Accueil
Accueil
Envoyer à un ami
Version imprimable
Partager
Pour comprendre les enjeux de la gestion de crise cyber, nous avons rencontré Jérôme Saiz, expert en cybersécurité et gestion de crise, lors d'une conférence à l’École militaire le 16 décembre 2024 organisée conjointement par ANA SJ -IHEMI dans l’amphithéâtre Bourcet. Une conférence captivante et riche en enseignements.
Ancien journaliste, auditeur pour la qualification PACS de l’ANSSI et conférencier, Jérôme Saiz consacre son activité à accompagner les entreprises "quand tout s'arrête". Il est souvent sollicité par les assurances et les cabinets d'avocats, face à des entreprises désemparées par la paralysie soudaine de leur système d'information.
Son rôle : organiser le chaos pour permettre aux entreprises de reprendre le contrôle et relancer leur activité.
Ancien journaliste, auditeur pour la qualification PACS de l’ANSSI et conférencier, Jérôme Saiz consacre son activité à accompagner les entreprises "quand tout s'arrête". Il est souvent sollicité par les assurances et les cabinets d'avocats, face à des entreprises désemparées par la paralysie soudaine de leur système d'information.
Son rôle : organiser le chaos pour permettre aux entreprises de reprendre le contrôle et relancer leur activité.
Dépasser les clichés : comment les attaquants opèrent réellement
Loin du cliché des hackers adolescents s'amusant à pirater des sites web, Jérôme Saiz décrit un processus méthodique et dévastateur. Les attaquants ne se contentent pas de simples campagnes de phishing, ils exploitent des vulnérabilités bien réelles sur des équipements informatiques exposés à internet. Leur cible préférée : les VPN utilisés pour le télétravail.
Pourquoi : Parce qu’une faille non corrigée, un mauvais paramétrage sur un VPN peut donner accès à l’ensemble des identifiants des salariés de l'entreprise. Ensuite petit à petit, il va chercher ce qu’il appelle les "clés du royaume", c’est à dire les droits de l’administrateur contrôlant l’annuaire principal de l’entreprise.
Une fois infiltrés, les pirates progressent ainsi méthodiquement, escaladant les privilèges pour atteindre leur objectif final : le contrôle de l'Active Directory, l'annuaire qui gère les authentifications et les autorisations au sein de l'entreprise. A partir de là, ils peuvent tout faire : voler des données, chiffrer les systèmes, détruire les sauvegardes.… Et ils peuvent être diablement efficaces, présents pendant des semaines ou des mois, invisibles.
Jérôme Saiz cite l'exemple d'une entreprise qui a découvert une vulnérabilité sur son VPN un vendredi, mais a repoussé la correction au lundi suivant. Résultat : durant le week-end, le VPN a été compromis, et tous les identifiants des salariés ont été volés. Un retard aux conséquences dramatiques, qui illustre la rapidité d'action des attaquants et la nécessité d'une réaction immédiate.
Pourquoi : Parce qu’une faille non corrigée, un mauvais paramétrage sur un VPN peut donner accès à l’ensemble des identifiants des salariés de l'entreprise. Ensuite petit à petit, il va chercher ce qu’il appelle les "clés du royaume", c’est à dire les droits de l’administrateur contrôlant l’annuaire principal de l’entreprise.
Une fois infiltrés, les pirates progressent ainsi méthodiquement, escaladant les privilèges pour atteindre leur objectif final : le contrôle de l'Active Directory, l'annuaire qui gère les authentifications et les autorisations au sein de l'entreprise. A partir de là, ils peuvent tout faire : voler des données, chiffrer les systèmes, détruire les sauvegardes.… Et ils peuvent être diablement efficaces, présents pendant des semaines ou des mois, invisibles.
Jérôme Saiz cite l'exemple d'une entreprise qui a découvert une vulnérabilité sur son VPN un vendredi, mais a repoussé la correction au lundi suivant. Résultat : durant le week-end, le VPN a été compromis, et tous les identifiants des salariés ont été volés. Un retard aux conséquences dramatiques, qui illustre la rapidité d'action des attaquants et la nécessité d'une réaction immédiate.
