Cybersécurité : la vision « offensive » de ManoMano

L’humain au centre

Selon le CISO, « l’humain est souvent perçu comme le maillon faible d’une politique de sécurité. Nous, nous le considérons comme un maillon fort. Pourquoi ? Quel que soit le type de menaces ou la technologie utilisée, le dernier geste qui va permettre le succès d’une cyberattaque demeure un geste humain », affirme-t-il.

« En règle général, ce qui va protéger ManoMano, ce n’est pas l’équipe sécurité, mais l’ensemble de l’organisation, des collaborateurs et même l’écosystème : nos marchands, nos clients, nos partenaires », lance Fabien Lemarchand.

« Ce qui va protéger ManoMano, ce n’est pas l’équipe sécurité, mais l’ensemble de l’organisation, des collaborateurs et même l’écosystème : nos marchands, nos clients, nos partenaires ».

Pour que ce maillon reste fort, cela demande un travail constant. « Nous écoutons les collaborateurs pour appréhender les besoins, et les vraies menaces pour ManoMano », déclare-t-il.

Ainsi, « le risque zéro n’existe pas. On ne pourra jamais tout corriger, on ne pourra jamais être bon sur tous les types de menaces, mais nous devons être excellents pour comprendre nos ennemis et nos menaces, afin de protéger réellement et concrètement l’écosystème ManoMano ».

Cette stratégie, qui tend à élargir le périmètre de sécurité au-delà du SI de l’entreprise, passe par la communication. « Nous réfléchissons à la manière de rendre visible la cybersécurité à toutes les parties prenantes, que ce soit les préparateurs de commandes dans les entrepôts ou les membres de notre conseil d’administration », explique le responsable de la cybersécurité. De cette manière, les interlocuteurs du CISO et de son équipe sont à même de comprendre la mise en place d’une mesure de protection.

Contrairement à d’autres entreprises qui désirent sensibiliser à la sécurité, ManoMano favorise l’entraînement en interne. « Nous ne voulons pas les sensibiliser. Nous souhaitons entraîner notre écosystème et nos collaborateurs », affirme Fabien Lemarchand. « Notre rôle n’est pas de protéger l’organisation, mais de rendre autonome l’organisation pour qu’elle se protège elle-même. L’équipe sécurité devrait disparaître à terme ! Nous travaillons beaucoup avec les équipes IT en charge de la production. Notre mission est de casser le statu quo pour s’améliorer. En cybersécurité, le statu quo, c’est le pire ennemi », ajoute-t-il.

« Piéger » les collaborateurs de ManoMano

Là intervient le deuxième pilier de la cyberstratégie de ManoMano : l’offensive. « Nous allons penser comme un attaquant, comme un acteur malveillant », martèle-t-il. Cette approche n’est pas réservée aux systèmes de l’entreprise. « Nous allons énormément piéger nos collaborateurs ».

En clair, l’équipe sécurité de ManoMano organise des opérations de red teaming, des campagnes pendant lesquelles ses membres se mettent dans la peau de cybermécréants pour s’en prendre aux employés. Mais là où d’autres se contentent de simulations, ManoMano va jusqu’au bout de sa démarche. « Quand nous voulons piéger un collaborateur, nous nous appuyons uniquement sur des informations disponibles en externe, sur le Web, le Dark Web ou autres », explique Fabien Lemarchand.

Ces renseignements aident à élaborer des scénarii visant à collecter des données clients, des informations stratégiques ou provoquer des arrêts de services.

En pratique, cela se traduit par la conduite d’une large batterie de tests : « des ransomwares sur clés USB, des intrusions physiques dans les bureaux, du phishing, des logiciels, par exemple un client de visioconférence vérolé par nos soins, etc. ». La plupart de ces exercices sont pratiqués en conditions réelles et ciblent des systèmes en production. Ainsi, une red team peut décider de viser un collaborateur en particulier et aller jusqu’à chiffrer réellement son poste de travail (« évidemment, nous avons la clé du ransomware », précise Fabien Lemarchand), ou à en prendre le contrôle.

Dans un billet de blog publié sur Medium, Laurent Delosieres, ingénieur de sécurité logicielle chez ManoMano explique comment une red team a ciblé les cadres supérieures de l’entreprise. Au cours de ce scénario, les faux attaquants ont usurpé l’identité du CISO, ont envoyé un courriel incitant les cadres à mettre à jour leur outil de visioconférence via un lien vers une page Web imitant le plus fidèlement possible celle de l’éditeur. Sauf qu’il s’agissait d’une version piégée du client de Zoom exploitant une faille Zero-Day permettant de prendre le contrôle des postes de travail. L’auteur du billet ne dévoile pas les résultats de l’opération, mais assure qu’elle fut un « succès ».

Les attaques n’ont pas pour but de malmener les collaborateurs, selon le CISO. « Après la fin d’une opération, nous leur expliquons l’impact de nos actions, la raison des faiblesses, et les améliorations possibles », liste-t-il.

