraiment accompagné par Zero Trust.
Speaker #0
Oui, et moi, je crois en cette démarche-là. Tu l'as insisté plusieurs fois, c'est l'accompagnement, la mise en place avec les métiers. Parce qu'il va falloir trouver aussi le bon compromis sécurité et métier. Et aussi,
Speaker #1
pour moi,
Speaker #0
de ne pas faire cette étape d'état des lieux initial, d'audit. Et si on ne la fait pas, on ne sait pas déjà contre quoi on va se battre. On ne sait pas quelle est notre surface d'attaque. On ne sait pas où on en est et on ne sait pas quelles vont être les priorités. Donc, avant de déployer toutes les technologies qu'on a parlé avant, Il va falloir savoir où on en est, il va falloir après les configurer, mettre les bonnes règles, etc. Pour après continuer à vérifier et ajuster au fur et à mesure du temps.
Speaker #1
C'est pour ça que, si tu veux, par rapport à ZeroTross, quand on met en place un socle, et donc ça c'est du vécu, on est obligé d'avoir ces audits. Donc là, plus souvent, ils sont automatisés. Donc c'est aussi un bénéfice pour le client, c'est très rapide. pour justement dire au client, voilà où on en est, et voilà où on voudrait aller, et voilà les étapes. Et ça, ça introduit la confiance, parce qu'on a une feuille de route partagée. Le client n'est pas seul. Quand on a beaucoup de trucs qui sont mis en place et il n'y a pas eu de ce traitement, le client est seul, il ne comprend pas ce qui se passe. Il reçoit plein d'incidents, il ne sait même pas comment les traiter. Nous, aujourd'hui, par exemple, on forme nos clients avant de rentrer en run sur le top 10 des incidents qu'ils vont devoir traiter en termes d'enquête. et on les forme sur le questionnement à avoir au niveau des supports utilisateurs auprès des collaborateurs on les forme sur des périmètres où on n'a pas de remédiation automatisée parce que ce n'est pas possible sur certains périmètres on les forme à mettre en place avec Zero Trust les meilleures pratiques et
Speaker #0
le plus rapidement possible la remédiation ce qui montre en fait que vous êtes en train de faire monter en maturité le client sur ces sujets là et pour qu'il soit acteur aussi, parce qu'on sait très bien qu'on a besoin des utilisateurs quand on fait la sécu. Donc, ce qui est important, c'est que pour moi, vous le faites monter en maturité via des formations, via pas mal de choses. Puis, vous allez aussi justement mettre en place tout un tas de choses autour de la sécu.
Speaker #1
Oui. On n'est pas que centré sur l'incident. On est centré sur la diminution de la surface d'attaque, donc l'amélioration de ces configurations à décluer, que les collaborateurs qui interviennent soient le mieux formés possible, parce qu'on a vraiment une approche gagnant-gagnant avec nos clients. Mon objectif, et l'objectif avant tout de tous mes clients, c'est de ne pas avoir d'incident de sécurité, d'une crise. Et donc ça, c'est vraiment partagé. Et je peux te dire que, par exemple, quand il y a... on fait des revues internes sur des incidents qui n'ont pas fait de retour, donc de manière quotidienne au niveau de nos clients, avec une escalade de ces incidents jusqu'à mon niveau si vraiment c'est nécessaire, et bien moi je prends mon téléphone et je téléphone au DSI de la société pour lui dire, attention cet incident là, il faut absolument avoir une enquête de proximité rapide pour qu'on puisse conclure sur le fait qu'on n'est pas devant un vrai positif, et donc ça c'est aussi apprécié par nos clients. Ce service,
Speaker #0
justement, comment ça se passe de relation communication ? Parce que finalement, elle est au quotidien avec les équipes internes. Oui. Comment ça se passe ? Comment ça se concrétise ? Or, alerte de sécurité ?
