- Speaker #0
« Bonjour mamie, j'ai ramené un copain. » Bonsoir et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Alors il y a des grands défis en cybersécurité et l'un des défis dont j'ai déjà parlé dans des épisodes précédents, c'est d'essayer d'avoir un maximum d'informations sur son système d'information, parce que sans ces informations, c'est difficile de pouvoir implémenter des contrôles, investiguer et vraiment faire son boulot correctement. Et l'un des éléments hyper importants, c'est d'avoir une cartographie, et justement c'est le sujet de cet épisode. Et aujourd'hui, j'ai l'honneur et l'avantage d'accueillir Didier Barzin, qui est l'auteur et le principal contributeur finalement du projet Mercator. Et il va passer un petit peu de temps avec nous pour nous expliquer le but de ce projet, pourquoi il l'a lancé, quel est le but aussi, pour quoi l'utiliser, dans quel contexte. Alors Didier, est-ce que tu veux bien d'abord te présenter ?
- Speaker #1
Ah oui, bonjour Nicolas, je m'appelle Didier Barzin, je suis RSSI dans un établissement hospitalier à Luxembourg.
- Speaker #0
Et donc, parce que RSSI dans un hôpital à Luxembourg, sachant que les hôpitaux sont quand même assez targetés, donc ça doit être un sacré challenge quand même, hein ?
- Speaker #1
Je ne pense pas que les établissements soient plus targetés que les autres. Ils sont une cible, comme d'autres cibles, et ils ont une sensibilité plus importante. On peut difficilement arrêter un hôpital une demi-heure pour patcher, pour mettre à jour. Donc à ce niveau-là, on est plus sensible, je dirais, mais on n'est pas spécifiquement plus une cible.
- Speaker #2
Je voulais pas mourir, je fais les urgences.
- Speaker #3
On a besoin d'un bilan complet. COAG, Chimie, Yono. On est en train de perdre là. Allez, on passe au bloc. On y va,
- Speaker #2
J'ai attendu 20 minutes. Il y avait un mec bourré qui s'était pété l'arcade. Il était bourré parce qu'il arrêtait pas de répéter. J'ai pas de vrai, moi ! Il y avait une vieille qui arrêtait pas de gémir. Un mec bizarre s'est approché et m'a dit...
- Speaker #3
J'ai un bébé mort dans le ventre.
- Speaker #2
J'ai dit...
- Speaker #0
D'accord.
- Speaker #2
Il m'a proposé du chocolat. J'ai dit... Non, merci. Après, il a chanté. Du chocolat... Personne ne s'occupait de moi, ça faisait 45 minutes, je me suis bien paniqué. Eh, il n'y a personne qui s'occupe de moi là ?
- Speaker #4
Qu'est-ce qui se passe ?
- Speaker #2
J'ai une arête coincée dans la gorge.
- Speaker #4
Ok, moi j'ai un enfant de 8 ans qui vient de tomber du 8ème étage. On fait quoi ?
- Speaker #2
Occupez-vous de lui.
- Speaker #0
D'accord, ok parfait. Alors, pour rentrer un petit peu dans le vif du sujet, donc tu es l'auteur de Mercator, donc on va en parler dans le détail, mais la première question que j'ai envie de te poser c'est pourquoi tu t'es lancé dans ce projet et pourquoi Mercator ?
- Speaker #1
Mercato vient d'un besoin personnel que j'avais suite au guide de la cartographie du système d'information de l'ANSI. J'avais lu ce guide et j'avais trouvé ça, mais c'est fantastique, c'est exactement ce que j'ai besoin. Il n'y avait pas d'implémentation en ce moment-là et j'étais très déçu. Je m'étais imaginé à un moment de faire ça dans des fiches Excel et je me suis rendu compte que ce n'était pas possible. Le modèle de données était trop compliqué à maintenir, à suivre. Je voulais générer des schémas, faire du reporting. Et donc j'étais très embêté de ça. Et puis la crise du Covid est arrivée. Et je travaillais à l'hôpital. Tous les projets informatiques se sont arrêtés. Et on a demandé aux gens qui n'étaient pas strictement nécessaires au fonctionnement de l'hôpital de ne pas venir.
