REDPIXEL - stock.adobe.com
Zyroc, l’aventure de deux experts de la remédiation d’incident venus de l’Anssi
Fort du constat d’un réel manque sur le marché, deux anciens responsables d’opérations de cyberdéfense de l’agence ont décidé de créer leur propre entreprise. Et le succès ne se fait pas attendre.
Guillaume Poupard, patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), nous en parlait brièvement, dans les couloirs des Assises de la Sécurité, à l’automne dernier : pour lui, Zyroc allait « faire un tabac ». Cet enthousiasme affiché ne tenait pas du hasard : il connaît bien les deux fondateurs de Zyroc, Mohamed Bakkali et Didier Pilon. Lors d’un entretien téléphonique, le premier nous a d’ailleurs confié que Guillaume Poupard n’était pas particulièrement ravi de les voir quitter les rangs de l’Anssi, même s’il mesurait bien la valeur qu’ils pouvaient apporter au marché de la cybersécurité en France.
Il faut dire que Mohamed Bakkali et Didier Pilon cumulent ensemble l’expérience de plus d’une trentaine d’opérations de cyberdéfense au sein de l’agence, du niveau de celle qui a été conduite chez Saint Gobain lors de l’épisode NotPetya : à chaque fois, ils sont intervenus pour « concevoir la stratégie d’intervention et piloter le dispositif ». Et ce n’est pas une mince affaire, car il ne s’agit pas uniquement d’évaluer l’étendue et la profondeur d’une compromission, comme dans le cadre d’une prestation telle que couverte par le label PRIS.
La remédiation ? Un service lourd en responsabilités
Mohamed Bakkali le souligne : pour prendre les rênes d’une intervention en remédiation, « il faut une expérience dans les domaines de l’architecture, de l’audit, et de la production ». Parce que face à un incident, il y a bien sûr des objectifs de sécurité, « mais aussi un existant, et la stratégie de remédiation ne doit pas causer plus de dégâts que l’attaque elle-même ». Le jeune Pdg de Zyroc développe donc deux objectifs pour une telle intervention : « durcir le système », tout d’abord, pour empêcher une propagation ou une reprise de la contamination, puis « éjecter l’attaquant ». Mais voilà, plus le durcissement est ambitieux, plus il risque d’avoir un impact sur la production.
Dès lors, intervenir en remédiation se traduit par une lourde prise de responsabilité, dans un contexte de pressions fortes, notamment de la direction de l’entreprise victime, et de contraintes de temps prononcées. Et c’est suffisant pour expliquer, selon Mohamed Bakkali, que peu de gens acceptent de s’engager sur la voie de ce type de prestations. Mais pas lui, ni Didier Pilon : depuis la création de leur entreprise, ils ont accompagné ainsi au moins une grosse entreprise française – « avec plus de 150 000 utilisateurs » – et deux PME.
Avec Zyroc, ils appréhendent la remédiation suivant plusieurs axes. Le premier, de toute évidence, c’est la réaction, lorsqu’un incident majeur est déclaré – « ce qui va permettre de remettre en route les systèmes vitaux de l’entreprise sans compromettre la production ». Mais la prévention n’est pas oubliée : « nous nous sommes rendus compte que les entreprises tendent à être ambitieuses après un incident, et que certaines mesures, si elles étaient mises en œuvre avant, sans entrer dans un grand programme de cybersécurité, permettent de relever le niveau de manière considérable ».
De la réaction, mais pas uniquement
D’où la création de packages alignés sur les obligations des opérateurs d’importance vitale (OIV), mais conçus pour ne pas représenter un investissement trop conséquent – en temps comme en argent : « nous avons par exemple un package qui permet de sécuriser l’administration d’un système d’information ». Avec une subtilité : « la plupart des solutions partent du postulat que la brique de gestion des identités, l’annuaire, est saine » ; pas Zyroc, « parce que le point commun de toutes les attaques avancées, les APT, c’est qu’à un moment, l’attaquant récupère des identifiants de comptes à forts privilèges ». Et là, la partie est finie : « la latéralisation se fait de manière exponentielle ».
Du coup, Zyroc a également conçu une offre de sécurisation de l’annuaire, « le socle de confiance ». Et il y a de quoi séduire car, Mohamed Bakkali le souligne : « l’assainissement de l’annuaire seul, dans le cadre d’une remédiation plus vaste, chez un grand groupe, c’est déjà entre deux et dix millions d’euros. Sans compter les pertes liées à l’indisponibilité sur les métiers et les projets ». La faute, notamment, à des plans de reprise de l’activité (PRA) qui ne traitent pas le volet sécurité et « partent du postulat que, premièrement, les backups sont de confiance ». Las, « quand vous avez une compromission, elle remonte à plusieurs mois »… ce qui doit naturellement poser la question de la propreté des sauvegardes. Qui plus est, « sur la partie annuaire, les backups ne sont plus pertinents dès que l’on dépasse 180 jours ».
Alors, pour aller au-delà du simple PRA, Zyrock propose le SRP, pour « Security and Recovery Plan », « un PRA adapté à une crise de sécurité » qui va couvrir « le traitement des sauvegardes, mais aussi toutes les opérations d’assainissement qui vont permettre de repartir sur des bases saines, y compris sur les parties du système d’information qui n’ont pas été compromises ». Et pour souligner l’importance de l’approche, Mohamed Bakkali relève que Saint Gobain n’a pas manqué d’une certaine chance dans son malheur, face à NotPetya, en tombant sur des équipes qui l’avaient en fait déjà accompagné de longue date et connaissaient très finement son infrastructure : « la préparation d’une telle remédiation, normalement, c’est entre trois et six mois. Et plus l’on essaie de réduire ce délai, plus on risque d’introduire un impact important sur la production ».
Des outils pour aller plus vite
Ce n’est pas tout. Zyroc propose aussi un service de cartographie, « faisant la synthèse entre trois évaluations développées chez Microsoft et notre expérience de l’Anssi » : « au travers de cette offre, nous sommes capables d’identifier les risques liés à la faiblesse du durcissement, mais aussi les chemins qui permettent à un simple utilisateur, par rebond », de réaliser des opérations à risque – vol de données, accès à un système d’administration, etc. De quoi permettre de définir un plan d’action à court terme sur « ce que l’on peut assainir dans les 100 premiers jours, avec un risque d’impact faible et un bénéfice élevé ».
Dans ce cadre, Zyroc travaille parallèlement au développement d’un outil de cartographie fonctionnant avec et sans agent qui doit être disponible dans le courant du printemps. Il devra notamment permettre de produire un document de cartographie « qui colle à la réalité et pas à la conception initiale ». Cet outil aidera également à définir les orientations à prendre pour le durcissement de l’environnement, ainsi qu’à automatiser certaines actions de remédiation. Un dernier aspect clé qui ouvre la perspective d’une réduction drastique du volume des équipes nécessaires à une intervention – « et c’est un point qui intéresse forcément l’Anssi, parce que lorsque l’on a un cas public comme Saint Gobain, il y en a vingt de plus qui sont traités dans l’anonymat ».
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Comment gérer les terminaux durcis dans l’entreprise ?
-
Anssi : trop d’organisations ignorent les alertes qui leur sont adressées
-
Un ransomware à l’assaut de la filiale française du spécialiste de la sûreté Scutum
-
Poste de travail : Kaspersky joue le 3-en-1 pour une protection et une visibilité complètes