Speaker #1
Alors, au niveau du processus interne, il y a des réunions régulières justement pour revoir les tickets. Les collaborateurs, donc analystes. ne sont jamais seuls pour traiter un ticket. Donc, ils maîtrisent bien sûr leur sujet. Mais dès lors qu'ils ont un doute sur un incident, ils peuvent le partager avec l'ensemble des analystes pour avoir un avis collectif. Donc, ça, c'est aussi un point important. Et donc, ça peut remonter jusqu'à mon niveau sur certains tickets. Et comment ça remonte à mon niveau ? C'est par rapport aux SLA. Donc, on a des SLA pour nos clients et par rapport à des tickets qui n'ont pas fait de retour. Donc avec un envoi, l'envoi d'un vrai positif, donc un vrai incident chez un client, logiquement, on doit avoir un retour sous une ou deux heures. Si on n'a pas de retour, on monte en alerte. Et donc là-dessus, si tu veux, on a mis en place justement ces escalades internes qui permettent d'être au plus près du client et pas avoir un incident. Et ça, moi, je l'ai vécu quand j'étais chez SFR, pas avoir un incident qui a été remonté à 17 heures au niveau de nos systèmes, qui a été investigué et transmis au client à 17h15. Et à 18h, on n'a pas eu de retour. Et puis, on n'aura pas de retour pendant la nuit parce que le client n'a pas été averti, etc. Et tu arrives le matin, le client te remonte le matin. Ah bah, on a eu une attaque, on ne comprend pas, etc. Alors que l'incident, il était visible depuis 17h. Donc ça, on a mis en place des contrôles. Et un des contrôles très simple, ce n'est pas de ticket sans retour vrai positif lorsqu'on a des clients qui sont à chaud. Si on n'a pas de retour, on fait une escalade. D'accord,
Speaker #0
donc comme tu dis, et des moments rituels avec des comités réguliers, et après en cas d'alerte, des échanges avec le client pour traiter.
Speaker #1
Un des constats que j'ai eu quand j'avais du soc sous responsabilité, c'est que les analystes étaient seuls. En fin de compte, un analyste était tout seul, même s'il y avait peut-être 50, chez l'opérateur ils étaient à peu près 50. Donc ils étaient seuls, ils traitaient un incident, ils étaient seuls, et jamais ils faisaient appel à la communauté pour aider sur un cas particulier, parce que c'est tellement complexe qu'aujourd'hui, c'est bien d'avoir une expertise externe, un oeil externe. Tu sais, c'est comme quand tu relis un texte que tu as fait, même si tu te dis « Ah, mon texte, il est vachement bien » , tu peux avoir une grosse faute d'orthographe en plein milieu, et tu ne vas pas t'en rendre compte. Là, c'est le même cas qu'on applique dans le traitement des incidents. Ok,
Speaker #0
et justement... Dans ce que tu peux voir, dans toutes les mises en place, dans tout ce que tu peux observer, quelles sont les erreurs les plus courantes que tu peux observer chez des organisations qui démarrent un SOC sans accompagnement ?
Speaker #1
Alors, je reprends ce que j'ai dit en introduction, c'est déjà partir sur le mauvais choix. Donc, choisir un stock interne alors qu'on n'a pas la capacité financière juste pour maintenir les humains en interne. Oui, c'est clair. Voilà, donc ça, c'est la première erreur, par exemple. Ou alors de croire que mes internes actuelles au niveau de la DSI, qui sont surbookées sur les projets, pourront aussi traiter les incidents. Ce n'est pas possible. Ça ne fonctionne pas, ça. Ça ne fonctionne pas. Donc, ça, c'est la première erreur. La deuxième erreur, c'est partir sur une mauvaise piste. Donc, c'est de partir d'abord sur l'amélioration complète de ces remparts avant que ce souci, mes remparts, ils prenaient le haut avant. Parce que ça, ces projets-là, j'ai des clients qui vont, pour l'instant, ils sont en attente, mais ils vont avoir des projets sur deux ans avant de mettre en place le socle. C'est dramatique parce que pendant ces deux ans, ils ne sont pas du tout sous contrôle de la surface d'attaque. Donc ça, c'est une deuxième erreur. C'est une désignement à ne pas commettre. Et la troisième, c'est de partir sur un projet technologique. Partir sur un projet technologique, c'est une grave erreur. Parce que c'est sûr qu'on va avoir un problème, soit un problème de couverture, c'est-à-dire qu'on n'aura pas évalué complètement sa surface d'attaque, comme tu disais, et il y aura des trous dans la raquette, donc des angles morts. Soit aussi, et là par rapport à la solution technologique, C'est d'avoir des solutions technologiques qui paraissent vachement intéressantes, super sympas à l'œil sur Internet, avec des commerciaux super sympas qui vous disent qu'il n'y a rien à faire, etc. Avec des coûts de licence qui sont sous-évalués. C'est-à-dire qu'aujourd'hui, toutes les solutions SIEM, qui est le point de départ d'ASSOC, toutes les solutions SIEM, elles sont au niveau de la licence sur le nombre d'événements qui vont être ingérés ou le volume ingéré par la SIEM. Et aujourd'hui, ces volumes-là sont toujours sous-évalués. Et moi, j'ai vu des clients qui m'ont dit, « Monsieur Costa, moi, aujourd'hui, j'ai un SOC, mais je ne peux me payer que un quart de la couverture de mon système d'information. »
Speaker #0
Oui.