- Speaker #5
Moi j'ai bien vécu le confinement parce que je suis intermittent du spectacle. Du coup j'étais rémunéré pendant cette période. Sauf que la journée pour m'occuper je jouais au foot. Du coup, j'ai été payé pour jouer au foot. D'une certaine façon, je suis un peu devenu footballeur professionnel.
- Speaker #1
Donc voilà, à ce moment, je me suis retrouvé avec du temps libre. Et c'est comme ça que je me suis lancé dans ce projet, un par un besoin, et puis soudainement par un temps libre qui était disponible.
- Speaker #0
Alors certains ont appris à jouer de la guitare pendant le Covid. Toi, tu as écrit un logiciel, pourquoi pas ? Est-ce que tu peux nous expliquer un petit peu les grands concepts de ton outil, à quoi il sert, les grandes fonctionnalités ? C'est ça.
- Speaker #1
Nos systèmes d'information deviennent de plus en plus complexes. Et il n'est pas rare d'avoir dans une organisation plusieurs centaines d'applications, plusieurs centaines de machines virtuelles, une équipe d'une trentaine de personnes, et il n'y a plus dans l'équipe une personne qui sait tout, qui connaît tout. qu'on peut appeler « ok, il y a un problème » . Le savoir est dispersé, diffusé dans la tête de différentes personnes, perdu dans des mails, dans des documents. Et au moment où on a un problème, on doit faire un changement, on met du temps à reconstituer cette information pour trouver comment le système fonctionne. Et donc, l'idée c'était d'avoir un endroit où on pouvait rassembler toutes ces informations et pouvoir les explorer, les analyser, les voir sous différentes vues. On va en faire du reporting et pouvoir à un moment comparer cette cartographie avec la réalité. Alors ça va servir dans plein de situations. Moi l'exemple que je prends toujours c'est au LDS, il y a 300 applications. Personne du LDS ne connaît pas les 300 applications et quand une personne appelle la nuit parce que l'application Tartalacram ne fonctionne plus, il faut savoir s'il doit faire un ticket. Est-ce qu'il doit d'un seul coup se mettre à paniquer parce que c'est l'application la plus critique de ce service-là ? Ou bien simplement, est-ce qu'il doit regarder, redémarrer un service et appliquer une procédure qui est déjà documentée ? Donc avec Mercator, il va simplement pouvoir taper directement le nom de cette application, voir qui l'utilise, qui est le responsable, quelle est la RT ou la RPO de cette application, quelle est sa créacité, et il va pouvoir avoir une réponse cohérente, normale par rapport à l'utilisateur qui l'appelle.
- Speaker #0
D'accord. Tu viens de donner quand même pas mal de mots-clés qui, à mon avis, vont faire tilter pas mal de nos auditeurs. Déjà, la représentation du système d'information, c'est essentiel. Avec deux mots-clés aussi intéressants, RTO et RPO, puisque ça, c'est des éléments assez importants. Donc toi, dans le milieu médical, tu le disais un petit peu en introduction, il y a une notion quand même de résilience, mais c'est aussi quelque chose qui est très important dans le monde financier, puisque les RTO et les RPO, c'est quand même les deux indicateurs, les deux objectifs les plus significatifs. pour représenter la résilience. Juste une question complémentaire, une petite clarification. Quelles sont les différences entre un système qui fait de la cartographie et un système qui fait de la CMDB ? Plutôt config management.
- Speaker #1
Souvent, la CMDB se limite à la configuration des objets. Les configurations des imprimantes, des serveurs, des PC, des machines virtuelles. Mercator va... Dans les couches plus hautes, il va inventer les applications, mais également quel processus cette application supporte, quels sont les fournisseurs de cette application, qui en est responsable, quelle est la criticité de ces processus. Il va également redescendre de l'autre côté dans les couches plus basses, il va regarder sur quel serveur physique est installée cette application, il va faire sa cartographie de ça, et également où sont installés ces serveurs, dans quels locaux, dans quel B, dans quel RAC. dans différents bâtiments et différentes salles.
