Un an après le lancement de son offre de tir à blanc de ransomware, Holiseum organisait une table ronde virtuelle réunissant 3 des premiers utilisateurs de cette offre. Les CISO et RSSI de 3 entreprises françaises livrent leur verdict sur cette solution originale.
Il y a quelques jours, Holiseum réunissait virtuellement les RSSI de Latécoère, Les Echos le Parisien et d’Arkema afin de faire témoigner les premiers utilisateurs de sa solution de tir à blanc de ransomware. Faiz Djellouli, président et co-fondateur d’Holiseum, soulignait à cette occasion le succès de cette offre, un an après son lancement : « Cette offre a très largement dépassé nos attentes, avec plusieurs Zero Day découvertes sur des EPP ou des EDR. C’est à la fois un produit et une méthodologie dont la raison d’être est de répondre à une question légitime que se posent tous les dirigeants : quel est mon niveau d’exposition à la menace particulière que constitue le ransomware et quelles seraient les conséquences de l’infection d’une machine sur mon système d’information ? » L’éditeur a développé son propre ransomware, un malware bien évidemment inoffensif mais qui permet aux entreprises d’évaluer en conditions réelles leur niveau de protection contre cette menace et ainsi accroître leur niveau de protection proactivement.
Cette offre de tir à blanc vient se poser en complément des PenTest de l’action d’une Red Team comme l’a expliqué Renaud Lifchitz, directeur scientifique d’Holiseum en préambule de la table ronde : « Le Pentest fait un focus sur les points d’entrée réseau. Nous, à l’inverse, on suppose que l’attaquant est parvenu à rentrer et nous nous intéressons à la propagation. A l’inverse du Pentest, notre ransomware chiffre en masse les fichiers pour voir si cela déclenche une réponse des EPP et des EDR et teste également l’exfiltration de données avec des techniques qui vont contourner le reverse proxy. »
La solution technique s’appuie sur un ransomware inoffensif développé par Holiseum et qui regroupe les techniques d’attaque système, réseau et d’exfiltration les plus fréquemment rencontrées par les ransomware. L’éditeur assure avoir mis au point des attaques conceptuelles qui n’ont pas encore été repérées lors d’attaques, mais qui pourraient bien apparaître un jour. Ce ransomware est installé sur une machine du client et va tenter de se diffuser par déplacement latéral. Le ransomware installe des fichiers et des répertoires témoins qu’il va ensuite chiffrer en masse. Ainsi, il n’y a pas atteinte à l’intégrité et la confidentialité des données de l’entreprise. Holiseum réalise l’injection du ransomware puis, une fois l’attaque menée, va fournir ses recommandations pour améliorer les protections de son client. Les retours d’expérience chez chaque client permettent à l’éditeur d’intégrer de nouvelles fonctionnalités à son ransomware.
Latécoère
Vérifier la pertinence des solutions et des procédures de sécurité
Premier CISO à s’exprimer lors de la table ronde, Stéphanie Buscayret, Chief Information Security Officer de Latécoère. Celle-ci a souligné l’intérêt de l’offre Holiseum, notamment afin de répondre aux questions de son management quant à l’état de préparation de ses protections face à la menace des ransomware : « L’offre de tir à blanc Holiseum répondait particulièrement bien à mon attente qui n’était pas du tout technique : les équipes de sécurité opérationnelle ne dépendent pas de moi mais du CTO. J’ai proposé de faire ce que les forces spéciales appellent un tir de confiance, mais avec des balles à blanc. La démarche est inoffensive, elle met à l’épreuve techniquement pour vérifier que ce que nous avions mis en place était pertinent, mais aussi nos équipes pour éprouver la bonne réaction face à un incident de sécurité. J’ai mis en place ce tir à blanc avec le support de mon assureur qui a jugé qu’il s’agissait d’une bonne idée. »
Seules 3 personnes dans la confidence
Facile à comprendre et très pédagogique, ce tir à blanc a suscité un véritable intérêt de la part du ComEx et du CoDir de l’entreprise et des comités d’audit. La CISO a souhaité délimiter le tir du ransomware sur la population des cols blancs, ceux qui reçoivent le plus d’e-mails et qui sont donc potentiellement les premières victimes de ce type d’attaque.