Speaker #1
Tu vois ? Et ça, ça fait mal au cœur. Ben oui, non, mais ça fait mal au cœur. Ça fait mal au cœur. Et donc, ça, c'est les erreurs à ne pas commettre. Donc, il faut prendre un peu de hauteur, prendre un tout petit peu de temps, et puis bien identifier dans quel cas se trouve, le client. Nous, on peut aider. donc on a aidé des clients dans des phases d'appel d'offres en restant neutre parce que j'ai un discours qui est assez neutre dans l'analyse d'une situation et vis-à-vis de ça le client il était déjà dans le mur lu juste quand il lançait l'appel d'offres il était déjà dans le mur parce
Speaker #0
qu'en fin de compte il savait pas ce qu'il voulait c'est ce que tu dis c'est ce que moi ce que j'ai pu ce que je peux voir dans les erreurs les plus courantes c'est ce côté c'est pas un projet technique ça c'est clair les règles et Il met des règles trop tôt, il a plein d'alertes, il ne sait pas comment faire, il ne peut pas... L'absence aussi de priorisation. Il faut traiter d'abord les risques critiques. Tu peux y avoir aussi tout ce qui est autour de l'accompagnement des équipes, que ce soit interne ou autre, avec une culture cyber. Et puis aussi, moi, ce que j'ai, des manques de plans de réponse.
Speaker #1
Oui, ça, 100% des cas.
Speaker #0
J'aime bien faire le rapport avec le milieu sportif et moi, par exemple, le basket, où tu avais des playbooks avec tous les systèmes. C'est pareil, il faut les avoir. En cas de ransomware, par exemple, voilà ce que tu dois faire et comment ça va se passer.
Speaker #1
Exactement. Et nous, ça, on le fait en amont. On le fait en amont dans le build et après, ça entretenu dans le run. Les playbooks et puis la gestion de crise, elle est abortée par le SOC.
Speaker #0
Et justement, 76% des entreprises ne testent pas. pas leur plan de réponse aux incidents, au moins une fois par an. Ça aussi, pour moi, c'est toujours flagrant. Je pense que toi aussi, tu l'as vu. On va parler du cas, par exemple, des sauvegardes, où le client dit, oui, j'ai mes sauvegardes, tout va bien. Oui, mais quand tu vas voir, les logs, il y a des alertes de partout. Les sauvegardes, ça fait 2, 3, 4, 5 mois, et je n'exagère pas qu'elles ne sont plus faites. Et donc, il aurait pu le voir s'il y a eu des tests. réguliers, on va dire, de restauration de ses serveurs. Moi, je trouve que c'est... On en revient au dire à choisir les bons partenaires et aussi à savoir ce que vous payez. Parce que vous pouvez... Il vous dit, oui, je vous vends la sauvegarde, mais ni plus ni moins, elle n'est pas surveillée. Ça ne sert strictement à rien pour moi.
Speaker #1
Et c'est vrai sur les outils SIEM, etc. Aujourd'hui, un des points importants, ce que tu disais sur la partie test, nous, aujourd'hui, notre SOC, il a plusieurs environnements. Il a un environnement de dev, un environnement de recettes, un environnement de pré-prod et prod. Et donc, on n'a pas qu'un environnement pour nos clients. Et donc, ça permet de tester justement ce qui est mis en place et de ne pas avoir de régression. par rapport à des implémentations. Et ce que tu disais là sur le test, par exemple, on va avoir des clients qui vont nous dire, moi j'ai mis en place sur Office 365 telle configuration, telle sécurité. Alors, il l'a mis en place effectivement il y a 12 mois, avant l'arrivée du sol, mais quand on regarde qu'est-ce qu'il en reste, il y a eu tellement de modifications au niveau de la configuration du tenant que la politique n'est plus du tout active. Donc il a une surface d'attaque qui a été décuplée, et bien ça, c'est pas normal. Il faut absolument mettre ça sous contrôle. Et donc aujourd'hui, nous, on contrôle cette partie-là en termes de dérive, par exemple.
Speaker #0
On arrive tout doucement à la fin de l'épisode. J'ai encore quelques questions pour toi. Quelles sont les premières mesures rapides qu'une PME sans SOC peut déployer rapidement pour améliorer sa détection ?
