Chakib Gzenayi : « L’EASM est important, mais le renseignement est plus important que tout »
Chakib Gzenayi, responsable cyberdéfense chez un gros industriel français, explique l’approche qu’il a mise en place quant à la gestion des vulnérabilités et de la surface d’attaque exposée.
Responsable cyberdéfense d’une grande entreprise internationale, Chakib Gzenayi travaille à la fois sur les aspects détection, réponse, traitement des vulnérabilités et enfin sur le volet Threat Intelligence. Pour cet expert chevronné de la cybersécurité, réduire la surface d’attaque passe bien évidemment par une maîtrise de la surface d’attaque interne, généralement bien connue et managée avec des outils de sécurité qui permettent de remonter de la télémétrie et potentiellement d’identifier des événements et des incidents de sécurité.
Mais cette réduction passe aussi par une maîtrise de la surface d’attaque externe : « pour moi, la surface d’attaque externe reste un angle mort. Dans l’immense majorité des cas, il y a très peu de visibilité et on a beaucoup de Shadow IT avec des assets qui sont totalement inconnus de la DSI. Actuellement, on traite l’EASM (External Attack Surface Management) uniquement sur le prisme de ce qui est connu. Or on s’aperçoit que parfois les attaquants passent par ces assets inconnus pour pouvoir pénétrer le système d’information ».
Le responsable estime qu’il faut se mettre en capacité d’identifier à la fois le connu et l’inconnu et surtout prioriser les vulnérabilités à traiter en fonction de plusieurs facteurs. Il peut s’agir des vulnérabilités remontées par la CISA (Cybersecurity & Infrastructure Security Agency). Leur nombre est limité, mais ces alertes indiquent les actions à mener afin de diminuer le risque encouru par l’entreprise.
Il faut aussi tenir compte des risques associés à l’exposition des assets sur Internet. « Les vulnérabilités font partie de ces risques, même si on assiste à un accroissement exponentiel du nombre de vulnérabilités n-days (0-day et 1-day). Or, une vulnérabilité reste un moyen comme un autre d’infiltrer un système d’information », ajoute Chakib Gzenayi.
Le défi de gérer une surface d’attaque externe inconnue
Tout comme il est impossible de contrecarrer les attaques 0-day, par définition inconnues, il est impossible de gérer cette surface d’attaque externe inconnue. Mais le responsable estime qu’à partir de la connaissance acquise lors de la cartographie des assets connus, il est possible de détecter les assets inconnus : « les solutions d’EASM (External Attack Surface Management) permettent d’exploiter des pivots pour identifier les nouveaux domaines qui peuvent être créés et qui vont exposer des services critiques ».
Il évoque aussi la problématique du Third Party Risk Management, la gestion des risques associés aux tierces parties, particulièrement aiguë dans les grandes entreprises qui ont littéralement des milliers de fournisseurs et prestataires en tous genres : « quand on parle du connu et de l’inconnu dans la surface d’attaque, la problématique d’une grande entreprise est qu’elle doit gérer des interconnexions avec de multiples partenaires. La compromission ne vient pas nécessairement des assets de l’entreprise, connus ou pas, mais peut venir d’un périmètre qui est du ressort d’un fournisseur ».
Pour traiter ce risque, il existe de multiples sources d’information à exploiter, à commencer pas les registrar Internet et les certificats. Il est aussi possible de pivoter sur les noms d’hôtes pour identifier des noms de domaines AD si des services RDP sont exposés.
Là, explique-t-il, « on observe une différence d’approche entre les éditeurs de solutions : certains se contentent de regarder les assets connus et les inconnus qui sont potentiellement rattachés à l’organisation. D’autres intègrent ce risque Third Party et nous permettent de le prendre en compte. À partir d’une liste de fournisseurs connus avec lesquels l’entreprise a une interconnexion, on peut identifier les partenaires qui sont vulnérables. Il est alors possible d’anticiper une compromission et d’échanger avec ce partenaire pour réduire le risque ».
« La survenue d’un attaque cyber est essentiellement une question de temps. On ne sait pas par où elle va passer, il y a déjà eu des intrusions et cela va continuer, mais l’idée est de réduire le risque et l’éventualité d’une catastrophe. »
Chakib GzenayiResponsable cyberdéfense
La liste des fournisseurs et prestataires peut être extraite de l’ERP et celle-ci permet d’enrichir la cartographie du SI. De même, lors de la signature de nouveaux fournisseurs, il est possible d’obtenir des données dans le cadre d’un plan d’assurance sécurité : « on n’indique pas directement au prestataire qu’il va être surveillé, mais cela fait partie d’une observation globale. À plusieurs reprises, nous avons découvert que le fournisseur était compromis avant même que celui-ci ne le découvre. Cette anticipation nous a permis d’éviter la catastrophe ».