« Notre stratégie de tir à blanc était de rester à 3 dans la confidence : le DSI, le CTO et moi. Nous avions indiqué aux équipes techniques que nous ferions un tir à blanc dans le courant du mois et c’est tout ! L’autre objectif était de mettre nos équipes en situation de réaction. » Holiseum a eu accès à un poste pour réaliser la primo-infection. « Sur le tir mené sur PC, le ransomware a été rapidement détecté par le support et nous avons pris la décision de laisser l’attaque se développer pour voir jusqu’où pourrait se propager l’attaque. »
A l’issue de ce test, Stéphanie Buscayret a établi un plan de remédiation à partir des recommandations d’Holiseum, avec une classification des actions à mener par criticité et par faisabilité. Cela a aussi permis à l’industriel de questionner les éditeurs de solutions de sécurité sur l’efficacité réelle de leurs solutions. L’industriel travaille toujours sur les dernières actions à mener pour boucler ce plan de remédiation, mais la DOSI réfléchit déjà au prochain tir qui lui permettra de vérifier in vivo que des améliorations apportées sont efficaces.
Arkema
Le tir à blanc, un bon outil pour négocier avec son assureur
C’est dans le cadre du renouvellement de son assurance nyber que Philippe Netzer-Joly, Group Chief Cyber Security Officer chez Arkema, s’est lui aussi intéressé à l’offre Holiseum. Alors qu’il devait présenter à son conseil d’administration et à son assureur le scénario du pire mais aussi renouveler ses moyens de protection endpoint, le CISO a souhaité faire un tir à blanc sur son existant puis avec son nouveau dispositif de protection. « Alors que nous pensions passer à l’étape suivante et mener ce déploiement, j’ai dû demander à notre CTO de mettre en pause le projet afin de ne pas dégrader la situation. Le choix fait collectivement ne s’avérait finalement pas plus efficace que notre ancienne solution. Ce tir à blanc est un juge de paix qui permet d’être assez factuel. » Le CISO souligne que cette approche permet de tester toute la chaine de réaction de manière beaucoup plus détendue que lorsqu’il s’agit d’un véritable ransomware.
Prévenir les équipes pour les embarquer dans le projet
En effet, Philippe Netzer-Joly a fait le choix de prévenir les équipes de sécurité opérationnelle du jour où Holiseum allait injecter le ransomware à blanc dans le système d’information. « Les équipes du CTO connaissaient le jour où Holiseum allait venir, mais notre partenaire qui assure les niveaux 1 et niveau 2 de notre SOC ne savait pas exactement quand cela allait se passer. Dans la pédagogie préparatoire, j’avais expliqué que l’objectif n’était pas de prendre tout le monde par surprise, ce que nous ne nous interdisons pas sur de prochains tirs… » Pour le CISO, prévenir les équipes internes présentait l’avantage de les embarquer dans le projet et qu’ils se sentent propriétaires de ces tests, et donc du plan d’action qui allait suivre. « Nous étions clairement dans une démarche du scénario du pire et même si le ransomware a été détecté et que le SOC a bien réagi, nous avons considéré qu’il fallait continuer plus avant, partant du principe qu’une vraie attaque n’aurait peut-être pas été détectée. » Sur proposition des consultants d’Holiseum, l‘attaque s’est poursuivie, jusqu’à tenter de prendre d’assaut l’Active Directory de l’industriel, ce qui est bien évidemment une prise de choix pour un attaquant.
