- il y a 1 jour
Catégorie
🤖
TechnologieTranscription
00:00donc bonjour à toutes et à tous je vous remercie de participer à ce nouveau
00:06webinaire du CISERT donc je vais d'abord vous donner quelques petites modalités
00:11donc le webinaire est enregistré et la rediffusion sera diffusée sur notre
00:19sur notre chaîne Dailymotion donc on va organiser la présentation
00:26donc je vais d'abord faire la petite introduction ensuite donc notre
00:31intervenant va donner sa présentation et puis vous pourrez poser vos questions
00:35tout le long de la présentation mais on y répondra plutôt à la fin et puis par la
00:42suite de ce webinaire donc vous recevrez un mail qui vous donnera le lien vers la
00:46rediffusion donc je vais me présenter rapidement je m'appelle Aliénor de Nizet
00:51je suis ingénieur cybersécurité au centre régional de cybersécurité bourgogne
00:55Franche-Comté ou CISERT en version courte et donc pour ceux qui ne connaissent pas
01:01encore donc nous sommes une mission de service public qui s'adresse aux
01:07collectivités, établissements publics, entreprises et associations de toute la
01:11région Bourgogne-Franche-Comté et on a quatre missions principalement donc la
01:16réponse à l'incident, l'alerte surtout quand on voit des vulnérabilités qui ont
01:25été dévoilés, la sensibilisation et également donc de l'animation du
01:30territoire et c'est dans ce cadre que le webinaire s'inscrit puisque on a aussi
01:36la tâche de cartographier les acteurs de la cyber dans la région et donc
01:43aujourd'hui nous avons le plaisir de recevoir Michel Racmunéro qui est
01:48architecte leader cloud et sécurité chez Cibergogne et à qui je laisse la main.
01:53Merci beaucoup. Merci Aliénor. Oui bonjour à tous donc effectivement je travaille pour
02:01Cibergogne qui est une petite start-up qui a démarré en fait assez récemment et qui vise
02:08en fait à amener des solutions de cybersécurité notamment pour des
02:12collectivités ou des entreprises dont la taille disons n'est pas forcément à la n'est pas
02:22forcément toujours adaptée aux solutions existantes de cybersécurité et donc on
02:29essaie de combler ce vide aujourd'hui on va vous on va on va c'est la présentation autour de la
02:37de sujets qui sont pas forcément toujours bien enfin qui sont pas toujours développés autour de
02:43la continuité de la reprise sur incident et aussi l'apport majeur que peut avoir dans nos
02:52solutions d'ailleurs on on a une utilisation massive de de l'IA sur un peu toutes les formes
02:58agents mcp etc ce qui nous permet d'ailleurs même en étant une petite structure de pouvoir de pouvoir en
03:06en fait développer des solutions et puis une activité aussi qui qui se rapproche de disons
03:12d'entités plus plus importantes et on verra également aussi ce qu'on peut proposer en
03:17termes de plan d'action parce que l'idée c'est c'est de savoir aussi comment comment comment
03:23comment on se prépare comment on résiste et comment on récupère en fait des des attaques voilà
03:36alors sur sur sur 2025 en fait on a pu constater une montée assez forte en fait des des attaques il
03:53y a 187 incidents qui ont été qui ont été identifiés par l'anci concernant des attaques
04:00cybersécurité sur des sur des collectivités en particulier qui représente comme 17% des
04:06signalements et avec une forte prédominance des ransomware notamment de log bit donc voilà donc
04:18on est aujourd'hui en 2025 sur un contexte quand même assez assez force autour de autour du risque cyber
04:25et ça touche pas seulement les grands groupes mais aussi toutes les toutes les entreprises et
04:33toutes les collectivités donc d'où l'importance en fait pour pour ces différentes entités de détecter
04:42au plus tôt les les attaques et de et surtout de voir en fait à l'issue de cette attaque de voir en
04:51fait comment préparer la reprise sur la reprise du service puisqu'en fait donc ce qui compte pour
