Dans ce Point Cyber, Ivan Rogissart, directeur avant-ventes Europe du Sud chez Zscaler, analyse les récentes attaques contre les aéroports européens. Il explique pourquoi la cyber-résilience et une supply chain sécurisée sont essentielles pour maintenir l’activité, et comment l’approche Zero Trust peut limiter l’impact des ransomwares.
00:00Édition spéciale de SmartCyber tournée sur le campus francilien à l'occasion de l'événement CyberEco qui est organisé dans le cadre du CyberMoi.
00:12Nous on va commencer cette émission avec un point cyber. On revient avec Yvan Rogissard. Bonjour Yvan déjà.
00:17Bonjour Nalfine.
00:18Sur ces attaques qui ont touché les aéroports européens, c'était au mois de septembre, c'est encore assez récent.
00:26On va essayer de décrypter ce qui s'est passé. Avant, je vous présente, vous êtes le directeur avant-vente chez Zscaler qui est un acteur de la sécurité cloud pour l'Europe du Sud en ce qui vous concerne.
00:37Alors revenons sur ces faits de ces attaques, cyberattaques, qui ont touché les aéroports en Europe. Que s'est-il passé ? Est-ce que vous pouvez nous redérouler ?
00:47Oui, alors on a découvert que Muse, ce n'était pas simplement comme un groupe de rock qu'on apprécie tous, que c'était aussi un système très critique pour l'ensemble des aéroports.
00:58Donc en fait, ce qui est intéressant de voir, c'est qu'en fait, on n'a pas affaire à une attaque directement sur les aéroports,
01:04mais à une attaque qui cible un fournisseur des aéroports, un système informatique qui va permettre le boarding des passagers.
01:14Alors si je reprends le déroulé quand même, donc on est mi-fin septembre, 19 septembre je crois, si je viens ça en tête.
01:2119 septembre, ça démarre à l'aéroport de Bruxelles, d'accord ? On a donc des retards, des annonces d'annulation de vols à la suite d'une cyberattaque,
01:30visiblement qui cible le système d'enregistrement et d'embarquement, donc fourni par une société américaine.
01:37Qui s'appelle Colina Aerospace.
01:38Voilà, et puis dans le week-end, d'autres aéroports font état également de perturbations.
01:43Voilà, en fait c'est tout simplement la criticité d'un maillon de la supply chain qui est impactée.
01:53Alors l'attaque, c'est un ransomware.
01:56Le problème c'est qu'on passe par un fournisseur qui est aujourd'hui, on va dire, omniprésent.
02:01Et ce n'est pas un problème, c'est une évidence de l'économie actuelle sur laquelle on a des acteurs qui sont très spécialisés.
02:08Et je pense qu'un aéroport n'a pas à faire son système d'embarquement, ça coûterait trop cher, il y aurait trop d'équipes à faire.
02:15Donc on est toujours dépendant de fournisseurs.
02:18La problématique qu'on a, c'est qu'on vit dans un monde qui est de plus en plus digital et donc en fait chacun digitalise son service.
02:26Et donc chacun est vulnérable.
02:29Et là en fait, on a un fournisseur qui a été attaqué à travers un ransomware et donc son système est tombé.
02:35Donc vous confirmez que c'est un ransomware ?
02:37Oui, c'est public donc en fait...
02:40L'information, ok. Très bien.
02:42Et est-ce qu'on peut faire le parallèle avec ce qui s'est passé avec CrowdStrike ?
02:47Parce que quand vous dites qu'on a...
02:48Non, ce n'est pas tout à fait la même chose.
02:49Non, non, mais sur la répercussion en fait que ça a eu au niveau du nombre d'aéroports.
02:54L'impact de la supply chain est toujours important.
02:58Qui est aussi omniprésent en fait dans la chaîne de sous-traitants.
03:02On se retrouve avec des impacts, des dommages collatéraux.
