[Interview] Rencontre avec David Bizeul, responsable CSIRT chez Cassidian CyberSecurity

Aujourd’hui je vous propose une interview de David Bizeul (@davidbizeul), responsable d''équipe CSIRT (Computer Security Incident Response Team) chez Cassidian CyberSecurity. A l'image de la première interview (des fondateurs de l'ISSA France) que j'avais réalisée en janvier dernier, cet échange vise à vous présenter plus en détail le travail et la vision "cybersécurité" d'un expert en sécurité informatique.

On va notamment parler d'APT, d'attribution et de forensics.

Merci encore à lui et à Cassidian CyberSecurity pour s'être prêté au jeu !

Bonne lecture !

David Bizeul

Responsable d'équipe CSIRT  

David, peux-tu te présenter brièvement ? Quel parcours as-tu eu avant de rejoindre Cassidian CyberSecurity ?

J'ai toujours gravité dans le monde sécurité. Dans mon parcours personnel, j'ai essayé d'apprendre au maximum avant de partager et de tenter de contribuer à l'amélioration de la sécurité autour de nous. Dans mon parcours professionnel, j'ai conçu et implémenté différentes infrastructures sécurisées pour des grands groupes à base de briques essentielles (firewall, IDS, VPN, contrôle d'intégrité, haute dispo, SIEM ...) avant de créer le CERT d'une grande banque française. Plus récemment, j'ai pris la responsabilité d'une équipe d'experts au sein de Cassidian CyberSecurity. Ce que j'aime par dessus tout c'est de concevoir des approches sécurité clé en main simples d'accès mais basées sur des concepts performants. J'ai 36 ans et je me rends compte que je fais maintenant partie des "vieux" autour de moi. Il faut voir le bon côté, cela permet de faire passer des messages plus facilement auprès des décideurs.

En matière de cyber sécurité, quels sont les objectifs de Cassidian CyberSecurity ? 

Donnons tout d'abord le contexte : Cassidian CyberSecurity (CCS pour les intimes) a été créé sous l'impulsion du Groupe EADS et de Cassidian pour disposer d'une vraie force opérationnelle en matière de cybersécurité. Nous mettons à profit notre multi localisation géographique pour développer une capacité transverse européenne. Les ambitions sont simples : devenir un acteur leader en matière de cybersécurité en Europe. Pour cela, nous offrons des services aux gouvernements et aux entreprises sensibles. Nous nous inscrivons dans une relation de confiance long terme avec nos clients pour pouvoir les accompagner sur de nombreux sujets, de l'infrastructure sécurisée clé en main jusqu'aux services d'expertise actionnables sur demande.

Et plus personnellement quels sont les types de missions que tu mènes avec ton équipe ?

Très simplement, mon équipe s'occupe des sujets d'expertise qui tournent autour de la menace. Nous distinguons trois activités :

   - la compréhension des menaces ;

   - la simulation des menaces ;

   - le traitement des menaces.

Plus précisément, nous concevons et opérons des solutions que nous voulons les plus performantes possibles pour proposer des services à très forte valeur ajoutée pour nos clients.

La compréhension de la menace, ou Threat Intelligence est un enjeu essentiel aujourd'hui pour toute structure qui veut rester dans la "cybercourse" (beaucoup de concepts deviennent des cyberconcepts de nos jours). Concrètement, cela veut dire avoir une veille intensive et des canaux privilégiés pour collecter LES bonnes informations, mais également avoir les capacités de traduire la malveillance qui nous entoure en signatures. In fine, cette matière brute sert à irriguer nos outils et nos services pour les rendre plus pertinents et aptes à réagir en temps réel face à une menace caractérisée. La simulation de la menace représente la zone plus offensive de nos activités dans laquelle nous proposons des activités d'audits techniques. Nous focalisons surtout sur les tests intrusifs avec de vrais scénarios d'attaque. Contrairement, à l'idée reçue du pentest, notre but n'est pas de "tout casser" mais plutôt de faire apparaître les problèmes critiques mais également les choses bien faites.

Le traitement de la menace est probablement l’activité la plus sous les feux de l'actualité, puisqu'il s'agit de ce qui tourne autour de la réponse aux incidents. Sur ces sujets, nous nous attaquons notamment aux cas les plus complexes, les fameux APT. C'est une activité passionnante qui mélange différents domaines de compétence (forensics, reverse engineering, investigation internet, communication) et qui requière des outils, des process mais surtout du personnel entraîné à ces sujets. Dans ces affaires, la contrainte, c'est le temps. Pour cela nous avons développé nos propres batteries d'outils qui permettent notamment de faire à l'échelle d'une entreprise des diagnostiques très précis.

Le cyber espionnage a le vent en poupe depuis quelques années et tous les regards se tournent (trop naïvement ?) vers la Chine. Peux tu nous en dire un peu plus sur la question de l'attribution ? Quels sont les moyens techniques et d'investigations numériques à notre disposition en 2013 pour identifier un attaquant ?

Voilà une question passionnante ! Effectivement, beaucoup de critiques se tournent vers la Chine. En considérant les faisceaux de preuves, on peut avoir deux attitudes : soit on estime qu'il ne fait aucun doute que la Chine est engagée dans l’espionnage à grande échelle, soit on estime que toutes les communications passant par Internet sont intraçables de bout en bout. Regardons plus en détail ces deux affirmations :

 Dans le camps des pourfendeurs de la Chine, on dira que

   - Beaucoup de serveurs associés à des serveurs de command and control (C&C) ont des adresses IP chinoises

   - De nombreux domaines malveillants ont également été enregistrés avec des coordonnées chinoises   - Certains outils d'attaque de type RAT ou exfiltration ont été développé exclusivement en Chine

   - Les traces laissées par les attaquants révèlent parfois des approximations dans la maîtrise des langues occidentales

   - La Chine a établi une stratégie de développement consistant à aller le plus vite possible sur des secteurs clé considérés comme stratégiques.

