Andreas Schneider, TX Group: «Les SOC et outils de sécurité classiques génèrent bien trop d’alertes»

Comment est organisée la sécurité IT chez TX Group?

TX Group a la particularité de regrouper de nombreuses entreprises qui s'appuient chacune sur des technologies différentes. Leur point commun, depuis quelques années, réside dans une approche cloud-first que nous souhaitons maintenant faire évoluer vers une stratégie cloud-only. Depuis un incident de sécurité majeur survenu en 2016, le groupe a décidé d’investir davantage dans la cybersécurité. Un SOC avait été mis en place et une unité de sécurité faisait partie de l’IT, ce qui n’est aujourd'hui plus le cas. Je réponds directement à un membre de la Direction et je suis le principal responsable de la sécurité IT pour tout le groupe. Il m’est toutefois difficile de dire exactement combien d'employés je supervise en termes d'équivalent temps plein, car il s'agit de petites équipes au sein de chacune des entreprises qui ne se consacrent parfois qu’en partie à la cybersécurité. Nous avons en outre un développeur en nearshoring, à Belgrade, et collaborons notamment avec des prestataires tiers, dont la firme romande SCRT pour effectuer des audits de sécurité, et Bugcrowd pour des programmes de Bug Bounty.

Quelles approches de cybersécurité privilégiez-vous?

Après ma prise de fonctions en 2018, nous avons décidé de ne plus recourir au SOC, qui ne s'alignait plus sur notre stratégie orientée cloud. Nous avons initié un partenariat de co-développement avec la firme israélo-américaine Cybereason, dans l'optique de mettre au point une solution que l’on pourrait décrire comme un SOC de nouvelle génération. Nous faisons aussi appel à leur solution EDR (acronyme d’endpoint detection and response). Contrairement aux antivirus classiques, cette solution se concentre davantage sur la détection de patterns comportementaux. Selon moi, les SOC et outils de sécurité classiques se focalisent trop sur les ordinateurs des utilisateurs et génèrent bien trop d’alertes. Plutôt que d’être inondé d’alertes pour des mails de phishing ou des clics sur un lien suspicieux, il me semble plus pertinent d’être avant tout renseigné sur les tentatives de connexion via un compte dont les identifiants ont été découverts. Cette approche fait appel à des techniques de gestion sécurisée des identités et accès, basées sur du machine learning.

Quelles sont les principales cybermenaces auxquelles vous devez faire face?

TX Group, premier réseau de médias privés et plateformes numériques en Suisse, a une importante présence numérique. Les vecteurs d’attaques sont donc très nombreux et nous sommes particulièrement vulnérables aux attaques DDoS. En revanche, les ransomwares ne sont pas une réelle menace. Nous n’avons pas connu d’incident de ce type, notamment car la technologie EDR s’avère une protection efficace en la matière et que nous avons privilégié les outils bureautiques de Google à ceux de Microsoft. En pouvant ouvrir des documents Office directement dans le navigateur, la menace en malwares baisse de 80%. Nous avons en outre déployé BeyondCorp, le framework zero trust de Google. Dans ce cadre, un ransomware ne peut pas se propager dans l’ensemble du réseau d'entreprise et nos applications business critiques sont protégées.

Quels types d'attaques vous posent les challenges les plus complexes?

Le piratage des sites web. Le défi provient du nombre important de sites que nous gérons et de la variété des technologies sous-jacentes. Homegate a par exemple recours à AWS et au serverless, tandis que Ricardo emploie la Google Cloud Platform et Kubernetes. Des stacks technologiques totalement différents. Ma tâche consiste à mettre toutes les entreprises du groupe sur un même niveau de maturité en matière de cybersécurité. Toutes partagent de façon assez équitable les dépenses dans le domaine, le but étant de les inciter à prendre des mesures qui pourraient être jugées trop coûteuses si elles étaient gérées séparément par chaque entité. Un autre challenge particulier propre à nos activités concerne la cybersurveillance. C’est rare, mais il peut arriver que des journalistes soient surveillés, notamment par des acteurs étatiques. Chaque cas étant unique, je propose un consulting personnalisé pour expliquer comment se protéger. Je procède parfois à une analyse des appareils utilisés par un journaliste qui pense être espionné, pour dénicher et éliminer d'éventuels outils de surveillance.

Aux Swiss Cyber Security Days, vous allez revenir sur une attaque DDoS qui a ciblé TX Group durant un mois. Pouvez-vous nous en dire quelques mots?

Nous devons habituellement contrer des DDoS qui durent environ trois jours, cette attaque nous a donc surpris par sa longueur. Elle a d’abord ciblé notre paywall, un système hérité et on-premise qui a été partiellement affecté durant peu de temps. Mais une fois le paywall remis en état de marche, nous avons eu la surprise de voir les attaquants partir à l'assaut de la plupart de nos sites web, souvent simultanément et en changeant chaque jour de cibles. Heureusement, notre service de protection DDoS nous a permis de garder le contrôle. Finalement, nous n'avons reçu aucune demande de rançon. Le but de ces attaques étant de mettre un service hors ligne et de demander une rançon en échange de l’arrêt des hostilités. En outre, grâce à notre framework zero trust, notre solution EDR et les programmes Bug Bounty réalisés jusque-là, nous étions certains qu’il ne s’agissait pas d’un leurre masquant une autre attaque, ce qui est souvent le cas avec les attaques DDoS. Cet incident nous a aussi permis d’identifier des angles morts, par exemple des sites web hérités et tombés dans l’oubli. Nous serons ainsi d'autant mieux préparés contre une prochaine attaque de ce type.

Parmi les projets que vous menez actuellement, lequel vous tient le plus à cœur?

Avec notre développeur en nearshoring, nous sommes en train de mettre au point «un CISO de poche», si vous me passez l’expression. Il s’agit d’un assistant virtuel qui, connecté aux données des solutions EDR, MDM ou de gestion des identités, fournira des recommandations personnalisées aux employés via Slack. Par exemple, si quelqu’un utilise une authentification à deux facteurs par SMS, l’agent virtuel va non seulement recommander une meilleure alternative, mais aussi expliquer pourquoi la procédure par SMS n’est pas la plus sécurisée. Nous proposons bien entendu des formations ponctuelles pour sensibiliser les employés. Mais ce bot aura l’avantage de prodiguer une sensibilisation en continu. Avec cet outil, je pourrai encore davantage me focaliser sur la sécurité au niveau produit plutôt qu'au niveau des postes clients. Il s'agit là de l’objectif principal de l’ensemble de notre stratégie en matière de cybersécurité.