Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Arnaud Pilon, IMS Networks : la protection de la donnée qu’elle soit personnelle ou non est inscrite depuis longtemps dans notre ADN

septembre 2019 par Marc Jacob

A l’occasion de l’édition 2019 des Assises de la Sécurité, IMS Networks présentera les nouveautés de son offre de SOC avec en particulier une adaptation de son approche et de sa posture vis-à-vis de l’évolution des menaces. Il s’agit pour IMS Networks de permettre à ses clients de réduire le temps de détection en fiabilisant et automatisant les mécanismes de protection bien connus. Selon Arnaud Pilon, Directeur Cybersécurité d’IMS Networks, la protection de la donnée qu’elle soit personnelle ou non est inscrite depuis longtemps dans l’ADN de son entreprise.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Arnaud Pilon : IMS Networks a enrichi son offre de SOC en adaptant son approche et sa posture vis-à-vis de l’évolution des menaces. Il s’agit pour nos clients de réduire le temps de détection en fiabilisant et automatisant les mécanismes de protection bien connus comme ceux à base de signatures qu’elles soient sous forme de règles d’alerte ou issues de bases de cyber threat intelligence (code malveillant, adresse IP de C&C, etc.). Le temps dégagé par cette automatisation permet ainsi à nos analystes de procéder plus régulièrement à des recherches exploratoires encore appelées cyber threat hunting. Cette approche consiste à éplucher les événements collectés pour détecter des signaux faibles d’attaque. Nous nous appuyons bien souvent sur des algorithmes par apprentissage comme l’analyse comportementale d’utilisateur ou de poste de travail : cette approche fonctionne particulièrement bien sur les applications Cloud. Les dix années que j’ai passées au cœur du centre opérationnel de l’ANSSI m’ont conforté dans l’idée qu’il fallait aller plus loin pour véritablement débusquer des attaquants bien ancrés dans un système d’information. Nous empruntons d’ailleurs les techniques bien connues du monde de l’audit pour détecter des anomalies. Ainsi, nous prélevons des informations complémentaires sur les serveurs et applications qui ne sont pas intégrées dans un SIEM soit pour des raisons de performance ou soit pour des raisons de coût. Un droit d’accès trop permissif sur un système de fichiers ou un objet de l’annuaire Active Directory peut parfois faire office d’une porte-dérobée très discrète ou encore un serveur DNS externe dont les enregistrements auront été modifiés pour faciliter une attaque par l’homme-du-milieu. Cette approche permet d’aller plus loin dans la compréhension du système d’information de nos clients et réduire significativement un élément crucial de la cyberdéfense : la détection initiale.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2019 ?

Arnaud Pilon : Le phishing et le spearphishing restent le vecteur privilégié d’attaque visant les données de nos clients. Les auteurs de ces attaques débordent d’ingéniosité et de psychologie pour attirer les utilisateurs vers « le clic de trop ». Nous constatons que les services Cloud comme Office 365 sont particulièrement visés, il s’agit généralement de dérober le mot de passe de l’utilisateur. Nous avons également constaté des attaques moins frontales sur les applications en SaaS, elles consistent simplement à demander des autorisations à une application tierce malveillante : les communications Cloud-to-Cloud échappent aux règles de sécurité du réseau interne et constituent un nouvel enjeu de détection.
Enfin même si le cours des cryptomonnaies s’est effondré depuis le début de l’année 2018, la compromission de serveurs Web ou RDP mal configurés ou n’ayant pas le niveau de correctif adapté entraine quasiment systématiquement l’installation de mineur de cryptomonnaie. Ces attaques ont remis au goût du jour la supervision de la consommation CPU par le SOC !

GS Mag : Quid des besoins des entreprises ?