03:05C'est vrai. Mais là, je pense que dans le cadre des aéroports, le passager qui était impacté à Bruxelles,
03:12ça ne le consolait pas trop de savoir que le passager à Israël était aussi impacté et que le passager à Berlin était impacté.
03:18En fait, là, je pense qu'on n'a pas un rythme économique, systémique sur l'ensemble des choses.
03:24On a des choses quand même qui sont centralisées au niveau d'un aéroport qui perturbent l'ensemble des passagers.
03:29Je pense que j'aurais été passager, j'aurais été assez énervé aussi, comme tout un chacun.
03:33Mais en gros, globalement, là, on a quelque chose qui est de l'ordre de comment je gère le risque de mes fournisseurs.
03:39Et derrière, on a des directives comme NIS2, par exemple, qui imposent ou vont imposer,
03:48puisque c'est quelque chose qui va prendre quand même du temps à être travaillé et mettre en conformité,
03:54que l'ensemble des acteurs de la supply chain soient analysés par rapport aux risques qu'ils présentent
04:00et qu'on vérifie notamment les problématiques de résilience.
04:04Parce que finalement, le risque zéro n'existe pas, notamment dans le monde cyber.
04:10Et donc, si jamais ils avaient pu redémarrer sur un système résilient à côté,
04:16on aurait peut-être eu une perturbation, mais qui aurait peut-être duré beaucoup moins longtemps.
04:20Donc, en fait, on voit bien qu'on vit dans un monde digital,
04:25même si là, les gens ont repris, dans certains cas, le stylo et le papier pour faire les enregistrements.
04:29Mais globalement, ça crée évidemment de la perturbation.
04:32L'intérêt, c'est de savoir et de connaître son risque par rapport à ce supply chain,
04:38de valider les plans de résilience, les plans de disaster recovery et de business continuity,
04:43parce que là, on parle peut-être plus d'un plan de disaster recovery et de business continuity.
04:48Comment mon fournisseur s'est redémarré ?
04:52Et c'est valable, tout à l'heure, vous parliez de cross-strike.
04:54C'est valable, évidemment, pour les acteurs de la cyber, mais c'est valable pour n'importe quel fournisseur.
04:59C'est pour ça que je voulais quand même qu'on explique ça.
05:01Pourquoi je parle de cross-strike ?
05:02Parce que cross-strike, c'est une mise à jour, visiblement.
05:05Il y a eu un problème au moment d'une mise à jour.
05:07C'est pour ça que je disais que ce n'est pas tout à fait pareil.
05:08Alors que de l'autre côté, on a une attaque par ransomware.
05:11Mais dans les deux cas, finalement, on se rend compte que c'est un sous-traitant qui est attaqué,
05:17et non pas directement l'entreprise qui fournit le service aux consommateurs finales, aux voyageurs et tout ça.
05:25Comment est-ce qu'on peut, puisque ça fait partie effectivement des obligations de Nice 2,
05:29comment est-ce qu'on fait pour s'assurer que ces sous-traitants sont résilients, ne présentent pas de failles particulières ?
05:37C'est carrément, on se dit, c'est carrément mission impossible.
05:39Alors, c'est là où j'en viens à ma question clé.
05:43Quel est le conseil du pro ?
05:45Alors, je pense qu'en fait, c'est évidemment très compliqué,
05:50mais c'est le but d'une entreprise et du RSSI d'analyser les éléments de sa supply chain qui sont critiques,
06:00et de voir sur chacun de ces éléments quel mécanisme de résilience et de business continuity il peut avoir.
06:08Parce que finalement, le business continuity de mon fournisseur participe à mon propre business continuity.
06:14Ça veut dire quoi ? Il faut que je l'audite mon fournisseur sur ce point-là ?
06:18Il faut que je teste, il faut que je vérifie qu'il en ait un.
06:21Parfois, c'est des choses qui sont peut-être oubliées lors de la sélection d'un fournisseur.