- Speaker #0
D'accord. Ça peut être super utile si on veut faire des analyses de flux, par exemple, de données, je suppose. Parce que souvent, la question à un million de dollars, c'est qu'on nous demande de revoir, par exemple, des configurations de firewalls. Mais pour bien comprendre les configurations de firewalls, il faut un peu comprendre aussi les flux de données, parce que sans ça, il nous manque une partie de l'explication et ce n'est pas toujours évident de pouvoir faire ces contrôles sans ces infos. Au-delà des fonctionnalités que tu as décrites, comment la partie « upload » des informations ou maintenance des informations se fait ? Comment le système vit dans son écosystème ? C'est un petit peu ça ma question.
- Speaker #1
Il y a une grosse partie, c'est manuel. Il n'y a rien à faire. Il n'y a pas de baguette magique. Il n'y a pas d'IA qui peut aller faire l'inventaire de vos salles à votre place. Et de la même manière, il n'y a pas d'IA qui peut vous expliquer quelles sont vos applications critiques, quels sont les processus métiers et qui sont vos fournisseurs et quelle relation vous avez dans les contrats que vous avez avec ces fournisseurs. Pour l'instant, ça n'existe pas, donc c'est manuel. Effectivement, mettre une cartographie en place, si vous n'en avez pas, ça prend énormément de temps. Mais comment est-ce que vous faites maintenant ?
- Speaker #0
C'est la bonne question, parce que si on n'a pas de cartographie...
- Speaker #1
Si on n'a pas de cartographie, vous ne savez pas le faire, et c'est une catastrophe.
- Speaker #0
Oui, c'est clair.
- Speaker #1
Si vous ne savez plus son réserveur, si vous ne savez plus quelle relation vous avez avec votre fournisseur, ou que pour le savoir, ça vous prend 2, 3, 5 heures, vous aurez un incident, vous aurez 4, 5 heures dans la vue.
- Speaker #0
Et alors, justement, sur l'aspect fournisseur, parce que ça, c'est un point quand même super intéressant, parce que surtout qu'aujourd'hui on a plus en plus de SaaS, entre autres SaaS, PaaS et ainsi de suite, ce qui veut dire qu'on a des relations avec des fournisseurs de plus en plus nombreux qui font tourner des processus de plus en plus critiques pour les entreprises. Alors justement, comment tu modélises ça dans ton outil ? Quelles sont les informations que tu vas recueillir dans ce contexte ? Est-ce que tu as des informations directement liées au contrat ? Demain tu as un problème avec un de tes fournisseurs SaaS ? comment tu arrives à évoluer finalement si tu es bon ou pas en matière de flux de données, en termes de résilience, etc.
- Speaker #1
Oui, il y a la possibilité de modéliser ce cas d'utilisation. En SaaS, ça ne pose aucun problème d'utiliser dans Mercator. On va avoir une machine virtuelle qui est installée sur un serveur physique qui se trouve chez un fournisseur de cloud, qui est localisé dans un pays, donc on va pouvoir l'identifier. Et puis on va pouvoir identifier les flux qui rentrent et qui sortent de ce serveur vers d'autres applications internes. Tout ça, on va pouvoir modéliser. prend après de votre politique, de vos objectifs en termes de continuité, en termes de sécurité, est-ce que ces flux doivent être chiffrés, comment ils sont chiffrés, où est-ce qu'ils arrivent, qui a le droit d'y accéder, etc. En tout cas, ça permet de poser sur un schéma toutes ces informations.
- Speaker #0
D'accord. Et alors, une autre question aussi, c'est qu'une fois qu'on a passé pas mal de temps, malheureusement, à définir sa cartographie, Est-ce qu'il y a une possibilité d'interroger justement cette cartographie pour faire de la recherche et éventuellement de protocoles obsolètes ou alors faire des contrôles un peu systématiques sur son infrastructure ? Comment on peut faire des requêtes sur le modèle finalement ?