Un subtil équilibre à trouver entre frustration et éducation

Normalement, les équipes techniques et les métiers sont au courant que ces vraies fausses attaques peuvent avoir lieu. « Au cours des trois premiers mois [de la mise en place de l’équipe cybersécurité], nous avons exposé notre stratégie. Tous les jours, nous rappelons notre approche offensive en expliquant que tout le monde peut être piégé de manière bienveillante, en expliquant pourquoi cela a de la valeur pour les collaborateurs et pour nous, car c’est comme cela que l’on apprend le mieux », assure Fabien Lemarchand. « Il faut immédiatement communiquer avec les équipes : ce n’est pas grave d’avoir des faiblesses, il faut les connaître, puis les résoudre. […] Nous ne sommes pas là pour être répressifs ou moralisateurs ».

« Il faut immédiatement communiquer avec les équipes : ce n’est pas grave d’avoir des faiblesses, il faut les connaître, puis les résoudre ».

Une telle pratique peut créer de la frustration, bien réelle, elle. En moyenne, l’efficacité des pièges atteint 25 %. « Nous ne sommes pas sympathiques, à chaque fois nous élevons la barre plus haut », prévient le CISO. D’ailleurs, les pièges posés pour les développeurs et les autres membres de l’équipe « Tech » sont « beaucoup plus vicieux, approfondis et complets ».

« Je challenge le côté bienveillant de l’équipe sécurité », plaisante Antoine Jacoutot, VP Platform Engineering chez ManoMano. « Le dernier gros piège dans lequel nous sommes tombés s’est produit au cours d’un plan de récupération de l’activité de test, entre notre zone cloud de Paris et l’Irlande. La red team a lancé une campagne de phishing. Au moment où les Ops étaient un peu stressés, ils ont vu un mail AWS leur intimant de cliquer sur un lien. Beaucoup de gens ont cliqué et divulgué leurs identifiants et leurs mots de passe Amazon à la sécurité », raconte-t-il. « C’est frustrant quand cela arrive, mais ensuite l’on fait beaucoup plus attention ».

« Les gens préfèrent tomber dans un piège de l’équipe sécurité plutôt que de chuter dans un vrai piège », assure de son côté Fabien Lemarchand.

De fait, le personnel de ManoMano est bien plus alerte. Antoine Jacoutot explique que si un courriel semble provenir d’une campagne d’hameçonnage, les collaborateurs se demandent si « c’est encore un coup de la sécurité » ou s’il s’agit d’une véritable attaque.

Aussi, il n’est pas question de lancer des campagnes massives de red teaming, qui impliqueraient tous les employés de ManoMano. « Si je fais ça, dans la minute je vais recevoir 300 emails de mes collaborateurs », s’exclame Fabien Lemarchand.

« À titre d’exemple, la semaine dernière notre plateforme d’automatisation des politiques cyber a envoyé un courriel au nom de ManoMano annonçant “cliquez sur ce lien-là pour valider les politiques de sécurité”. Erreur, on a oublié de prévenir les équipes avant. Je vous assure dans les cinq minutes, j’ai reçu 15 SMS, 30 messages sur WhatsApp, 42 mails, des notifications Slack dans tous les sens pour me dire “Fabien, c’est du phishing, que fait-on ? On a été attaqué !”. Cela nous oblige à gagner en maturité en matière de communication ».

Convaincre les partenaires et s’essayer au Chaos Engineering

Après deux ans, les collaborateurs et les ingénieurs de ManoMano commencent à être habitués. Cependant, la protection de l’écosystème – des partenaires et des clients – n’est pas aussi aisée. Certains jouent le jeu. C’est le cas d’Adaxes, l’éditeur d’une solution de gestion automatisée d’Active Directory utilisée par certains administrateurs système dans l’entreprise. Avant de l’adopter, l’équipe sécurité a cherché des vulnérabilités dans le produit pour finalement tomber sur une faille Zero-Day. Elle a ensuite collaboré avec l’éditeur pour la corriger et communiquer sur l’événement. De même, les petits marchands acceptent aisément de réaliser des tests de pénétration sous l’égide de ManoMano, selon le CISO. Ce serait plus difficile avec les gros acteurs, plus enclins à brandir leurs certifications que de renseigner à Fabien Lemarchand le contact du RSSI.

Cela n’empêche pas de tester de nouvelles choses en interne. L’équipe sécurité compte se rapprocher des responsables de production pour participer aux initiatives de Chaos Engineering que ManoMano est en train de mettre en place. Il s’agira de faire tomber provisoirement de petites portions du SI afin d’entraîner les Ops et mesurer la réactivité de l’organisation.

En sus des opérations de red teaming, ManoMano mène depuis près de deux ans un programme de bug bounty depuis la plateforme HackerOne. Pourtant, il ne s’agit pas d’absolument tout redresser.

« Quand nous faisons quelque chose, nous voulons que ce soit utile pour la cybersécurité et pour ManoMano. Une menace détectée est-elle réellement exploitable ? Certains correctifs peuvent prendre plusieurs mois à être développés et déployés alors qu’il sera très difficile pour un attaquant d’abuser de la faille. De petites vulnérabilités toutes simples peuvent servir à voler des données. C’est là que nous devons être excellents pour les repérer et les supprimer », souligne Fabien Lemarchand.