06:27On peut considérer que je vais choisir le fournisseur le moins cher,
06:31même si finalement, ces procédures de disaster recovery et de business continuity sont moins bonnes.
06:36Ça, ce ne serait pas votre conseil par exemple ?
06:38Voilà, ce serait un peu mon conseil de regarder et de s'intéresser fortement sur quel que soit l'acteur,
06:44notamment les acteurs de la cybersécurité.
06:47Qu'est-ce qui se passe s'il y a un problème chez ce fournisseur-là ?
06:50Nous, c'est quelque chose qu'on a traité, on a analysé, on a segmenté aussi les risques par rapport à nos différents clients.
06:58Et on a mis aussi en place des systèmes de boutons rouges qui permettent de fonctionner,
07:05même si, ce qui n'est jamais arrivé, l'ensemble des data centers de disaster ne fonctionnaient plus à travers le monde.
07:12Comment est-ce qu'on évite la propagation aussi, une fois que c'est là ?
07:15Alors, la propagation, ça c'est un autre aspect.
07:18Aujourd'hui, on a deux choses.
07:20On a d'abord, avant la propagation, il y a le fait d'avoir des choses vulnérables.
07:25Là, malheureusement, on va vivre de plus en plus avec ce risque de vulnérabilité qui est important.
07:30Donc, connaître sa vulnérabilité, pouvoir croiser les différentes vulnérabilités qu'on peut avoir,
07:35c'est, je pense, quelque chose qui est essentiel.
07:38Et après, ce qui est vulnérable est beaucoup moins exploitable si c'est caché que si c'est publié.
07:44Et là, on va rentrer dans un sujet qui m'est cher, qui est le zero trust, qui est d'arrêter de tout publier.
07:50Donc, aujourd'hui, on publie à travers des VPN, on publie à travers des sites web,
07:54on publie trop, trop d'informations qui donnent la vie beaucoup trop facile aux attaquants
08:00d'exploiter une vulnérabilité parce qu'on publie.
08:03Donc, si j'ai une vulnérabilité et tout le monde, de nouveau, est à la merci d'avoir des vulnérabilités,
08:08si je ne publie pas ma vulnérabilité, c'est beaucoup plus difficile d'exploiter la vulnérabilité.
08:14Et c'est la force du modèle zero trust, c'est de cacher les ressources, de cacher les systèmes
08:19et de s'assurer que simplement une personne avec le bon appareil, c'est-à-dire non pas un biode,
08:26mais un appareil autorisé avec un certificat, avec des checks de posture qui soient faits,
08:31va pouvoir accéder de façon licite à un système et pas à un réseau sur lequel après il va commencer à se diffuser partout.
08:41Parce que les attaques, c'est toujours ça, je rentre par une porte, une vulnérabilité et après je m'étends,
08:49je fais un mouvement latéral et je vais cibler le système Muse par exemple qui va embêter tout le monde.
08:55Ce n'est pas évident qu'ils soient rentrés directement par Muse, ils sont sans doute rentrés par un VPN,
09:00par un port RDP qui était peut-être ouvert ou des choses comme ça, qui ont permis de rentrer sur le réseau.
09:05Et comme on a un modèle historique qui est basé sur le réseau, les attaquants peuvent se déplacer dans le réseau.
09:12Et nous, notre vision, c'est de dire non, il faut arrêter de donner accès au réseau,
09:17il faut segmenter, micro-segmenter qui a accès à quoi d'un point de vue ressources applicatives et ressources systèmes.
09:24Conseil du pro, Zero Trust, si j'ai bien compris et je résume.
09:27Merci beaucoup, Yvan Bogissard de Zscaler d'avoir été avec nous.
09:32On enchaîne avec notre talk, on va s'intéresser à comment l'IA peut être un outil, un allié aussi, une alliée en l'occurrence pour notre cybersécurité.
Écris le tout premier commentaire