- Speaker #1
On travaille sur un modèle de query pour l'instant qui est en construction qui va permettre effectivement d'interroger les objets et de faire du reporting. Et le résultat du modèle d'une cohérité, ça pourrait être soit un tableau, soit un graphique, qui est une représentation du résultat de l'arcade. Et donc là, il y a possibilité de faire de l'alerting sur, on a trouvé tel type de choses, par exemple, existe-t-il un flux non chiffré qui va de cette application-là à cette application-là, qui passerait par Internet, ou combien de serveurs qui ne sont pas dans la DMZ ont accès à Internet. des choses comme ça.
- Speaker #0
D'accord, donc pour faire des... pour rechercher des anomalies, finalement, dans les flux d'informations et dans l'infrastructure, ce qui va être super utile en matière de cybersécurité.
- Speaker #1
Alors, après ça, ce que la majeure partie des gens utilisent, c'est ce qu'on appelle l'explorateur. On va pouvoir prendre un objet, double-cliquer dessus, et identifier les objets qui sont liés à cet objet-là. On va pouvoir prendre une application, on va double-cliquer dessus, et alors, soit on va pouvoir aller, on va pouvoir essayer de remonter en bas de cette application, au revoir quels sont les processus qu'elles supportent, quelles sont les entités qu'elles utilisent, quelles sont les relations que j'ai avec ces entités. On va pouvoir décider de descendre cette application, je clique dessus, je vois sur quelle machine virtuelle est installée, sur quelle machine physique qui se trouve dans quelle salle, dans quel bâtiment. Deux manières de faire pour l'instant ces analyses d'exploration.
- Speaker #0
Super. Une petite question par rapport au projet en tant que tel. Donc déjà, tu l'as développé toi-même et tu l'as développé en quoi déjà ?
- Speaker #1
C'était une grosse question au début du projet, parce que moi, ça faisait dix ans que je n'avais plus fait du code. La dernière fois que j'avais fait du code, c'était du Java. Je savais que je ne voulais pas le faire en Java.
- Speaker #0
Tu savais ce que tu ne voulais pas faire déjà.
- Speaker #1
C'est sûr que je ne voulais pas le faire en Java. Et donc, j'ai cherché longtemps, et j'ai été très surpris qu'il n'y avait pas un 4GL. Je m'étais dit, il y a 50 ans, maintenant, il doit y avoir sûrement un langage où je faisais un langage formel, où je décris mes interfaces, ce que je veux, mes graphiques, et puis... Il installe tout sur le serveur et ça doit tourner. J'ai cherché et il n'y a rien pour l'instant encore. C'était un fantasme du début des années 90. Il y a ces espèces de 4GL. Il en existe toujours un français qui s'appelle Windef mais qu'il ne faut absolument pas utiliser.
- Speaker #0
Windef, ce n'est pas le seul qu'il ne faut pas utiliser.
- Speaker #1
Il y en a d'autres. Finalement, je suis arrivé à PHP parce que ça reste un langage orienté objet simple. J'ai utilisé un framework qui s'appelle Laravel et quand j'ai découvert le début de ce framework et commencé d'avoir de plus en plus de succès, j'ai vu que c'était simple à déployer, qu'il y a l'internalisation, ça fait du modèle ViewController, il est indépendant de la base de données, donc il y a plein de fonctionnalités qui m'intéressaient. Donc voilà, je suis parti sur PHP avec Laravel.
- Speaker #0
D'accord, donc avec, on va dire, les bons design patterns en termes de développement pour pouvoir progresser. Et alors, par rapport à ce projet, donc t'es, entre guillemets, le... le maître d'œuvre, mais est-ce que tu as des contributeurs qui t'aident à travailler sur ce projet ?
- Speaker #1
Alors, il y a énormément de contributeurs, je vois qu'il y en a plus de 35, mais c'est beaucoup de micro-contributions, et il y a quelques contributeurs, maintenant ça commence à arriver d'avoir des contributeurs réguliers qui restent, et qui sont spécialisés dans des domaines particuliers de l'application, soit ils sont spécialisés dans la documentation, d'autres dans l'API. Il y a des cams bien touchés, tout ce qui est graphique et explorateur. Ils ont chacun un petit peu leur spécialité et leur spécificité.