04:59autant pour les établissements de service public pour les entreprises c'est de préserver le la
05:06fourniture du service
05:07alors tout repose en fait sur un triptyque qui est qui est la résilience enfin la résilience
05:20que qu'on va défendre aujourd'hui c'est repose sur un triptyque PRA PCAIA alors ceux qui connaissent
05:27c'est avant tout le la reprise de la reprise d'activité donc comment comment revenir le plus
05:35vite possible comment rétablir plus le plus vite possible le service le PCA c'est comment on maintient
05:42l'essentiel idée c'est de d'assurer la continuité du service et comment on perd comment on peut assurer
05:48cette ce maintien de sinon de l'ensemble du service au moins de de l'essentiel et puis il ya aussi
05:55maintenant pour gagner de précieuses minutes sur sur la détection mais aussi sur la reprise
06:01le sur la reprise du service
06:10alors sur la sauvegarde puisque la sauvegarde rentre en fait dans le dans le PRA donc dans un des
06:18piliers de la résilience de la résilience la vision qu'on a autour de la sauvegarde va n'est pas
06:26seulement en fait un outil voilà que que l'on tini que l'on déploie contraint et forcé parce que à un
06:33moment donné il faut faire de la sécurité et donc il faut déployer des outils de sauvegarde on essaye de
06:39recentrer la sauvegarde dans un cycle de vie de la donnée qui démarre en fait depuis la création
06:46jusqu'à jusqu'à la pure je vais pas rentrer dans le détail mais je vous donner ici un exemple lié à
06:53par exemple à l'application sur un sur un processus métier de facturation et les différentes étapes en
07:00fait des données et de leur état dans ce type de processus justifient en fait des politiques
07:10distinctes à chaque état ce qui peut se traduire d'ailleurs pour simplifier un peu la présentation
07:17par exemple des stockages ce qu'on appelle chaud froid c'est à dire en fait des stockages qui représentent
07:27des données actives des données qui ne sont pas nécessairement utilisées de façon très fréquente donc
07:33associer des stockages de avec des coûts des coûts différents par exemple plutôt du ssd pour pour les
07:44données dynamiques et puis des du stockage mécanique pour des données moins fréquemment utilisées et donc
07:51des politiques de sauvegarde adaptées à chaque fois pour chacune de ces de ces de ces moyens de
07:57stockage voilà je sais c'est une une autre vision en fait qu'on essaye de porter sur le sur la
08:05sauvegarde c'est pas c'est pas un outil isolé qui voilà qui est rapporté c'est vraiment un moyen en
08:14fait de une phase en fait de la gestion du cycle de vie de la donnée stratégie 3 2 1 1 0 c'est assez
08:27maintenant c'est assez bien développé aujourd'hui aujourd'hui on parlait auparavant de 3 2 1 c'est à
08:36dire une stratégie qui qui va instancier trois copies de la donnée avec sur deux supports différents dont
08:42un hors site aujourd'hui on va même un petit peu plus loin on a on préconise une sauvegarde immuable
08:53donc qui ne peut pas être qui ne peut pas être modifié ce qui est particulièrement précieux dans
08:58l'état dans les dans le cas des attaques ransomware et puis zéro erreur c'est à dire en fait là il faut
09:05évidemment s'assurer de l'intégrité l'intégrité de la donnée voilà un exemple de de ce type de stratégie ça
09:19peut être par exemple une une copie locale sur sur un nas et puis hors site avec un stockage objets sur
09:27sur aws ou sur azur et avec un verrouillage sur le sur le stockage s3 pour garantir son son immuabilité
09:37donc évidemment avec pour la correction des erreurs les tests des tests mensuels et une revue régulière des
09:48journaux de sauvegarde
09:49voilà alors l'introduction de l'IA ça c'est assez c'est assez récent mais nous on y accorde
09:58vraiment une importance une importance fondamentale avec donc l'IA défensive et la détection de
