HF 2021 - Call for Papers

De la fiction à la réalité, retours d’expériences d’une équipe de réponses aux incidents
2021-11-19, 10:30–11:20, Hackfest - Track 1
Language: French

Retours d'expériences réelles d'une équipe de réponse à incident confrontée, au quotidien, à des incidents de sécurités et cela dans plusieurs compagnies. Nous évoquerons principalement les cas des attaques par rançongiciel, leur méthode, les impacts, etc.


Rétrospective, d'un an, du quotidien d'une équipe de réponses aux incidents. Nous aborderons notamment les tendances observées, les types de compromissions, la méthodologie des attaquants afin infiltrer les entreprises, l'exfiltration des données et ses conséquences. Nous évoquerons aussi la particularité de cette pratique, les compétences requises, ainsi que les relations possibles entre d'autres équipes de sécurité tels que les analystes du SOC et les pentesters.

L'année écoulée a vu un nombre d'attaques informatiques importantes dans tous les secteurs professionnels. Basée sur une expérience concrète de plusieurs cas traités, nous reviendrons spécifiquement sur les attaques par rançongiciel et les conséquences induites pour les entreprises. Nous répondrons aux questions suivantes : quel vecteur d'entrée, faille ou mauvaise configuration ? quid des mouvements latéraux des attaquants dans le réseau, durée des attaques, détections de ces attaques, impacts de ces attaques, les méthodes d'exfiltrations des données, l'impact sur les activités de production, le jour d'après, ou comment bâtir une infrastructure sécurisée.

Nous aborderons également les autres cas de compromission plus classiques comme le vol des comptes de messagerie. La messagerie reste le vecteur d'attaque le plus couramment utilisé afin de tenter d'usurper l'identité d'un individu et ainsi en prendre le contrôle pour effectuer des actions malveillantes. Nous répondrons notamment aux questions suivantes : l'objectif de ce type d'attaque, les impacts internes et externes, vecteur d'entrée pour d'autres méfaits, oui mais lesquels, le moyen de s'en prémunir.

Voilà le quotidien d'une équipe de réponses aux incidents. Traquer, analyser et comprendre le passé pour améliorer le futur. Nous recherchons les traces numériques des attaquants afin de les analyser et ainsi comprendre la méthodologie utilisée pour cerner concrètement les attaques informatiques. Notre mission s'architecture autour de quatre piliers : préparer, détecter et analyser, contenir – éradiquer – récupérer, post-incident (source NIST). Nous échangerons sur la réalité de la mission, les relations humaines nécessaires, les compétences techniques à avoir, etc.


Are you releasing a tool? – no Have this talk already be given? – yes

Après plus de 20 ans dans l'administration des systèmes Unix et Linux et la définition des d'architecture technique (dont la mise en œuvre de plusieurs projets de consolidation dans des environnements virtualisés), Bruno s'est réorienté dans la sécurité informatique. Ses différentes expériences professionnelles dans de nombreux secteurs : bancaires, manufacturiers ou de services, lui apportent une vision élargie et lui permettent de mieux cerner les problématiques de chaque client.

Après plusieurs mandats dans la définition des règles de surveillance et l'implémentation d'outils de surveillance de type SIEM, Bruno travaille actuellement dans une équipe de réponses aux incidents et d'analyses numériques où il est quotidiennement confronté à différents types d'attaques informatiques dont notamment les attaques par rançongiciel. Passionné par l’analyse des logiciels malveillants, il exerce cette pratique dans les différents mandats sur lesquels il est assignés.

Bruno contribue par ailleurs à l’amélioration de la posture de sécurité de certains clients en travaillant notamment avec des membres de l’équipe à définir des plans de réponses aux incidents de sécurité.

Jordan à cultiver son intérêt pour les TI à travers une expérience professionnelle de plus de 10 ans en informatique dans différents secteurs d'activité (assurance, éducation, transport et diplomatie). Tantôt administrateur de systèmes, tantôt coordinateur des SI, il a développé des compétences transversales dans plusieurs domaines.
Ses expériences et sa curiosité l'ont amené à s'intéresser à la cybersécurité et ses enjeux dans le monde de l'entreprise et des organisations publiques. Ses premières missions en tant qu’analyste cybersécurité lui ont permis de maitriser les problématiques sécuritaires auxquelles les organisations font face. De là est né en lui un intérêt particulier pour l’investigation numérique.
Il y a 2 ans, Jordan rejoint KPMG-Egyde en tant que conseiller principal en réponse aux incidents de cybersécurité.
Depuis, ses journées sont partagées principalement entre l'investigation forensique et l’accompagnement des victimes de rançongiciels. Il les conseille également afin d’améliorer leur posture de sécurité à travers le développement de plans de réponse aux incidents et de playbook personnalisés.