Speaker #1
Pour améliorer sa détection ? Je mettrais juste un préambule juste avant. C'est de mettre en place déjà quelques principes de base. qui est d'avoir une meilleure gestion de ses comptes d'admin avec des revues, ça c'est super important, des revues de comptes et avoir la partie path management activée sur son système d'information. Ça c'est le point de départ que je lui dis de faire. Et ensuite pour la mise en place d'une évaluation de sa sécurité sans SOC, c'est d'utiliser au mieux ses consoles, d'utiliser au mieux ses consoles d'admin. qui intègre des dashboards sécurité pour pouvoir avoir une vue sur sa surface d'attaque et sur l'activité qu'il a de normale sur son système d'information. Ça veut dire que c'est de se connecter de manière quotidienne sur son tableau de bord Firewall voir qu'il a telle activité de sortie, telle activité d'entrée. Moi, je dis à mes clients, jouez au jeu des 7 erreurs. Quand vous voyez un pic violent sur 4 heures alors que sur les autres jours, on ne les a jamais vus. c'est intéressant quand même de regarder ce qui s'est passé. Juste avec cette hygiène-là, ça permet déjà de mettre en place un premier contrôle. Et il va s'apercevoir de quoi en mettant en place ce contrôle ? C'est qu'il améliore bien sûr sa surface d'attaque, mais que pris un à un, chaque indicateur, en termes de compréhension, c'est assez complexe. Et il va se rendre compte qu'assez rapidement, il va devoir avoir quelque chose d'un peu plus corrélé pour justement avoir une analyse beaucoup plus fine. Et donc, progressivement, il va se rendre compte qu'il a besoin d'une aide, soit en interne, soit en externe, avec un outillage adapté.
Speaker #0
Oui, je te rejoins sur qu'il va avoir besoin d'aide. Mais moi, je pense que ce qui est important sur le dirigeant, c'est aussi qu'il sait qu'il a mis en place des outils, parce qu'en général, ils le savent. Peut-être qu'il commence à demander quelques indicateurs qu'il peut avoir sur son système d'information. à l'interne ou à l'externe pour voir aussi... Ça permet aussi déjà de se dire j'ai des outils, je surveille un petit peu même s'il y a peut-être quelques indicateurs simples à mettre en place. Peut-être que tu peux nous en citer quelques-uns.
Speaker #1
Oui, alors je vais t'en citer pour la gouvernance de direction générale. Le premier indicateur que moi je demande quand je suis à la direction générale, c'est d'avoir un indicateur sur la surface d'exposition Internet pour pouvoir l'avoir. pour pouvoir l'obtenir, il faut mettre en place un scan de vulnérabilité avec une plateforme qui fait du scan de vulnérabilité. Donc là, comme ça, on peut comparer mois par mois ou de manière hebdomadaire son exposition et la direction générale voit qu'il a une vulnérabilité, par exemple, majeure, non patchée. Donc ça, ça permet justement de dire, mon infogéreur, il doit patcher cette partie-là. Le deuxième indicateur que je préconise sur la surface d'attaque, c'est ce que je te dis sur la partie patch. Donc c'est avoir un suivi des patchs. sur l'ensemble des systèmes Windows et Linux en priorité avec la fraîcheur des patches qui ont été appliqués. Par exemple, si j'ai des patches de sécurité qui n'ont pas été appliquées depuis un mois, ça devient problématique quand c'est des patches majeurs. Et encore plus problématique si c'est exposé. Et le troisième, c'est un indicateur sur la partie antivirale. C'est la couverture antivirale de son système d'information. Comme tu disais tout à l'heure, Moi, j'ai vu trop souvent des parts, par exemple, avec 400 machines, enfin 400, oui, 400 machines, postes de travail et serveurs, où j'avais 50 systèmes où l'antivirus n'était plus à jour depuis plusieurs mois. Et donc ça, ce n'est pas normal. Il faut que ça soit indiscipliné de la direction générale.
Speaker #0
Puis même, moi, j'ai vu des cas où tu allais sur un parc, et quand tu faisais ton audit, tu voyais qu'il y avait 100 postes de travail, mais il n'y en avait que 50 qui avaient l'antivirus.