Gérer l'imprévisible : quand la crise frappe
Le choc initial est brutal. Plus rien ne fonctionne, l'activité est totalement paralysée, la panique s'installe. "C'est là que commence la crise", explique Jérôme Saiz. Face à cette situation chaotique, il est crucial de mobiliser les bonnes personnes : DSI, responsables communication, juridique, direction générale.... Mais comment les contacter quand les téléphones et les emails sont hors service ?. C'est là que les plans de reprise d'activité (PRA) et de continuité d'activité (PCA) entrent en jeu... sauf qu'ils sont souvent inadaptés à la réalité du terrain, voire obsolètes.
Jérôme Saiz confie n'avoir jamais vu un PRA ou un PCA réellement utilisé en cinq ans de gestion de crises. Trop rigides, ils ne prennent pas en compte l'imprévisibilité de la situation, la perte de confiance dans le système d'information, la nécessité de s'adapter en permanence. L'exemple de LDLC (2021) est frappant : lors d'une crise, l'entreprise en désespoir de cause a fait appel à un prestataire extérieur pour gérer la situation. Malheureusement, les attaquants avaient déjà infiltré les communications internes, publiant des captures d'écran des discussions de crise sur Twitter. Une situation humiliante et catastrophique pour l'image de l'entreprise...
Jérôme Saiz confie n'avoir jamais vu un PRA ou un PCA réellement utilisé en cinq ans de gestion de crises. Trop rigides, ils ne prennent pas en compte l'imprévisibilité de la situation, la perte de confiance dans le système d'information, la nécessité de s'adapter en permanence. L'exemple de LDLC (2021) est frappant : lors d'une crise, l'entreprise en désespoir de cause a fait appel à un prestataire extérieur pour gérer la situation. Malheureusement, les attaquants avaient déjà infiltré les communications internes, publiant des captures d'écran des discussions de crise sur Twitter. Une situation humiliante et catastrophique pour l'image de l'entreprise...
Organiser le chaos : les clés d'une gestion de crise efficace
Face à l'urgence et à l'imprévu, la gestion de crise est un exercice délicat. "Il faut organiser le chaos", martèle Jérôme Saiz. Cela passe par la mise en place d'un plan de gestion de crise structuré, avec a minima une cellule décisionnelle (direction, communication, juridique...) et une cellule opérationnelle (DSI, experts techniques...).
L'objectif : protéger les collaborateurs, puis l'activité, et enfin l'entreprise.
Il est essentiel d'établir un rythme de bataille, avec des réunions régulières pour coordonner les actions, échanger les informations et prendre des décisions rapidement. L'investigation est un élément clé : il faut déterminer l'origine physique de l'attaque, la porte d’accès, la date de la première intrusion, les traces laissées par l'attaquant.... Le « qui » au sens de personne étant secondaire. Ces informations permettent de prioriser les actions de remédiation, de restaurer les systèmes et les données en toute sécurité, et de retrouver un semblant de contrôle sur la situation.
Jérôme Saiz souligne également l'importance de gérer les impacts collatéraux de la crise : clients mécontents, escroqueries opportunistes, pression des régulateurs.... Des exemples concrets ? Des factures volées utilisées par d’autres escrocs étrangers à la crise pour arnaquer les clients, des entreprises submergées par les demandes de partenaires critiques, des salariés malmenés à l'image de ce DSI dont les cheveux ont blanchi en 15 jours à cause du stress.
L'objectif : protéger les collaborateurs, puis l'activité, et enfin l'entreprise.
Il est essentiel d'établir un rythme de bataille, avec des réunions régulières pour coordonner les actions, échanger les informations et prendre des décisions rapidement. L'investigation est un élément clé : il faut déterminer l'origine physique de l'attaque, la porte d’accès, la date de la première intrusion, les traces laissées par l'attaquant.... Le « qui » au sens de personne étant secondaire. Ces informations permettent de prioriser les actions de remédiation, de restaurer les systèmes et les données en toute sécurité, et de retrouver un semblant de contrôle sur la situation.
Jérôme Saiz souligne également l'importance de gérer les impacts collatéraux de la crise : clients mécontents, escroqueries opportunistes, pression des régulateurs.... Des exemples concrets ? Des factures volées utilisées par d’autres escrocs étrangers à la crise pour arnaquer les clients, des entreprises submergées par les demandes de partenaires critiques, des salariés malmenés à l'image de ce DSI dont les cheveux ont blanchi en 15 jours à cause du stress.
Se préparer à l'inévitable : les conseils d'un expert
Le message de Jérôme Saiz est clair : la cybersécurité est l'affaire de tous et il faut se préparer à l'inévitable. "On part du principe que vous serez attaqué", affirme-t-il. L'objectif n'est plus seulement de prévenir les attaques, mais de développer la résilience de l'entreprise, sa capacité à se relever rapidement et avec le moins de dégâts possible.