Ces mêmes secteurs sont ceux souvent concernés par des affaires de type APT  Dans le camp des défenseurs, on pourra dire que :

   - Les adresses IP ne révèlent rien car elles peuvent être associées à des serveurs loués ou des VPN

   - De nombreux noms de domaine sont associés à des registrants dans d'autres pays

   - Des outils d'attaque de tous types de pays sont couramment utilisés pour la réalisation d'attaques et les mouvements latéraux

   - La Chine affirme ne pas s'adonner à ces pratiques réprimandables

 Les deux positions peuvent s'entendre. Oui mais :

   - Les adresses IP sont associées à des serveurs qui sont localisés sur des territoires. La communauté sécurité sait en général se défendre sur son terrain et des serveurs localisés en zone occidentale sont souvent saisis pour être analysés. Cela n'arrange pas les affaires des attaquants et c'est pourquoi, l'usage de serveurs situés en Chine peut permettre d'éviter ces soucis de préemption de serveur pour cause d'analyse forensics par une structure judiciaire ou une structure de recherche

   - Les noms de domaines évoluent et le débutant commet souvent des erreurs ...de débutant. Ainsi, en observant les enregistrements de noms de domaine, on retrouve historiquement des points de contacts réels chinois qui ultérieurement se transforment parfois en points de contacts fictifs américains

  - Les outils d'attaque sont effectivement de différentes provenances. Demandez à un pentester dans quel pays ses outils ont été développés... La plupart du temps, il n'en sait rien, il a juste choisi les meilleurs outils existants et a probablement développé ses propres outils pour des besoins spécifiques. C'est exactement la même démarche pour des cyberespions moyennement chevronnés. Ils ne s'embêtent pas à tout redévelopper. Mais à l'inverse, avec la professionnalisation, certains codes propriétaires sont développés. C'est là que nous voyons apparaître des outils comme htran ou PlugX avec des portions de codes qui ne laissent aucun doute sur l'origine du développement

Pour conclure, on entend parfois dire que la sécurité informatique est un échec. Que recommandes-tu aux entreprises pour se protéger de ces attaques ciblées ? Faut-il miser sur la protection, la détection ou la réponse à incident ?

Effectivement, la sécurité informatique ne fonctionne pas parce qu'elle est souvent mal appliquée. Les choix stratégiques sécurité sont souvent confiés à quelqu'un qui n'a qu'un pouvoir limité face à des choix IT parfois dangereux. La façon même d'implémenter la sécurité est souvent stupide :

- mettre des mots de passe changeants tous les 4 matins avec des politiques de complexité interdisant la proximité des mots de passe est une aberration. Non seulement cela ne sert à rien pour des applications RH, mais c'est aussi stressant pour les utilisateurs et générateur de charge pour un helpdesk. Cela ne sert à rien face aux APT non plus.

- mettre des stratégies de filtrage rigoureuses devant chaque application, interdisant toute évolution des composants et freinant le libre échange des communications dans l'entreprise est aussi une erreur. Cela ne sert ni plus ni moins qu'à empêcher les équipes projets de travailler correctement. La encore, cela ne sert à rien face aux APT.

- On pourrait continuer avec les antivirus, la conformité sécurité, le filtrage Internet... mais je préfère m'arrêter là. Le problème c'est que toutes ces mauvaises implémentations de la sécurité au travail ne font que générer la perte d'adhésion des utilisateurs sur tout sujet sécurité. Nous devons changer nos postulats ! Les politiques de sécurité et ses implémentations sont conditionnées par des règles établies qui datent de 10 ou 15 ans. La plupart sont à jeter aujourd'hui. Le monde change...  Mais certains responsables sécurité ne semblent pas s'en rendre compte.

Sur le sujet des attaques ciblées, les 3 thèmes protection/détection/réaction sont effectivement très importants. Mais justement, quelles entreprises sont aujourd'hui performantes sur la partie détection et réaction ? Les politiques de sécurité ont longtemps tout misé sur la protection en oubliant le reste. Pour la détection, le point clé ce sont les traces, les logs autrement dit. Il est nécessaire de concentrer les logs pertinents dans des zones de stockage pour pouvoir par la suite y positionner les moyens / outils / services de détection qui ont du sens.Pour la réaction, c'est selon moi indispensable que toute grande structure critique soit dotée d'une équipe de réaction sécurité. Le problème, ce sont les profils techniques nécessaires qui, soyons honnêtes, ne sont pas assez nombreux aujourd'hui. Néanmoins, chacun peut facilement organiser à son niveau une structure de coordination qui saura prendre en charge les incidents et si nécessaire, sous traiter les sujets les plus complexes.

Mais encore une fois, au risque d'insister, les politiques d'un autre âge ne sont pas très utiles pour se protéger des APTs.

Merci David pour cet échange passionnant !

Interview réalisée par Nicolas Caproni par e-mail en juin 2013

One thought to “[Interview] Rencontre avec David Bizeul, responsable CSIRT chez Cassidian CyberSecurity”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.