A l’issue de l’opération, après la phase de restitution auprès des équipes sur les points positifs et négatifs relevés lors de l’attaque, le DOSI a pu calculer son Maximum Potential Loss, une valeur qui lui est aujourd’hui particulièrement utile dans sa gouvernance du risque. « Dans les discussions avec la direction du risque, avec les assureurs, nous avions des éléments factuels et concrets, ce qui change la nature des discussions et des négociations avec l’assureur. Cela m’a aussi aidé face à mon conseil d’administration : quand on a bien expliqué la démarche et que l’on dispose d’un rapport avec des plus, des moins, cela facilite et crédibilise les initiatives que l’on peut mettre en place et ça renforce la confiance que le management peut avoir vis-à-vis de la maturité vyber des équipes. »
Groupe Les Echos – Le Parisien
Un tir à blanc dans le cadre d’une revue à 360° de la sécurité
Après 2 grands industriels français, c’est un groupe d’un tout autre secteur qui a témoigné sur la mise en œuvre du tir à blanc Holiseum, le groupe de presse Les Echos – Le Parisien. Stéphane Boua, RSSI / CISO du Groupe Les Echos – Le Parisien a motivé sa décision de mettre à l’épreuve son infrastructure : « Je venais de prendre le poste de RSSI et j’avais besoin de définir une stratégie et des priorités. En parallèle, je devais répondre à la question du management sur notre protection face à un type d’attaque qui venait de frapper un de nos confrères. La solution Holiseum m’a permis de répondre à mon management quant à notre niveau d’exposition et, in fine, définir nos grandes priorités en termes de sécurité car nous avions l’habitude d’avancer en découvrant les vulnérabilités. »
Valider ou pas les solutions en place
Le nouveau RSSI a ainsi lancé une revue à 360° de la cybersécurité du groupe dans laquelle a été intégré le tir à blanc. L’objectif était alors de valider ou pas les solutions en place afin d’être plus résilients face à une menace bien présente pour un groupe de presse. Le périmètre de l’attaque a été soigneusement délimité avec l’équipe Holiseum afin que celle-ci n’affecte pas les autres entreprises du groupe. Un ordinateur a été mis à disposition d’Holiseum. Un partage réseau était monté sur ce poste afin de pouvoir tester la propagation latérale de la menace via le réseau interne… avec des résultats jugés édifiants par le RSSI. « Le tir à blanc met en œuvre des techniques d’évasion pour contourner les solutions de protection en place. Lors de la premier tentative, l’antivirus a bien réagi, donc nous avons mis une exception. Lors des autres tentatives, l’auditeur a utilisé d’autres techniques d’évasion qui n’ont été détectées ni pas l’antivirus ni par l’EDR. » Si des exceptions ont été mises sur certaines briques de sécurité pour permettre d’aller plus loin dans l’attaque, les membres du SOC n’avaient pas été informés du tir à blanc : « Notre SOC a bien détecté quelques activités, mais pas celles qui étaient directement liées au tir à blanc, ce qui nous a poussé à chercher à nous améliorer à ce niveau. Du point de vue technique, le tir à blanc nous a permis d’affiner les paramétrages de sécurité de nos différents outils, mais les plus gros bénéfices étaient de nature organisationnelle. » Au final ce test a permis au RSSI d’accélérer certains projets déjà identifiés mais qui n’étaient pas priorisés. « Cela nous a aussi permis de dégager des budgets pour mener des projets mais aussi renforcer les équipes techniques qui implémentent les solutions et contribuent à élever notre niveau de maturité. C’était plutôt un point positif » conclut Stéphane Boua.
Renaud Lifchitz a conclu cette table ronde virtuelle en soulignant que les résultats engrangés par un tir à blanc de ransomware sont différents pour chaque client : « Certains pensaient être bien protégés et ont constaté de gros défauts de configuration sur leurs EDR. D’autres ont constaté qu’ils étaient mieux protégés que ce qu’ils pensaient mais pas pour les bonnes raisons. Enfin, nous avons trouvé de gros trous dans la raquette dans certaines solutions de sécurité. Nous sommes en train de communiquer avec les éditeurs afin d’être certains que nos clients ne sont plus exposés et nous publierons prochainement sur notre blog les Zero Day découvertes. » Le directeur scientifique d’Holiseum a annoncé les prochaines évolutions de cette offre afin d’aller vers une plus grande automatisation et bientôt le lancement d’une offre de check-up de sécurité régulier, sur abonnement.
Alain Clapaud