Speaker #1
Ah oui, voilà ! Oui,
Speaker #0
bien sûr. C'est juste de la mise à jour, mais c'est encore pire. J'ai Vincent, je pense,
Speaker #1
qui aime ça. C'est encore pire, ouais. Oui,
Speaker #0
parce que, pas parce qu'on lui avait pas dit qu'il avait plus de licence, ou après, il y a tout un tas de raisons, bref, qui sont pour moi pas les bonnes, mais si au moins déjà il a cet indicateur de se dire en amont déjà, peut-être avoir une politique d'inventaire de son parc et de savoir combien il a de postes, et après de pouvoir se dire, j'ai 50 postes, j'ai bien 50 licences, c'est 50 postes protégés, et après l'autre indicateur, j'ai bien 50 postes à jour.
Speaker #1
Je suis absolument d'accord avec toi Nicolas, et c'est des indicateurs où tu n'as pas besoin de monsieur sécurité pour les obtenir. Les 6, c'est les remontées. C'est aussi un intérêt.
Speaker #0
Et la DSI, qu'elle soit en interne ou en externe. Pour moi, le prestataire doit connaître son parc, doit savoir ce qu'il a sur le parc, et derrière, il doit savoir que tout est bien déployé et sous contrôle.
Speaker #1
Effectivement, sur un projet, quand on a un infogéreur, ça doit être intégré dans les contrats, avec une présentation en comité informatique de ses indicateurs. Ça, c'est obligatoire, je suis d'accord. Très bonne revue,
Speaker #0
Jean-Colomb. Oui, celle-ci, ça me dresse encore les poils. Parce que c'est des cas vécus.
Speaker #1
On le sent bien.
Speaker #0
Justement, pour un dirigeant d'une PME, comment un SOC managé, au-delà de la sécurité, renforce la résilience économique et la confiance des clients et partenaires ? Parce que c'est bien de mettre un SOC, mais il faut quand même qu'il y ait des avantages derrière.
Speaker #1
Je vais parler de deux avantages. Donc, avantages concurrentiels dans tout ce qui est B2B. Pour le coup, B2B, c'est des sociétés qui font du business croisé entre elles. Parce qu'aujourd'hui, le SOC, ça devient quelque chose d'obligatoire dans les contrats. Quand, par exemple, je veux souscrire un contrat dans telle société pour apporter un service, on va me demander, avec du service informatique, est-ce que vous avez un SOC au niveau du plan d'assurance sécurité ? Généralement, les contrats actuels, on a le contrat plus un plan d'assurance sécurité qui dit comment le partenaire traite sa sécurité. Donc ça, c'est le premier levier, un levier économique pour se différencier quand on est shortlisté. Le deuxième levier économique qu'on voit actuellement, c'est sur les assurances cybersécurité. Donc ça, c'est un point important. Aujourd'hui, il y a beaucoup d'assureurs qui ne font plus d'assurance cyber si la société n'a pas un SOC, parce qu'elles ne veulent pas assumer les risques complets. Et donc, elles vont demander à avoir un SOC. avant de mettre en place une assurance cyber. Ou même conserver une assurance cyber. Moi, j'ai vu des clients, ils viennent nous voir parce que l'assurance, elle était bonne, il y a N-1. Et là, pour le N, il faut un SOC. Ils viennent rechercher un SOC. Donc ça, c'est une vraie avance technologique. Et puis après, pour tout ce qui est certification, dans la plupart des certifications, le SOC est une évidence. L'ISO 27001. Nice 2, aujourd'hui tous mes clients me disent je vais attendre de voir ce que dit Nice 2 pour voir si j'ai besoin d'un socle. Je leur dis, écoutez, vous êtes obligés de signaler en moins de 72 heures un incident de sécurité dans le cadre de Nice 2. Pour signaler un incident de sécurité, il faut être en mesure de le détecter. Donc la question c'est, est-ce que vous êtes en mesure de détecter un incident de sécurité ? La réponse est non. Là c'est une évidence.
Speaker #0
Oui, mais non, mais ça c'est clair. Avec l'arrivée de Nice 2, alors beaucoup ne se sentent pas concernés. Mais ils le sont, ils peuvent l'être indirectement. Parce qu'il suffit d'un client qui soit éligible.
Speaker #1
Absolument.
Speaker #0
Il faut que tu le sois obligatoirement. Absolument. Moi, de notre côté, on n'est pas éligible à Nice 2 quand tu vas faire le test sur le site du gouvernement. Mais par contre, nos clients le sont.
Speaker #1
Bien sûr, et si tu travailles avec un client Nice 2, tu es obligé d'afficher patte blanche sur certains critères.
Speaker #0
Non, mais c'est en phase.