Le rôle capital de la Threat Intelligence
L’EASM est un moyen d’identifier la surface d’attaque, mais celle-ci étant extrêmement large, d’autres moyens et processus doivent être mis en œuvre en parallèle pour identifier les risques externes. Le rôle de la CTI (Cyber Threat Intelligence, ou renseignement sur les menaces) est primordial dans de multiples cas d’usage.
Le premier cas identifié par Chakib Gzenayi fut la lutte contre les fuites de données : « il s’agit d’identifier les documents classifiés, qu’ils soient labellisés ou non par l’entreprise, et qui seraient indirectement exposés à l’extérieur, par exemple sur VirusTotal… ce qui arrive très régulièrement. En outre, des documents peuvent se retrouver sur des services de stockage cloud d’Azure ou d’AWS. Or il n’est évidemment pas souhaitable que des documents d’appels d’offres remis à nos fournisseurs soient ainsi accessibles publiquement, par exemple ».
Un partenaire est chargé de collecter toutes les informations en HUMINT (Human Intelligence, ou renseignement en sources humaines) et met à disposition de l’équipe cyberdéfense toute l’information disponible en se basant sur sa cartographie. Il identifie les noms de domaine, les mots clés spécifiques relatifs aux documents pouvant se retrouver sur les forums fréquentés notamment par les cybercriminels : « de cette manière, on peut s’apercevoir que tel partenaire qui a eu accès à nos documents s’est fait piéger. Nous avons ainsi une remontée d’information indirecte sur cette fuite de données ».
L’action de l’équipe porte sur la lutte contre les fuites d’identifiants et enfin, un volet veille et menaces est centré sur les TTP (tactiques, techniques et processus) des acteurs malveillants. Celle-ci tient compte de la géographie de l’entreprise et de ses secteurs d’activité : « nous regroupons toutes ces informations afin d’anticiper les menaces et orienter nos stratégies de chasse aux menaces ».
Une approche de type MSSP interne
L’EASM a été intégré à l’offre de services interne destinée à toutes les entités juridiques du groupe. Le service cyberdéfense fonctionne comme un mini prestataire de services de sécurité managés (MSSP) interne et doit proposer son offre de protection de la surface d’attaque aux divisions du groupe.
Il faut à la fois valoriser l’offre du point de vue financier, mais aussi communiquer sur cette approche : « l’idée a été de créer un pôle valorisation associé à la cyberdéfense afin de promouvoir ce qui est réalisé, vulgariser ces services et surtout créer un consensus. Une gouvernance a été mise en place en parallèle sur le volet CTI afin d’adresser cette problématique ».
« Nous voyons les menaces ; les RSSI comprennent les risques. La mise à jour des menaces est aussi importante que la réévaluation des risques ».
Chakib GzenayiResponsable cyberdéfense
Le responsable estime que ces actions ont permis aux équipes de comprendre l’intérêt de cet effort d’anticipation mené en interne. Une gouvernance spécifique a été mise en place avec les correspondants cybersécurité localisés dans tous les pays où le groupe est présent : « nous voyons les menaces ; les RSSI comprennent les risques. La mise à jour des menaces est aussi importante que la réévaluation des risques ».
Désormais, le pilotage de la cyber est réalisé par les risques. Des indicateurs de performances ont été mis en place et ce changement d’approche porte ses fruits : « en l’espace d’un an et demi, nous avons pu constater la prise en compte de ce changement d’approche. Nous avons été victimes d’un certain nombre d’événements qui ne sont pas allés jusqu’au bout. Toutes les solutions et les processus qui ont été mis en place ont permis d’éviter la catastrophe et cela a été bien vu ».
Pour Chakib Gzenayi, l’EASM est un maillon de la chaîne de protection du système d’information, un maillon très important, mais qui n’est pas nécessairement le plus important tant le périmètre à couvrir est complexe, avec des assets internes, externes, inconnus ou pas et des partenaires tiers parfois compromis. Et de conclure : « l’EASM est important, mais le renseignement est plus important que tout. La CTI, ce n’est pas simplement des flux d’indicateurs de compromission (IoC). Elle peut alimenter de nombreux cas d’usage possibles qu’il faut identifier, de même que tous les risques à couvrir de manière à protéger au mieux l’entreprise, sans pénaliser son activité ».
Témoignage issu du Summit Cybersécurité BrightTalk/LeMagIT de juin 2024. Il est disponible ici dans son intégralité.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