- Speaker #0
Alors, quelles sont les futures évolutions que tu prévois pour ton outil ? Qu'est-ce que tu vas implémenter ? On a parlé déjà d'un système pour faire du requêtage et du reporting aussi. Est-ce que tu as d'autres projets dans les cartons ?
- Speaker #1
J'ai un lien avec Monarch. C'est de pouvoir prendre la cartographie, d'en extraire un sous-ensemble de sa cartographie, de pouvoir choisir son modèle d'analyse de risque qu'on va utiliser. son framework, on va prendre la 27001 ou l'IS2, et il va vous calculer à l'avance le nombre de risques que ça va générer. Vous allez pouvoir peaufiner les objets que vous allez sélectionner, et vous allez pouvoir l'importer dans Monarch. Tu vas vous générer le fichier JSON qui, dans un premier temps, sera un processus manuel. Après, on pourrait éventuellement automatiser ce processus, mais en tout cas, c'est le lien entre l'analyse de risque et la cartographie.
- Speaker #0
D'accord, ok. Donc, le cingal. Pour les gens qui travaillent en cybersécurité, avoir des liens entre les systèmes de cartographie et les systèmes de contrôle ?
- Speaker #1
On termine un module BPMN. Donc, on peut faire du BPMN V2, sauf que les tâches, les activités, les acteurs, ce sont des objets de la cartographie qui sont repris. Et quand on regarde le BPMN, on clique et on arrive sur la définition dans la cartographie et on descend sur les applications.
- Speaker #0
D'accord, ok. Parfait. Peut-être que tu veux encore ajouter un mot sur ce que tu es en train de faire ou ton outil ?
- Speaker #1
On termine le processus de gestion plus fine des droits d'accès. Pour l'instant, on a une gestion des droits d'accès qui est par bloc. On peut avoir des groupes d'utilisateurs qui sont par exemple l'équipe réseau qui va être responsable de toute la partie infrastructure réseau, des utilisateurs qui sont responsables des applications qui vont avoir la responsabilité de la partie gestion des applications. des utilisateurs qui se responsent de la gestion des contrats, et donc ils vont gérer les entités et les relations. Et donc on veut avoir une gestion, ce qu'on appelle la gestion des cartographes, les utilisateurs vont être responsables de certains blocs d'applications, certains groupes, ou certaines applications, et de là ils vont pouvoir, selon la configuration qu'on met en place, voir tous les objets et modifier que ceux-là, ou ne voir que ceux-là et modifier que les objets dont ils sont responsables. Et puis, c'est une idée aussi de pouvoir, la responsabilité d'avoir des rappels de mise à jour réguliers à ces objets. Donc, une fois par an, ils doivent revoir les objets dont ils sont responsables, les modifier, avoir un update de ça.
- Speaker #0
Donc, il faudrait organiser, scheduler, en bon français, les revues des informations, ce qui est essentiel, évidemment, parce que, comme tu le disais, il n'y a pas de processus automatique, donc c'est typiquement humain et il faut impérativement s'assurer que les... les mises à jour soient faites en temps et en heure.