Speaker #1
Pour finir,
Speaker #0
j'ai mes deux questions habituelles. Est-ce que tu aurais un livre, un podcast, une série, un film que tu me conseillerais qui soit en lien avec ces enjeux de détection et de réponse ou toute autre chose ?
Speaker #1
Je pourrais conseiller des livres en littérature, si tu veux. Oui. Mais en cybersécurité, je vais dire, il ne faut pas être dogmatique, il ne faut pas être sur un seul pilier. Il faut vraiment avoir une vue complète. des sujets. Par exemple, ce qui remonte aux rapports du FDA, etc., où l'ANSI, c'est des choses qui sont super intéressantes à regarder. Si j'avais un élément, un site à donner, et non pas un livre, un site à donner, moi, je trouve que l'ANSI a fait beaucoup, beaucoup, beaucoup de progrès depuis Poupard. Et par rapport à ça, il y a... énormément de best practices, de recommandations qui sont absolument intégrées au niveau de l'ANSI et je pense que c'est un bon site.
Speaker #0
Oui,
Speaker #1
j'adore toujours regarder ou lire le panorama. Voilà, un bon site. L'ACNIL, ça peut être un site aussi pour les RSSI qui veulent avoir des leviers d'argumentaire, parce que l'ACNIL remonte pas mal de news qui sont intéressantes, pour le coup, plus des exigences qui sont aussi à prendre en compte. Et je pense que l'ACNIL est aussi un bon site. Et c'est vraiment amélioré année après année. Voilà.
Speaker #0
Top, je le mettrais bien en lien, mais je te rejoins le site de l'ANSI et le site de l'ACNIL. On peut même, si tu veux descendre encore d'un cran, aller sur le site de cybermalveillance.gouv. Il y amène beaucoup d'éléments pour la sensibilisation utilisateur et du grand public. Je pense que, comme tu le dis, depuis quelques années, depuis Guillaume Poupard, on a quand même bien passé un level sur ce niveau-là. Dernière petite question, qui recommanderais-tu comme prochain invité pour DSI et D-Zone ?
Speaker #1
Alors, je n'ai pas de nom à te donner maintenant. On en a discuté avec Isabelle. Et donc, je pense qu'on a un DSI qui a fait la presse il y a deux ans, pour le coup, qui est reconnu dans son domaine. Alors, je ne vais pas donner son nom, mais déjà ça, ça doit être doté des éléments. un DSI et donc là-dessus je pense que on va on va le contacter puisqu'on se connait bien et on va faire en sorte de vous mettre en relation allez top super c'est gentil je te remercie bon suspense pour les auditeurs alors pour conclure qu'est-ce que tu pourrais donner comme pour conclure résumer rapide en quelques mots pour résumer ce que je pourrais conclure c'est c'est important d'avoir une visibilité de sa surface d'attaque Merci. avant, pendant les projets d'amélioration en cybersécurité que souhaite mener une société. Donc ça, c'est vraiment un point de départ. Avoir un partenaire de confiance, c'est un point important. Qu'il ne soit pas jugé parti, pour le coup, sur cette partie-là. Et technologiquement, avec des solutions qui apportent une vraie valeur. Et pas simplement comme tout le monde. C'est ce que je dirais.
Speaker #0
Je te rejoins sur ça. C'est vrai que moi, ce que je peux dire, c'est que n'attendez pas que vous soyez...
Speaker #1
Exactement.
Speaker #0
Même si vous êtes une PME, c'est vu comme une assurance aussi. Mais bon, moi, j'ai toujours tendance à dire à mes clients, amis, prospects, peu importe, c'est que vous allez être un jour attaqués. ça c'est sûr mais vous en savez pas la puissance donc donc autant s'y préparer autant pouvoir le détecter au plus tôt parce que plus vous allez le détecter plus vous allez baisser la force de cette attaque et donc plus vous allez être résignants et pour moi c'est ce côté là qui est important et puis tu l'as bien dit choisissez le bon partenaire et ça le
Speaker #1
bon partenaire et le bon scénario de projet comme je l'ai dit un bon scénario de projet pas pas prendre un projet interne alors que je n'ai pas les ressources, les moyens pour le mener jusqu'au mid.
Speaker #0
Oui, c'est clair. Merci infiniment Frédéric pour ce bonheur hyper complet du SOC Managy. C'était top. Pour celles et ceux qui écoutent, n'oubliez pas de nous suivre, de partager et de nous évaluer. A très vite pour un prochain épisode de Décider des Hommes.