10:06comportement de comportement suspect le chiffrement massif les déplacements latéraux sur le sur le
10:16réseau l'exfiltration anormale de données voilà ce type de comportement peut être peut être détecté
10:24aujourd'hui beaucoup plus facilement avec avec des outils comme l'IA c'est pas nouveau il existe il
10:29existait auparavant des algorithmes de détection comportementale mais ils étaient ils étaient beaucoup
10:35plus difficiles à mettre en oeuvre j'avais travaillé par exemple sur chez bnp paribas sur ce type de
10:40solutions ça demandait vraiment une mise en oeuvre très importante avec des logiciels assez
10:48relativement complexe à déployer l'IA aujourd'hui permet de simplifier largement ce type de ce type de
10:56mise en oeuvre d'où l'intérêt l'intérêt principal c'est donc de pouvoir stopper la majorité des attaques
11:05avant un impact majeur et le couplage avec des règles des règles solides on vit comme le chiffre l'indique
11:17là une vise à peu près près près près de 16% de de rançon logicielle stoppée avant qu'il puisse être être
11:24être appliqué
11:32alors sur l'IA défensive et notamment la réponse assistée
11:37là on a la capacité aujourd'hui à pouvoir définir des playbooks c'est à dire en fait des disons des des des automates
11:49prédéfinis ou ou générés automatiquement par par par l'IA et qui permettent de de réduire très
12:01ici très significativement la réponse la réponse à l'incident là je le la réduction peut aller jusqu'à
12:13même 40 minutes sur entre la détection et puis la remédiation donc on gagne en temps de remédiation
12:24on réduit l'impact mais il faut pas oublier évidemment qu'il y a toujours un humain en commande
12:30c'est très important les liens aujourd'hui n'est quand même pas suffisamment fiable pour pouvoir la
12:36laisser agir en complète autonomie voilà alors c'est c'est il ya évidemment sera toujours couplé avec
12:51que des plans de de de réponses qui soit qui répondent toujours à peu près ou même
12:59une petite étape à c'est à dire il isolement par des coups de réseau par l'EDR
13:06des collectes de d'informations
13:09arbres de processus au redatage etc pour instruire là le gain de diagnostic les blocages
13:18IOC au travers de l'EDR et des pare-feux
13:21et puis éventuellement si on doit en arriver là les restaurations ciblées par snapshot
13:27les sauvegardes immuables etc
13:30voilà donc voilà donc sur la partie
13:39implication de l'IA sur un autre aspect aussi qui est fortement lié à la sauvegarde c'est la
13:50segmentation du réseau
13:56c'est une exigence en fait pour pouvoir assurer
13:59alors là je parle évidemment sur des réseaux un peu plus avec une un nombre d'actifs un peu plus
14:09significatif mais les la segmentation en fait du réseau en différentes zones est absolument essentielle déjà
14:19c'est une sécurité supplémentaire puisque la segmentation agit comme un coup de feu
14:24elle permet de d'éviter qu'une attaque puisse si elle a pu être s'introduire en fait sur une zone
14:31du réseau elle empêche en fait la contamination sur sur l'ensemble sur l'ensemble du parc
14:37et par rapport aux problématique de sauvegarde ça permet aussi d'éviter puisqu'en fait les outils de
14:48sauvegarde ayant la capacité à pouvoir évidemment à atteindre l'ensemble des actifs pour pouvoir récupérer
14:55les données la segmentation évite justement au travers de la compromission d'un outil sauvegarde de
15:02pouvoir par des mouvements latéraux atteindre l'ensemble du l'ensemble du réseau dans la
15:08segmentation en général par par des vlan par des pvlan par faillite il existe tout un ensemble de
15:15mécanismes qui permettent d'assurer cette segmentation que ce soit d'ailleurs en pré en sur sur les data
15:22center sur vos data center ou ou sur vos salles serveurs ou sur éventuellement autre chose ou sur le cloud
15:32alors évidemment le réaliser des sauvegardes c'est c'est une c'est une bonne chose mais il est
