Guillaume Dubuc est le RSSI d’Altitude Infra, 3ème opérateur d’infrastructure de fibre optique en France. Comment convaincre son board, sensibiliser ses collaborateurs, et orienter sa stratégie cyber avec des quick wins ? Guillaume Dubuc répond à nos questions.
Quelles ont été vos premières actions lors de votre prise de poste en tant que RSSI ?
Guillaume Dubuc : Quand je suis arrivé dans l’entreprise il y a 5 ans, il y avait encore tout à faire en matière de cyber, que ce soit au niveau du réseau, des machines, ou de la création de logiciels. Il a donc fallu que je déploie de gros efforts pour changer les habitudes qui étaient installées depuis longtemps, et que je gagne la confiance des collaborateurs et de la direction. Le deuxième enjeu a été de sensibiliser sur le sujet cyber. C’est essentiel pour que les collaborateurs comprennent à quoi servent les RSSI.
Comment met-on en place une politique de cybersécurité efficace quand il y a encore tout à faire, et qu’on ne dispose pas de beaucoup de ressources humaines ?
G.D : Il faut y aller petit à petit.
Pour moi, il y a deux façons de mettre en place une politique de cybersécurité.
La première, c’est la méthode que j’appellerais "académique". C'est à dire qu’on étudie le système d’information en profondeur, on cartographie les postes de travail, les serveurs, le réseau etc., et ensuite on détermine comment on fait baisser le risque, ou son impact. C'est une étude de risque classique.
Ou alors, deuxième option, celle que j’ai choisie quand je suis arrivé chez Altitude Infra, c’est de d’abord gérer l’urgence. Ce qu’on cherche à faire, c'est se mettre dans la peau de l'attaquant, chercher par où il peut entrer, et lui fermer la porte.
Cela veut dire utiliser des scanners de vulnérabilités et identifier les quick wins : que peut-on régler rapidement et avec un fort impact sur la diminution du risque ? On peut s’aider pour cela de la matrice du MITRE ATT&CK, c’est un outil formidable. Par exemple, si l’attaquant peut entrer sur un serveur donné, mais qu’on fait en sorte que le déplacement latéral soit impossible, il ne pourra pas aller jusqu’aux PC et aux sauvegardes. On débranche un serveur au maximum, et donc automatiquement les impacts de toutes les attaques vont baisser.
Donc ça c'est l'urgence, et dans un second temps, bien sûr, on peut revenir à la méthode académique.
Vous parliez de l’importance de sensibiliser au sujet cyber pour gagner la confiance des collaborateurs. Comment vous y prenez-vous concrètement ?
G.D : La sensibilisation est un travail sur le long terme. Régulièrement, quand de nouvelles personnes arrivent dans l’entreprise, je leur fais passer une session de formation, par groupe de 10 environ.
Ce qui fonctionne bien, c’est d’utiliser des jeux de rôles. Je leur dis qu’ils sont tous des hackers, et j’attribue une spécialité à chacun. L’un est spécialiste des mails, l’autre des clés USB, un autre des sites web… Et puis nous piratons des sites factices d'entreprises que j'ai créés. J'ai aussi créé de faux profils LinkedIn des salariés. A partir des informations que l’on trouve sur ces faux employés, nous utilisons un logiciel pour craquer des mots de passe, et…ça finit toujours par marcher ! Je peux vous assurer qu’en sortant de cette formation les gens vont directement changer tous leurs mots de passe. Cela leur permet de réaliser que pirater un compte n’est pas si compliqué, puisqu’eux-mêmes y arrivent avec les bons outils. Et donc, que des hackers un peu plus professionnels peuvent attaquer n’importe quelle entreprise.
Sur votre profil LinkedIn vous vous décrivez comme "Curieux de tout, spécialiste du multicasquetting, ayant un don pour trouver des failles et surtout propagateur de saine paranoïa" : est-ce que c’est ça être un bon RSSI ?
G.D : Pour le côté “curieux de tout et multicasquetting”, mon expérience fait que j’ai des capacités techniques variées. Je sais gérer des serveurs, des API, des sites web, des intranets… Cela m’offre une vision globale des systèmes, et je vois quand je peux optimiser un process, ou automatiser une tâche.
Par exemple, j’ai créé un bot qui me remonte les alertes de mon EDR dans l’application Teams. Je peux recevoir des alertes quand un utilisateur non autorisé effectue des manipulations sur un serveur par exemple. Ce n’est pas une attaque, mais cela m’offre une excellente visibilité sur l’activité du SI. Je me sers aussi des API pour monitorer les actions de mes administrateurs système. S’ils installent un nouveau serveur et qu’ils oublient d’installer un agent de l’EDR par exemple, je reçois une alerte dans les 5 minutes.
Donc oui, avoir ces compétences très variées m’aide bien sûr dans mon métier de RSSI.
Et "propagateur de saine paranoïa", qu’est-ce que ça veut dire ? Est-ce qu’on doit faire peur quand on est RSSI ?
G.D : Pour moi, forcément, tout est risque. Mon travail est de l’identifier et de chercher à le réduire, ou à réduire son impact. Mais la vraie question, c’est de savoir faire preuve de pédagogie pour expliquer ce risque aux décideurs. Donc oui, je parle de saine paranoïa car j’en garde beaucoup pour moi, mais je suis obligé d’en transmettre une petite partie à ceux que je souhaite convaincre, pour qu’ils puissent agir en connaissance de cause.
Comment être pédagogue et convaincre ?
G.D : Je vous donne un exemple : quand j’ai voulu passer d’un EPP à un EDR, et que j’ai dû convaincre mon COMEX.
Je leur ai expliqué que l’antivirus est une encyclopédie, et à chaque fois qu'il y a un nouveau fichier sur l’ordinateur, l’outil regarde page par page dans cette encyclopédie si le fichier correspond à un virus connu, sur un milliard de pages. Donc si le virus met une fausse moustache, il ne sera pas détecté.
Ils comprennent alors que si l’attaque est fabriquée spécifiquement pour l’entreprise, elle ne sera pas dans l’encyclopédie, et on ne pourra pas se défendre. A ce moment-là, le problème est identifié et compris, j’ai installé cette fameuse “saine paranoïa”.
Ensuite j’explique en quoi consiste l’EDR, et qu’il ne va pas se baser sur les fichiers mais sur les actions. Que pour chaque action, l’outil va évaluer la probabilité d’une intrusion informatique, et remonter les alertes en cas de danger. En général, après cet effort de pédagogie, les décideurs ont compris le besoin, et j’offre une solution qui résout le problème, tout simplement.
Quelles seront vos prochaines actions pour maintenir et renforcer la sécurité de votre entreprise ?
G.D : Aujourd'hui, les outils cyber sont relativement matures. Pour moi, les failles viennent surtout des utilisateurs. Donc à partir du moment où on dispose du minimum d’outils nécessaires pour un SI sécurisé, ce qui reste à faire, c’est essentiellement de la sensibilisation pour les collaborateurs, et de la formation pour les administrateurs système, réseau, etc.
Cette année, j’ai poursuivi l’effort de pédagogie notamment pour toute la partie serveurs et les personnes qui en sont responsables. Et pour l’année prochaine, l'objectif est de sécuriser le code des logiciels qui tournent sur nos machines. Nous allons systématiser les audits de sécurité sur ces applications, mais aussi faire appel à un centre de formation pour apprendre aux DevOps à sécuriser leur code. C'est un des prochains gros sujets cyber qui m’attend...
Vous souhaitez savoir comment HarfangLab protège l'entreprise Altitude Infra des cyberattaques ?
C'est par ici :