Comment se préparer ? En commençant par des exercices de crise, même simples et sur table, pour identifier les faiblesses, sensibiliser le management et tester la mobilisation des équipes. Mettre en place des mesures techniques essentielles est également crucial : MFA (authentification multi-facteurs) sur tous les services exposés à internet, réseau d'administration séparé, sauvegardes immuables, supervision renforcée....
Jérôme Saiz insiste sur l'importance de la culture d'entreprise. "Les pires crises que j'ai gérées étaient dans des entreprises où l'ambiance était déjà mauvaise", confie-t-il. A contrario, une ambiance positive et collaborative favorise la solidarité et la résilience face à l'adversité.
Comment se préparer ? En commençant par des exercices de crise, même simples et sur table, pour identifier les faiblesses, sensibiliser le management et tester la mobilisation des équipes. Mettre en place des mesures techniques essentielles est également crucial : MFA (authentification multi-facteurs) sur tous les services exposés à internet, réseau d'administration séparé, sauvegardes immuables, supervision renforcée....
Jérôme Saiz insiste sur l'importance de la culture d'entreprise. "Les pires crises que j'ai gérées étaient dans des entreprises où l'ambiance était déjà mauvaise", confie-t-il. A contrario, une ambiance positive et collaborative favorise la solidarité et la résilience face à l'adversité.
Conclusion
Gérer une cybercrise est un défi complexe et stressant, qui exige une combinaison d'expertise technique, de leadership et d'adaptation constante. Le témoignage de Jérôme Saiz est précieux : il nous plonge au cœur de la réalité du terrain, démystifie les cyberattaques et offre des clés concrètes pour se préparer à affronter l'inévitable. "Gérer la crise, c'est organiser le chaos", rappelle-t-il. Un message fort et un appel à l'action pour toutes les entreprises, petites ou grandes, qui souhaitent survivre dans un monde numérique de plus en plus hostile.
Biographie
Crédit Photo Cybercercle - Jérôme Saiz
Jérôme SAIZ est consultant en protection des entreprises et fondateur de la société OPFOR Intelligence, où il accompagne les entreprises dans la gestion des crises cyber. Il est intervenu également en tant que Crisis Manager & Incident Handler @ CERT-Intrinsec et est auditeur dans le cadre de la qualification PACS-gestion de crise.
Il est auditeur de l'Institut National des Hautes Études pour la Sécurité et la Justice (18e session SNS), titulaire du titre RNCP-1 d'expert en protection des entreprises et certifié CT CERIC en sûreté / lutte contre la malveillance par le Centre National de Prévention et de Protection (CNPP), réserviste citoyen auprès de la Mission Numérique de la Gendarmerie Nationale et senior advisor du CyberCercle.
Jérôme SAIZ a été auparavant expert sécurité, responsable de la communauté RSSI au sein de la société Qualys, un éditeur de solutions d’analyses de vulnérabilités, et journaliste spécialisé dans les questions de cyberdéfense. Il a enseigné durant 11 ans à l'école d'ingénieurs EPITA (cycle Systèmes, Réseaux & Sécurité) et au Centre National de Prévention et de Protection (CNPP). Il intervient également au profit de nombreux autres centres d'enseignements (Université Paris Dauphine, Pôle Universitaire Léonard de Vinci, etc.).
Il est auditeur de l'Institut National des Hautes Études pour la Sécurité et la Justice (18e session SNS), titulaire du titre RNCP-1 d'expert en protection des entreprises et certifié CT CERIC en sûreté / lutte contre la malveillance par le Centre National de Prévention et de Protection (CNPP), réserviste citoyen auprès de la Mission Numérique de la Gendarmerie Nationale et senior advisor du CyberCercle.
Jérôme SAIZ a été auparavant expert sécurité, responsable de la communauté RSSI au sein de la société Qualys, un éditeur de solutions d’analyses de vulnérabilités, et journaliste spécialisé dans les questions de cyberdéfense. Il a enseigné durant 11 ans à l'école d'ingénieurs EPITA (cycle Systèmes, Réseaux & Sécurité) et au Centre National de Prévention et de Protection (CNPP). Il intervient également au profit de nombreux autres centres d'enseignements (Université Paris Dauphine, Pôle Universitaire Léonard de Vinci, etc.).