Arnaud Pilon : Nous constatons un réel besoin d’homogénéisation et de simplification des différentes solutions acquises au cours de l’histoire et des transformations de l’entreprise. L’objectif est d’exploiter des outils interopérables afin de limiter les actions manuelles, réduire les dépenses et obtenir ainsi de meilleures performances. Ce mouvement est accentué par la pénurie de ressources humaines compétentes en informatique, en particulier dans le domaine de la cybersécurité. L’automatisation des tâches à faible valeur ajoutée et l’orchestration des différents outils autour de workflows métier bien définis sont au cœur de l’évolution des produits de sécurité. L’explosion des API participe évidemment à cette tendance.

La diversité des supports numériques et des moyens d’échange est appuyée par le besoin de communication transverse au sein de l’entreprise. Cumulé à un marché extrêmement prolifique en matière de solution, il est de plus en plus difficile pour la DSI ou le RSSI de prendre le temps de retenir la juste solution. Les services cloud en SaaS ont naturellement répondu à cette attente du fait de leur intégration rapide, mais aussi parfois comme une solution de facilité au prix d’une forme de souveraineté numérique. Côté infrastructure les besoins sont comblés de manière similaire et le cloud hybride est devenu un quasi standard notamment par l’utilisation d’Azure. Face à cette évolution, la donnée et les moyens d’y accéder sont au cœur des préoccupations de la transformation numérique : il devient nécessaire de retrouver une visibilité unifiée pour homogénéiser les différentes politiques de sécurité.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Arnaud Pilon : Sur les aspects cybersécurité, ces enjeux ne se traduisent ni plus ni moins par la question de la sécurité et de la confiance dans la supply chain. Il s’agit là d’un véritable enjeu stratégique pour les prochaines années pour soutenir la confiance dans le numérique. Le rapport annuel 2018 de l’ANSSI souligne d’ailleurs ce phénomène par les attaques par rebond (fournisseur, prestataire) – phénomène d’ampleur –préoccupant par son efficacité- qui occupait une grande partie des équipes lorsque j’étais responsable des activités de réponse aux incidents du CERT-FR. Pour un MSSP comme IMS Networks, la priorité est de nous protéger afin de mieux protéger nos clients dans le cas où il est la cible finale d’une attaque. Très rapidement, nous avons opté pour augmenter le niveau de qualité dans notre organisation en étendant notre certification ISO 27001 aux activités du SOC. Notre participation à des groupes de travail comme la qualification PAMS (Prestation d’Administration et de Maintenance Sécurisées) de l’ANSSI complète notre orientation avec une approche plus opérationnelle. Le positionnement singulier d’IMS Networkscomme opérateur télécom, hébergeur Cloud privé et prestataire de cybersécurité permet de limiter significativement la sous-traitance et de gagner en maitrise sur toute la chaine de production. Par exemple, la gestion du WAN chez nos clients est opérée par notre infrastructure SD-WAN en continuité et cohérence des NFV déployés par l’équipe cybersécurité.

IMS Networks a également engagé une démarche de transparence, nous pensons qu’il s’agit d’un critère nécessaire afin d’instaurer la confiance. Nous attachons ainsi beaucoup d’importance à partager avec nos clients nos méthodologies et les mécanismes de contrôle ou d’audit associés.

Nous suivons en permanence l’évolution de la menace et les solutions efficaces associées afin d’anticiper toute tendance de fond pouvant influencer notre stratégie. A ce titre, l’offre CASB d’IMS Networks suscite un véritable intérêt et parfois une découverte salutaire pour nos clients engagés dans le cloud public. L’objectif est de gagner à nouveau en visibilité sur les usages des applications en SaaS, limiter les dérives de la politique de sécurité à l’infrastructure externalisée et évidemment intégrer les alertes de sécurité au SOC. De la même manière, le chiffrement massif des communications et la diversité des usages ont déplacé le besoin de détection sur le poste de travail. Notre SOC intègre les EDR déjà existants chez nos clients, mais le cas échéant nous sommes en mesure de proposer l’offre la plus adaptée aux besoins (on-premise, cloud native, module de réponse/réaction seulement cohabitant avec l’antivirus existant, etc.).

GS Mag : La sécurité et la privacy « by design » sont devenues incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?