- Speaker #1
Oui, donc alors on a terminé un module de gestion des vulnérabilités intégré à Mercator. On est connecté à un outil du CERT qui s'appelle Vulnerability Search et donc un certain nombre d'objets de la cartographie comme les applications mais également un certain nombre d'équipements on peut leur assigner une CPE. Et donc tous les jours Mercator récupère dans Vulnerability Sichlet une nouvelle vulnérabilité, regarde si il y a une CPE qui correspond à l'une des objets qui a été cité, et vous envoie automatiquement un mail. Et si l'objet ou la source d'admin d'appel n'a pas de CPE, il regarde sur le nom de l'objet. Et il vous envoie automatiquement, et tout ça gratuitement, parce que c'est des outils open source et Vulnerability Searcher qui est offert gratuitement également. Vous avez une gestion de vulnérabilité tout à fait gratuite. intégrée aux cartographies. On a parlé de comment est-ce qu'on initiait sa cartographie. Quand on commence, effectivement, pour ne pas devoir passer dans tous les formulaires un par un, il y a la possibilité d'importer et d'initialiser sa cartographie avec des fichiers Excel. Donc on va pouvoir, pour chacun des objets, les objets de la cartographie, avoir un fichier Excel dans lequel on peut remplir toutes les colonnes correspondant à les réimporter dans Mercator. Et l'église Galmon reste API. qui permet soit de faire des requêtes pour avoir des listes d'objets, mais également qui permet d'importer via une REST API les objets de la cartographie. Et donc là, on a aussi de se connecter à d'autres éléments. Et par exemple, Mercator a un connecteur avec GLPI, qui est une CMDB open source, de manière à pouvoir importer tout ce qui est serveurs, postes de travail, etc. dans la cartographie. Mercator sert à beaucoup de RSSI pour mettre en place leurs mesures de sécurité. Notamment, ça sert dans beaucoup de contrôles de la 27001, comme par exemple l'inventaire des actifs, la propriété des actifs, la classification des informations, l'emplacement et la protection des matériels, la gestion des changements, le dimensionnement, la gestion des vulnérabilités, le cloisonnement des réseaux. Tout ça, c'est des processus qui sont dans la 27001, donc Mercator peut aider à la mise en place.
- Speaker #0
Le mot de la fin, je ne sais pas, un message particulier à passer ?
- Speaker #1
Mais si vous n'êtes pas encore dans la cartographie, vous êtes à risque.
- Speaker #0
Exactement, c'est le moment de s'y mettre.
- Speaker #1
C'est le moment de s'y mettre. 2026, l'année de la cartographie.
- Speaker #0
Après le Covid, la cartographie, mis à part, on rigole de ça, mais très sérieusement, c'est vraiment un élément hyper important dans les postures des cybersécurités. Sans avoir une cartographie, on va dire, assez fiable, c'est très compliqué de pouvoir mettre en place des contrôles. Et surtout, il faut, entre guillemets, trouver le bon rythme. Ce que je veux dire par là, c'est que certains éléments sont quasiment immuables et vous n'avez pas besoin de les mettre toutes les cinq minutes à jour. En revanche, il y a des choses qui sont beaucoup plus versatiles et là, vous avez besoin de gérer ça de manière beaucoup plus fine. et effectivement la cartographie est un élément essentiel en matière de cybersécurité. Sans savoir ce qu'on a à protéger, c'est quand même difficile de monter une posture de cybersécurité solide.
- Speaker #1
Et on ne sait pas protéger ce qu'on ne connaît pas.
- Speaker #0
Par définition.
- Speaker #1
Par définition et souvent c'est dans la tête de plusieurs personnes. Au moment où on va avoir un incident, on va devoir changer quelque chose. pas cet élément-là, si on n'a pas cette vue sur ce qu'on possède et comment ça fonctionne et quoi ça communique et est-ce que c'est important ou pas, on a des mauvaises réactions et on va perdre du temps et on va faire un surincident à ce qui se passe actuellement.
- Speaker #0
Très bien. Merci Didier. Je mettrai en lien dans ce commentaire ton passage au STIC en 2023, justement dans lequel tu expliques très bien. donc ton projet, ce que tu as fait, etc. donc c'est assez instructif peut-être plus forcément tout à fait à jour par rapport à ce que tu as fait maintenant je fais une très belle présentation Vox on Days au mois de juin et le mois de mai je ne sais pas si tu as une vidéo qui est en ligne,
- Speaker #1
elle est sur le site d'accord,
- Speaker #0
écoute, si tu veux bien me la donner je rajouterai la description de cet épisode encore merci en tout cas pour ta contribution d'avoir pris le temps d'expliquer à nos éditeurs ton outil, j'espère que ça va susciter quelques vocations, que tu vas trouver quelques utilisateurs de plus et pourquoi pas quelques contributeurs de plus parce que je sais que ce type de projet est parfois un peu lourd à maintenir quand même sur le long terme et tu le fais déjà depuis plusieurs années pour la communauté et on ne peut que t'en remercier. Comme je le dis souvent, pour certains, la cybersécurité est un enjeu de vie de mort, c'est bien plus sérieux que ça.