15:49absolument essentiel de pouvoir vérifier que ces sauvegardes fonctionnent et qu'elles fonctionnent
15:54aussi dans un plan de reprise le pra dont dont je parlais tout à l'heure et donc définir des
16:03exercices trimestriels sont d'ailleurs des recommandations qui s'adressent à n'importe
16:07quelle taille de structure c'est réaliser des exercices trimestriels ça peut être fait à n'importe quel
16:17niveau et là en fait là l'idée je sais pas si l'un d'entre vous aurait déjà réalisé des exercices de
16:25ce type là mais c'est vrai que c'est très c'est relativement complexe ça demande beaucoup de beaucoup
16:31de documentation de procédures là aussi les avancées autour de l'IA mais aussi autour de ce qu'on appelle
16:40l'IA c l'infrase code permettent aujourd'hui de pouvoir largement simplifier ce type d'exercice puisque
16:49là on a la capacité à pouvoir automatiser les disons les tout ou une grosse partie en fait des des tâches
16:59qui sont incluses dans ces dans ce type de reprise ce qui est peut être intéressant également parce qu'il
17:06est mentionné sur le slide c'est d'introduire ce qu'on appelle l'engineering par le chaos c'est à dire
17:14en fait la capacité à pouvoir introduire disons des phénomènes un petit peu aléatoires dans le
17:25fonctionnement de dans le fonctionnement du parc de façon à pouvoir simuler en fait justement des attaques
17:33qu'ils soient des attaques connues mais surtout des attaques qui ne seraient pas forcément n'auraient
17:39pas été forcément identifiés jusqu'à présent toujours dans l'idée que il vaut mieux casser sur
17:46une maquette que en production voilà sur sur les aspects plus culture cyber puisque en fait dans
17:58ces présentations il y avait aussi un peu là le l'aspect sensibilisation des des populations
18:07d'utilisateurs puisqu'on sait aujourd'hui que la plupart des attaques se font par par par le biais
18:17d'un d'un humain en fait par le biais d'une d'une disons d'une ouverture d'une faiblesse qui a été
18:25trouvé dans dans les activités dans des activités humaines donc c'est particulièrement important
18:33justement dans cette culture cyber de ne pas être entièrement focalisé sur sur les aspects
18:38techniques mais aussi d'avoir une approche côté côté utilisateur nous ce qu'on prévoit ce sont ce
18:49qu'on appelle des micro capsules vidéo c'est à dire en fait des vidéos très courtes on s'existe il y a
18:55multiples sociétés aujourd'hui qui qui et qui travaillent là dessus qui ont qui ont des offres
19:00d'ailleurs très intéressante on est en partenariat avec certains d'entre elles pour en fait mettre à
19:07disposition de l'utilisateur des vidéos très courtes de 3 à 5 minutes mais qui permettent de maintenir la
19:16vigilance les réflexes vis-à-vis de vis-à-vis de justement des attaques potentielles on sait
19:24c'est particulièrement important parce que même si aujourd'hui des utilisateurs qui se sentent
19:30relativement confiance moi je rencontre régulièrement sur les sites sur lequel on sur lequel on va ces
19:39utilisateurs ne se rendent pas toujours compte que en fait déjà d'une part les attaques évoluent
19:44constamment notamment aussi par la contextualisation de ces attaques au travers des données personnelles
19:52qui ont fait collecter par ailleurs donc c'est donc on peut facilement se faire piéger j'ai eu
20:00encore des exemples récents là dessus donc le maintien de cette vigilance et surtout là la prise de
20:07connaissance en fait des dernières nouveautés en termes d'attaque est particulièrement important
20:14donc c'est un peu l'objet de ces de ces micro capsules vidéo sur l'aspect mfa et mise à jour automatisée
20:29c'est aussi un aspect très important dans la mise en place d'une d'une d'une cybersécurité c'est vraiment
20:41c'est vraiment le point de base l'hygiène de base en fait donc ce qui est recommandé sur cet aspect là c'est
20:53évidemment évidemment d'appliquer le mfa partout sur sur l'ensemble des accès sur sur les actifs
