UNPUBLISHED - Data et Cybersécurité: deux secteurs complémentaires

Hello David ! Quel est ton parcours ?

J'ai un parcours assez particulier, car je ne suis pas passé par une école d'ingénieur, mais j'ai fait des études de lettres. J'ai par la suite travaillé chez un éditeur d'antivirus. L'analyse m'intéressant beaucoup, je me suis dirigé vers CybelAngel, spécialiste de la fuite et de l’exposition de données. Je souhaitais en apprendre davantage sur la technique et suis depuis plusieurs années analyste en cybersécurité. Aujourd’hui, je suis responsable d'investigations spéciales.

Qu'entends-tu par exposition de données?

Lorsqu’il n’y a pas de restriction d’accès sur un service connecté, comme un serveur de fichier ou une base de données, ce dernier ouvre son contenu à littéralement la Terre entière. Au-delà de ce type de périmètre, nous surveillons également les plateformes de partage de documents et les canaux cybercriminels, entre autres, ou des données confidentielles peuvent être malencontreusement partagées..

Notre mission est d’analyser les documents qui sont détectés par nos outils, selon nos clients et leurs mots-clés, et d’évaluer le risque d’exposition.

Est-ce que les entreprises se rendent comptent que leurs propres données peuvent être piratées ?  

On pense toujours que les cyberattaques n'arrivent qu'aux autres, jusqu'au jour où une arrive à notre entreprise. De nos jours, cela peut également passer par une attaque envers un prestataire à qui on partage des documents de travail.

Il suffit d'une petite porte ouverte pour détruire tout le réseau d’une entreprise, en menaçant de publier ses documents sensibles contre le paiement d’une rançon : ce sont des ransomwares.

Cela peut passer par une pièce jointe piégée, mais aussi via des protocoles d'accès à distance comme les VPN et RDP. Ce type de protocole est particulièrement utilisé avec l’essor du télétravail. On peut tenter de deviner un mot de passe ou exploiter une faille pour contourner la sécurité et se retrouver à l’intérieur du réseau.‍

Quelles sont les bonnes pratiques que tu donnes pour se préserver de ces attaques ?

Il est nécessaire de mettre régulièrement à jour l'infrastructure ainsi que les ordinateurs des collaborateurs (Linux, Mac ou encore Windows), que ce soit au niveau du hardware et du software. C'est malheureusement beaucoup plus facile à dire dans la théorie que de l'appliquer dans la réalité. Outre le fait qu’on peut être amené à gérer des milliers de postes de travail, il y a aussi des problématiques métier impliquant que certains logiciels ne sont disponibles que sur certaines versions de Windows, et qui ne fonctionnent pas sous une version plus récente. Enfin, la prévention et l’éducation des collaborateurs n’est pas du luxe !

C'est aujourd'hui le cas dans beaucoup de secteurs d'activité, de se reposer sur des infrastructures obsolètes, qui sont difficiles à mettre à jour.

Peux-tu me parler d’un use case sur lequel tu as récemment travaillé ?

L'un des derniers cas sur lesquels nous avons travaillé était une affaire de ransomware. Dans cette situation, nous pouvions donner des informations sur le groupe d'attaquant et surveiller la potentielle diffusion des documents volés.

En cybersécurité le risque 0 n’existe pas, mais notre rôle est de limiter l’impact au maximum.

Quel est le but de vos projets ? Récupérer les données volées, et protéger d'autant plus le système de sécurité ?

Nous dressons un état des lieux de la situation et nous détaillons les risques liés au cas investigué. Nous accompagnons également les clients dans la résolution de l’incident, et nous portons une attention spéciale sur une éventuelle nouvelle détection des documents alertés, ce qui signifierait qu’un autre acteur que nous les a découverts.

Quels sont selon toi les liens entre la Data Science et la Cybersécurité ?

Ce que l’on remarque chez Cybel est que l'on peut justement lier les domaines de la Data & de la Cybersécurité de manière très proche !

On voit notamment de nombreux modèles qui semblent se répéter sur des attaques, sur la fuite de documents. On utilise énormément de Machine Learning dans nos analyses. Nous sommes dans la capacité de contextualiser la donnée et de déterminer la gravité de la fuite, ceci est un atout étant donné la volumétrie. En 15 minutes, nous pouvons détecter 100 millions de documents ! La machine nous aide à classifier et catégoriser certains éléments. Grâce à elle, les analystes se concentrent sur les données les plus sensibles, les faux positifs sont écartés..

Le travail s’effectue en symbiose. L'analyste nourrit l'algorithme, qui nourrit l'analyste, qui nourrit l'algorithme.

Comment travailles-tu en tandem avec les Data Scientists ?

Étant donné que c’est l’analyste qui commence à nourrir l’algorithme, il est important que nos deux équipes comprennent mutuellement la méthodologie de travail. C’est aussi l’occasion de prendre des décisions sur certains cas épineux qui ne rentrent pas dans le modèle.

La phase de vérification est-elle toujours concluante ?

Oui, mais il faut parfois être patient. Les algorithmes se basent sur des volumes gigantesques de données. On ne peut pas improviser un algorithme, il y a nécessairement une phase d’entraînement.

Le nerf de guerre dans le cas de cyberattaques est la donnée.

Par ailleurs, notre R&D constante implique qu’il y a sans cesse de nouveaux types de données, qu’il faut bien intégrer dans les modèles existants. Quoi qu’il en soit, dans la plupart des cas c’est l’être humain qui aura le dernier mot, bien que la machine a déjà réalisé l’essentiel du travail.

C'est ce que l’on met en avant dans notre solution puisque les deux sont complémentaires, l'Analyste Cybersécurité & le Data Scientist. L'un ne peut pas exister sans l'autre.

‍

À quel moment un logiciel malveillant peut-il s'introduire dans le pipeline Data ?

Je ne pense pas qu’un logiciel malveillant puisse modifier un algorithme. Mais il est sans doute possible d’insérer de la donnée erronée et ainsi modifier le comportement des antivirus modernes qui reposent sur de l’intelligence artificielle.

Comment est-ce que tu fais ta vieille technologie?

Je consulte de nombreuses plateformes “underground” sur lesquelles se trouvent des informations exclusives. J’utilise également beaucoup Twitter, car cela permet d’avoir des informations quasiment en temps réel sur les sujets d’actualités, dont toutes les technologies. Twitter est court, mais il permet toutefois de rediriger vers des articles qui ne sont pas uniquement des journaux, mais aussi des blogs de chercheurs en sécurité.

Les formations en cybersécurité ne sont pas encore assez démocratisées !

Il commence à y avoir quelques écoles qui tirent leur épingle du jeu et qui font de la cybersécurité leur spécialité.

Aujourd’hui je pense que l'expérience et les projets priment sur la théorie ! Pour les métiers techniques, c'est le cas.

La marché du recrutement en Cybersécurité dans tout cela ?

Il est en expansion grandissante et ce marché recrute dans tous les domaines. Il recrute de nombreux ingénieurs, mais pas seulement.

Il existe de nombreux métiers transverses qui sont reliés à la cybersécurité !