Zyroc, l’aventure de deux experts de la remédiation d’incident venus de l’Anssi

La remédiation ? Un service lourd en responsabilités

Mohamed Bakkali le souligne : pour prendre les rênes d’une intervention en remédiation, « il faut une expérience dans les domaines de l’architecture, de l’audit, et de la production ». Parce que face à un incident, il y a bien sûr des objectifs de sécurité, « mais aussi un existant, et la stratégie de remédiation ne doit pas causer plus de dégâts que l’attaque elle-même ». Le jeune Pdg de Zyroc développe donc deux objectifs pour une telle intervention : « durcir le système », tout d’abord, pour empêcher une propagation ou une reprise de la contamination, puis « éjecter l’attaquant ». Mais voilà, plus le durcissement est ambitieux, plus il risque d’avoir un impact sur la production.

Dès lors, intervenir en remédiation se traduit par une lourde prise de responsabilité, dans un contexte de pressions fortes, notamment de la direction de l’entreprise victime, et de contraintes de temps prononcées. Et c’est suffisant pour expliquer, selon Mohamed Bakkali, que peu de gens acceptent de s’engager sur la voie de ce type de prestations. Mais pas lui, ni Didier Pilon : depuis la création de leur entreprise, ils ont accompagné ainsi au moins une grosse entreprise française – « avec plus de 150 000 utilisateurs » – et deux PME.

Avec Zyroc, ils appréhendent la remédiation suivant plusieurs axes. Le premier, de toute évidence, c’est la réaction, lorsqu’un incident majeur est déclaré – « ce qui va permettre de remettre en route les systèmes vitaux de l’entreprise sans compromettre la production ». Mais la prévention n’est pas oubliée : « nous nous sommes rendus compte que les entreprises tendent à être ambitieuses après un incident, et que certaines mesures, si elles étaient mises en œuvre avant, sans entrer dans un grand programme de cybersécurité, permettent de relever le niveau de manière considérable ».

De la réaction, mais pas uniquement

D’où la création de packages alignés sur les obligations des opérateurs d’importance vitale (OIV), mais conçus pour ne pas représenter un investissement trop conséquent – en temps comme en argent : « nous avons par exemple un package qui permet de sécuriser l’administration d’un système d’information ». Avec une subtilité : « la plupart des solutions partent du postulat que la brique de gestion des identités, l’annuaire, est saine » ; pas Zyroc, « parce que le point commun de toutes les attaques avancées, les APT, c’est qu’à un moment, l’attaquant récupère des identifiants de comptes à forts privilèges ». Et là, la partie est finie : « la latéralisation se fait de manière exponentielle ».

Du coup, Zyroc a également conçu une offre de sécurisation de l’annuaire, « le socle de confiance ». Et il y a de quoi séduire car, Mohamed Bakkali le souligne : « l’assainissement de l’annuaire seul, dans le cadre d’une remédiation plus vaste, chez un grand groupe, c’est déjà entre deux et dix millions d’euros. Sans compter les pertes liées à l’indisponibilité sur les métiers et les projets ». La faute, notamment, à des plans de reprise de l’activité (PRA) qui ne traitent pas le volet sécurité et « partent du postulat que, premièrement, les backups sont de confiance ». Las, « quand vous avez une compromission, elle remonte à plusieurs mois »… ce qui doit naturellement poser la question de la propreté des sauvegardes. Qui plus est, « sur la partie annuaire, les backups ne sont plus pertinents dès que l’on dépasse 180 jours ».

Alors, pour aller au-delà du simple PRA, Zyrock propose le SRP, pour « Security and Recovery Plan », « un PRA adapté à une crise de sécurité » qui va couvrir « le traitement des sauvegardes, mais aussi toutes les opérations d’assainissement qui vont permettre de repartir sur des bases saines, y compris sur les parties du système d’information qui n’ont pas été compromises ». Et pour souligner l’importance de l’approche, Mohamed Bakkali relève que Saint Gobain n’a pas manqué d’une certaine chance dans son malheur, face à NotPetya, en tombant sur des équipes qui l’avaient en fait déjà accompagné de longue date et connaissaient très finement son infrastructure : « la préparation d’une telle remédiation, normalement, c’est entre trois et six mois. Et plus l’on essaie de réduire ce délai, plus on risque d’introduire un impact important sur la production ».

Des outils pour aller plus vite

Ce n’est pas tout. Zyroc propose aussi un service de cartographie, « faisant la synthèse entre trois évaluations développées chez Microsoft et notre expérience de l’Anssi » : « au travers de cette offre, nous sommes capables d’identifier les risques liés à la faiblesse du durcissement, mais aussi les chemins qui permettent à un simple utilisateur, par rebond », de réaliser des opérations à risque – vol de données, accès à un système d’administration, etc. De quoi permettre de définir un plan d’action à court terme sur « ce que l’on peut assainir dans les 100 premiers jours, avec un risque d’impact faible et un bénéfice élevé ».

Dans ce cadre, Zyroc travaille parallèlement au développement d’un outil de cartographie fonctionnant avec et sans agent qui doit être disponible dans le courant du printemps. Il devra notamment permettre de produire un document de cartographie « qui colle à la réalité et pas à la conception initiale ». Cet outil aidera également à définir les orientations à prendre pour le durcissement de l’environnement, ainsi qu’à automatiser certaines actions de remédiation. Un dernier aspect clé qui ouvre la perspective d’une réduction drastique du volume des équipes nécessaires à une intervention – « et c’est un point qui intéresse forcément l’Anssi, parce que lorsque l’on a un cas public comme Saint Gobain, il y en a vingt de plus qui sont traités dans l’anonymat ».