Bonjour Christophe Grenier. Vous êtes Directeur d'Exploitation, responsable de la sécurité informatique chez Global SP depuis 13 ans. Pouvez-vous nous expliquer votre rôle et vos missions chez Global SP ?

En tant que Directeur d'Exploitation, je dois m'assurer avec mon équipe du maintien en conditions opérationnelles de nos plateformes. Nous travaillons également à propager différentes améliorations sur nos serveurs et équipements réseaux tout en essayant qu'elles soient le moins perturbantes possible. De cette façon, nos systèmes restent relativement à jour, sécurisés et disponibles pour nos utilisateurs. J'ai également la casquette de RSSI (Responsable de la Sécurité des Systèmes d'Information).

Comme nous l'a montré la récente attaque du ransomware WannaCry, les cyberattaques représentent aujourd'hui une réelle menace pour les entreprises. Comment appréhendez-vous cette menace ?

Les cyberattaques existent depuis des années. Certaines se propagent par le réseau et attaquent de manière globale toutes les machines connectées à Internet. D'autres se propagent par la messagerie, par des sites Internet ou via des publicités de façon à hameçonner les utilisateurs. WannaCry combine deux de ces méthodes: à la fois une propagation via le réseau IP et des attaques à destination des utilisateurs via des mails. Je pense que nous aurons de plus en plus d'attaques multi-vecteurs comme celle de WannaCry.

Chez Global SP, les mesures de sécurité mises en place ont permis à nos clients de ne pas être affectés par WannaCry. Au niveau de la messagerie, nous avons un filtrage antivirus, ainsi qu'un filtrage sur les pièces jointes. Au niveau des postes, nous effectuons les mises à jour de sécurité dès qu'elles sont disponibles et sur nos serveurs en fonction des contraintes de disponibilité demandés par nos clients. De manière générale, nous essayons de maintenir un bon niveau de sécurité de façon à ne pas être victimes de ces ransomwares.

Après, avec WannaCry, il faut comprendre que tout le monde est vulnérable. Wannacry a été utilisé à base d'exploits de la NSA, qui sont enfaite des armes informatiques développées par les américains, comme le font beaucoup de gouvernements. Là, le problème est que ces armes se sont retrouvées dans la nature. Et forcément, face à ces zero days, des exploitations de vulnérabilités inconnues jusqu'à présent, tout le monde est potentiellement vulnérable. C'est donc uniquement grâce à une bonne sécurité globale et une bonne hygiène qu'on peut espérer passer au travers.

Selon vous, quelles sont les précautions à prendre pour se protéger au mieux de ces attaques ?

Si on reste sur le périmètre de WannaCry, il y a principalement deux choses.

Premièrement, au niveau réseau. Il faut avoir une politique de firewalling qui par défaut bloque tout, et n'ouvrir les accès que lorsque c'est nécessaire, même si cela veut aussi dire lutter contre certaines demandes clients. Nous avons des clients qui demandent parfois des choses qui sont contraires aux bonnes règles de sécurité. Il faut donc être capable de trouver un équilibre entre sécurité et utilisation client.

Deuxièmement, au niveau utilisateurs. Les utilisateurs ne doivent pas cliquer sur n'importe quel lien, que ce soit dans leurs mails ou sur Internet, s'ils téléchargent des logiciels par exemple. Ils doivent faire attention et surtout ne pas se poser la question une fois qu'ils ont cliqué sur un lien parce que c'est trop tard. Donc, de manière générale, il est bon de leur rappeler les règles de sécurité.

Si toute la prévention et les mesures de sécurité mises en place ne suffisent pas, il faut impérativement avoir des sauvegardes régulières et fiables, de manière à pouvoir restaurer les données en cas de besoin.

En cas d'infection d'un ordinateur par un virus, comment réagir ?

Il faut d'abord isoler le poste du réseau et, en règle générale, nous recommandons de réinstaller from scratch (ndlr. redémarrer de zéro). Sinon, pour éviter de tout réinstaller, il est aussi possible de banaliser le poste, mais seulement s'il n'y a eu qu'un seul poste d'infecté et que toutes les données se trouvent sur des serveurs pour lesquels nous sommes certains que les sauvegardes sont opérationnelles.

S'il y a demande de rançon, faut-il payer ?

Je pense qu'il est préférable de ne pas payer, de repartir de ces sauvegardes. Si ce n'est pas possible, cela signifie peut-être céder au chantage. D'un point de vue moral, payer une rançon est difficile, c'est alimenter des criminels. Pour céder au pragmatisme, ces maîtres chanteurs cherchent à passer pour d'honnêtes brigands, il est probable qu'après paiement de la rançon, une clé sera envoyée pour débloquer les données prises en otage.

Pour WannaCry, il y a eu quelques erreurs dans la programmation qui ont fait que si un poste infecté n'avait pas été redémarré depuis l'infection, il était possible de récupérer la clé de décryptage en mémoire, et donc de récupérer les données sans passer par la case paiement de la rançon.

Les clients de Global SP n'ont pas été touchés par WannaCry. Avez-vous pris des mesures particulières pour les protéger de ce ransomware ?

Quand Microsoft a mis à disposition le patch pour les anciennes plateformes, nous avons communiqué auprès de nos clients qui sont sous Windows XP. Nous les avons prévenus que le patch était disponible pour qu'ils puissent se mettre eux-mêmes à jour. Et pour les clients ayant des Windows en version 2003, tous les serveurs ont été mis à jour dans le week-end. Ce correctif de sécurité a été déployé pour bloquer la propagation du cryptolocker via le réseau s'il avait infecté un serveur.

Avez-vous déjà dû faire face à des attaques semblables à celle de WannaCry ? Comment avez-vous réagi ?

Certains de nos clients ont déjà été victimes de cryptolockers parce qu'ils avaient cliqué sur de mauvaises pièces jointes ou de mauvais exécutables. Par chance les mécanismes de sauvegarde nous ont permis de restaurer leurs données et donc de minimiser la perte.

D'autres clients ont été victimes de failles de sécurité sur leur sites web car les mises à jour de sécurité n'avaient pas été effectuées. Ces clients ont vu leur site modifié à leur insu. Donc là, il n'y a pas vraiment de perte de données, c'est plutôt une perte d'image. Il est impératif d'effectuer régulièrement les mises à jour de ces applicatifs web.

Pensez-vous que l'on doive s'attendre à d'autres cyberattaques prochainement ?

Oui. Tout simplement parce qu'il y a d'autres exploits de la NSA qui ont été libérés. Donc il y a de fortes chances pour que, dans les semaines et les mois à venir, d'autres exploits utilisant les autres failles se retrouvent lâchés dans la nature.