Arnaud Pilon : La protection de la donnée qu’elle soit personnelle ou non est inscrite depuis longtemps dans l’ADN d’IMS Networks. Notre positionnement particulier d’opérateur télécom, hébergeur et fournisseur de service de sécurité nous permet d’adopter une véritable stratégie de défense en profondeur pour protéger chaque maillon de traitement et de stockage de l’information. IMS Networks s’applique d’ailleurs ses propres offres afin d’en éprouver les conséquences en milieu réel. « Engagé pour un monde numérique plus sûr. » est la mission d’IMS Networks. Le numérique est certes un formidable outil d’amélioration de la compétitivité de nos entreprises et administrations mais il doit aussi être considéré comme un véritable enjeu de sécurité et de souveraineté. Dans un contexte de forte dépendance aux technologies numériques essentiellement américaines, notre vulnérabilité aux cyber-risques est manifeste. Notre engagement pour la souveraineté de nos clients se traduit concrètement par un devoir de conseil et par le développement de services de sécurité en mode SaaS hébergés dans nos datacenters sur le territoire national et managés par nos équipes dans notre SOC privé en France. Nous scrutons ainsi les évolutions réglementaires pouvant impacter nos clients directement ou non (NIS, Cloud Act, etc.).

GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Arnaud Pilon : L’accumulation des technologies et des solutions complexifie le travail du RSSI à protéger les données et les traitements associés. Cette complexité joue défavorablement à réagir efficacement face à une attaque et plus généralement à avancer sur des projets structurants (gouvernance et conformité). Le retour aux fondamentaux (« Back to basics ») n’a jamais pris autant de sens qu’aujourd’hui avec en ligne de mire la question de la protection des données à caractère personnelles. Quel que soit le contexte, IMS Networks s’emploie à simplifier des systèmes complexes issus d’héritage technologique et organisationnel. Les systèmes doivent être pensés pour être avant tout facilement auditables et évolutifs. La difficulté à gérer les correctifs de sécurité montrent, par exemple, à quel point nous sommes loin d’avoir des pratiques satisfaisantes et élaborer des systèmes durables au-delà de quelques années.

L’aspect humain est évidemment un enjeu primordial de défense en profondeur. La sensibilisation des utilisateurs est une tâche permanente qui vise à développer une véritable culture sécurité. Au sein d’IMS Networks l’ensemble des employés sont régulièrement sensibilisés aux risques propres à leur métier par exemple les commerciaux sont par nature itinérants et sensibles à des attaques de proximité (indiscrétion sur leur écran, clé USB, etc.). Il y a également un véritable enjeu de formation continue des équipes en charge des systèmes d’information. Je suis toujours étonné par le manque de connaissance des administrateurs dans le domaine Windows plus spécifiquement concernant l’Active Directory. Le potentiel de cette fonctionnalité de sécurité intégrée à votre licence Windows Server est souvent largement sous-estimé (et éviterait certains doublons logiciels…donc des économies). Le mouvement vers le cloud rend cette technologie d’autant plus stratégique pour l’entreprise. Les technologies évoluant constamment, il est essentiel de former les administrateurs tout au long de leur activité.

GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?

Arnaud Pilon : Le métier de RSSI est très exigeant et il est nécessaire d’être entouré d’un partenaire polyvalent, pragmatique et capable d’adapter son offre aux contraintes métier.

Biographie

Arnaud Pilon a rejoint IMS Networks en février 2019 au poste de Directeur Général Délégué de la Business Unit Cybersécurité et a pour responsabilité le pilotage des activités d’infogérance de la cybersécurité d’IMS Networks. Arnaud PILON est ingénieur en science informatique, sécurité réseau et intelligence artificielle. Il a débuté sa carrière comme auditeur de la sécurité des systèmes d’information chez Thales. Ses dernières fonctions étaient celles de Chef de la division de réponse aux incidents de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Contact :
Arnaud PILON Linkedin
www.imsnetworks.com


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants