Close
  • Français
  • English

22/01/2020Faire de l’humain le maillon fort de la chaine de défense des SI (par Cyril Bras, RSSI, Grenoble-Alpes Métropole)

Le panorama des cybermenaces dressé par l’ENISA en janvier 2019 (ENISA, 2019) place clairement l’utilisateur final comme la cible principale des attaquants. Ces derniers ont bien compris que l’humain était le maillon faible de la chaine de Cybersécurité tant au niveau des particuliers que des entreprises ou des administrations. Pourtant,  il est possible de transformer cette faiblesse en un avantage. La première étape consiste en une acculturation à la Cybersécurité afin de faire prendre conscience des enjeux mais aussi du rôle de chacun dans la défense de nos systèmes d’information. Pour cela il est important que le RSSI s’implique personnellement dans la démarche, le sujet n’est à la base pas attractif par nature et nécessite une approche humaine pour le rendre « sexy » à l’instar de ce que Guillaume Poupard demandait au cours de l’université d’été d’Hexatrust 2018[1]. La seconde étape est ensuite de capitaliser sur la capacité des utilisateurs à détecter des situations anormales. Pour cela ils sont invités à les signaler au support informatique et/ou au RSSI. C’est cette seconde étape  que va approfondir cet article en s’appuyant sur un retour d’expérience effectué au sein de la métropole grenobloise.

Lors de la prise de fonction du RSSI en mars 2018, il était difficile d’obtenir de l‘information sur les incidents de sécurité affectant les utilisateurs. Cette situation n’était pas acceptable car une bonne défense nécessite avant tout de connaître son « territoire » et ce qui s’y passe (Tzu, 1er siècle). C’est pourquoi des actions de sensibilisation à la Cybersécurité ont été lancées. Le retour sur investissement a été immédiat avec des remontées d’alertes plus fréquentes de la part des utilisateurs permettant ainsi à la DSI de limiter l’exposition à la menace et au RSSI de notifier à l’ANSSI les campagnes de courriels frauduleux (Filippone, 2019). Lors d’une campagne d’hameçonnage faisant suite à la compromission d’un compte utilisateur interne, la réaction des utilisateurs fût bonne. 400 courriels adressés au RSSI en moins de 10 min ; un succès au final ingérable. Il fallait donc trouver une solution qui permettent aux utilisateurs de poursuivre leur implication dans la Cybersécurité mais qui évite au RSSI d’être noyé sous les courriels ou les coups de téléphone. Le moyen retenu a été une page web accessible en interne.

Le mode opératoire est assez simple. Lorsqu’un utilisateur reçoit un courriel suspect, ce dernier effectue un copier/coller de l’intégralité du message dans un formulaire sur une page web. Le contenu est alors analysé par des expressions régulières afin d’y détecter par exemples des URL. Si c’est la première fois que ce message est envoyé, l’utilisateur est alors invité à envoyer une copie du message sur une adresse interne ; ce qui permettra de récupérer des informations complémentaires comme par exemple les en-têtes.  Le RSSI est notifié de la présence d’un nouveau message à qualifier. Cette qualification du caractère malveillant ou pas est réalisée au travers d’un back office. Si le message ne présente aucun risque, le RSSI marque le message en conséquence. Ainsi si ce même courriel est soumis une seconde fois, l’interface web présentera alors un message indiquant l’absence de risque. En revanche, s’il s’agit d’un courriel catégorisé comme frauduleux, le message affiché à l’écran indique à l’utilisateur les actions à mener s’il a cliqué sur le lien ou pire communiqué ses identifiants.

Les gains pour le RSSI et la sécurité du SI sont multiples. Tout d’abord le nombre de faux positifs est faible. Pour une même campagne de courriels frauduleux, une seule notification est faite au RSSI. A partir des éléments obtenus, Il est alors possible par exemple de bloquer les adresses mentionnées dans les courriels au niveau des serveurs mandataires et donc de limiter les risques de compromission d’identifiants (Le Dez, 2019). Si au cours d’une même campagne (avec un contenu identique) plusieurs adresses sont utilisées, elles seront alors détectées.

En guise de conclusion voici quelques chiffres et pistes d’amélioration. Ce dispositif a été testé et étendu aux 6000 agents de la collectivité. Ainsi depuis mai 2019, 286 sites pour la plupart malveillants ont été détectés et bloqués par la DSI. L’outil développé permet d’ouvrir des perspectives d’investigations plus approfondies. En effet, il serait intéressant de le combiner avec un outil d’analyse de journaux Nous pourrions par exemple déterminer plus rapidement les utilisateurs potentiellement compromis et de mettre en œuvre des mesures de protection des comptes. Une telle approche  permet de transformer le maillon faible que représente le facteur humain dans la Cybersécurité, en un acteur volontaire et efficace.

Bibliographie

  • ENISA. (2019). ENISA Threat Landscape Report 2018. Athènes: ENISA.
  • Filippone, D. (2019, Avril 05). Cybermatinée Sécurité Lyon : La France en retard sur le hacking éthique. Récupéré sur Le Monde Informatique: https://www.lemondeinformatique.fr/actualites/lire-cybermatinee-securite-lyon-la-france-en-retard-sur-le-hacking-ethique-74886.html
  • Le Dez, A. (2019). Tactique Cyber. Le combat numérique. Paris: Economica.
  • Tzu, S. (1er siècle). L’art de la guerre.

[1] https://www.usinenouvelle.com/article/rendre-sexy-la-cybersecurite.N739364