21:00avec du du la gestion de correctifs pilotés et un coffre-fort de deux mots de passe
21:08voilà ça ce sont vraiment les les aspects fondamentaux ce que je joins aussi également à ça
21:19ce qui est aujourd'hui largement poussé par par les les textes de loi notamment la loi rse c'est de
21:29c'est aussi de réduire globalement la consommation d'énergie donc c'est un point aussi je fais le la
21:39liaison avec la cybersécurité de ce côté là parce que c'est évident que si on réduit l'énergie consommée
21:45par en disons en ciblant vraiment l'essentiel de ce qui doit être activé à un moment donné en
21:52termes d'actifs on réduit la surface d'attaque c'est assez évident donc c'est aussi un aspect qui
22:00rejoint le la cybersécurité le cadre les cadres rgpd lice 2 qui sont aujourd'hui des cadres de conformité
22:10qui qui vont devenir de plus en plus présents dans aujourd'hui c'est surtout au niveau des grands
22:19groupes et on sait aujourd'hui que petit à petit on redescend au niveau des structures de des petites
22:25structures et donc ça va être là aussi un point essentiel à prendre en compte les aspects rgpd
22:36aujourd'hui sont pas très bien sont pas très bien servis on le sait dans les entreprises tous les
22:44tous les tous les aspects ne sont pas forcément mis en place et au niveau nice 2 au niveau 10 2 c'est
22:51essentiellement ce dont on vient de parler autour de autour du pc ap ra etc là aussi il y a encore beaucoup
22:59de lacunes voilà et donc j'en arrive donc au plan que j'avais promis au départ de cette présentation
23:09c'est à dire en fait comment est ce que justement les entreprises et les collectivités peuvent ils ont
23:18s'aligner sur ces sur ces cadres réglementaires et aussi ce c'est d'arriver à une protection minimale
23:25là ce qu'on propose c'est une trajectoire courte séquencée et aussi mesurable c'est à dire en fait
23:37qu'on peut avoir un retour sur à chacune des étapes sur l'effet produit par les mesures appliquées
23:47donc à 30 jours ce qu'on préconise c'est la mise en place de du mfa partout
23:54des scans d'exposition internet et actif directeur ici les s'il est présent à 60 jours déployer les
24:05les principes de sauvegarde restauration dont on dont on a présenté juste juste précédemment et à 90
24:15jours et bien commencer à faire des exercices de crise qui sont qui prennent à peu près deux heures
24:23c'est c'est des scénarios relativement court mais qui permet d'avoir un retour assez rapide sur disons
24:32la situation de résilience de l'entreprise et de pouvoir tout de suite construire le premier plan
24:41d'amélioration donc en termes de livrable à 30 jours on aura déjà le un registre des comptes la
24:50matrice la matrice mfa à 60 jours les rapports de restauration le coffre immuable dont on avait
24:58parlé aussi précédemment et puis à 90 jours les les comptes rendus d'exercice et une feuille de
25:03route priorisée pour attaquer dès le départ les les points les plus critiques et
25:11alors sur il ya toujours une question qui revient régulièrement autour de la cybersécurité c'est le
25:18coût qui est qui est induit ça c'est vrai que c'est un assis ce qui est ce qui peut être demandé ce
25:29qui peut être exigé en termes de cybersécurité d'outillage de d'audit de remédiation sur les sur les actifs
25:39existants peut sembler écouter cher il faut voir aussi qu'un incident en soi coûte peut coûter encore
25:47beaucoup plus cher là je vous ai donné deux chiffres d'une part le coût d'un incident alors évidemment
25:54c'est des coûts constatés que ce soit l'un ou l'autre donc les 300 cas représentent en fait non
26:03seulement les pertes directes liées à du ransomware ou à du chantage mais aussi les coûts induits par
26:14les sanctions administratives les sanctions les pertes d'exploitation les pertes éventuellement
26:24d'actifs voilà donc ça peut aller très loin et puis aussi d'ailleurs les actions de remédiation des
26:36sociétés comme la nôtre qui travaillent sur la sur la cybersécurité qui interviennent qui
26:41interviennent au moment de l'incident voir que les facturations de des sociétés de cybersécurité
26:48peuvent paraître élevées mais dans le contexte d'un d'un incident on est dans un on est dans un
26:56dans du pénal constitué avec un avec un délit et on ne peut pas agir comme on pourrait avec la même
27:05liberté qu'on aurait si on était dans un dans une phase de remédiation classique donc ça induit des
27:10procédures beaucoup plus contraignantes et donc évidemment du temps et des moyens qui sont qui sont
27:18là aussi facturés donc qui a donc voilà d'où le message principal là c'est évidemment vous avez tout
27:28intérêt à avoir une à faire la remédiation préventive plutôt que d'attendre le prochain incident
27:35sachant que bon il existe quand même des aides des aides possibles sur la mise en oeuvre de la
27:46cybersécurité voilà en termes de sur la partie coût aussi il ya quand même quelques bonus si en
27:58appliquant justement des consignes liées à l'économie d'énergie il ya différents différents aspects si
28:08on est sur le cloud au travers de ou si vous avez des hyperviseurs au travers de l'auto scaling par
28:12exemple ou la maîtrise du stockage comme je dis comme je l'ai évoqué tout à l'heure avoir différents
28:21supports de stockage en fonction de la dynamique des données l'extinction nocturne aussi c'est évidemment
28:29des choses qui peuvent qui peuvent aider puis il ya aussi tout un tas d'autres mesures en fonction du
28:35parc de du client voilà j'espère que j'ai pas été trop long j'ai pas regardé l'heure donc j'espère que
28:47j'ai pas dépassé le temps qui m'était imparti a débordé un tout petit peu oui je vois rester encore
28:54un peu et quand des questions c'est toujours possible moi j'ai une petite remarque en attendant
29:02qui est possiblement une question je sais pas si vous serez d'accord avec moi mais je me dis que
29:07justement l'utilisateur fin lui on sait qu'il veut que son outil marche parce qu'il veut pouvoir continuer
29:14son activité métier et donc je me dis que la sensibilisation en prenant le levier de la
29:19continuité d'activité ça permettrait de mieux impliquer l'utilisateur et de lui faire vraiment
29:24prendre conscience des enjeux effectivement oui je n'avais pas vu ce point là mais oui c'est impliquer
29:35en fait plus directement les utilisateurs dans les exercices de de pra pca
29:41en fait non même pas d'ailleurs il n'y a pas enfin il y a une application il peut y avoir une
29:49implication mais les elle va être très très réduite mais c'est vrai que ça peut être une très bonne
29:53idée justement de profiter des exercices de pca p ra pour solliciter davantage les utilisateurs et du
30:01coup et du coup leur faire comprendre que voilà qu'est ce qui peut se passer en cas d'incident cyber et donc
30:10les les les à la fois les enjeux mais aussi les conséquences liées à la mise en oeuvre qui sera qui
30:17sera qui sera fait pour éventuellement récupérer de l'incident donc ça peut être un moyen là aussi
30:22de de les sensibiliser sur les conséquences et donc oui de de renforcer leur intérêt sur sur les mesures qui
30:32leur qui leur qui leur sont préconisées oui c'est effectivement je vais merci alinor je vais rajouter ça
30:38dans ma prochaine présentation je vois pas de questions donc c'est que ça devait être très très clair
30:49ça l'était selon moi ok je vous remercie beaucoup merci à tous donc comme je le disais au début du webinaire vous recevrez le lien vers la rediffusion
31:01et puis encore une fois merci michel pour cette présentation de qualité merci à vous
31:08et puis je vous souhaite à toutes et à tous une très bonne journée bonne journée au revoir
31:15merci bonne journée au revoir au revoir
Recommandations
1:00
9:11
2:38
4:14