L’année dernière a été marquée par un certain nombre d’attaques importantes de ransomware dans tous les secteurs d’activité. Sur la base de notre expérience en tant que membre d’une équipe de réponse aux incidents, nous nous appuierons sur plusieurs cas sur lesquels nous avons travaillé pour identifier les tendances que nous avons observées dans les méthodes utilisées par les attaquants pour infiltrer les entreprises et exfiltrer les données, ainsi que les conséquences de ces infiltrations. Nous répondrons plus spécifiquement aux questions suivantes : quels sont les vecteurs d’attaque utilisés par les attaquants ? Comment les attaquants se déplacent-ils à l’intérieur d’un réseau, et pendant combien de temps ? Comment les attaquants exfiltrent-ils les données ? Quels sont les impacts de ces attaques sur les activités de production à court terme ? Comment pouvons-nous construire une infrastructure plus sûre ? Nous discuterons également des particularités des tâches de l’équipe de réponse aux incidents, des compétences requises, ainsi que des relations que nous avons dû établir avec d’autres équipes de sécurité telles que les analystes SOC et les pentesters. Nous aborderons ensuite notre mission, qui s’articule autour de quatre piliers : la préparation, la détection et l’analyse, l’endiguement / l’éradication / la récupération et la gestion post-incident.

Après plus de 20 ans dans l’administration de systèmes Unix et Linux et la conception d’architectures techniques (dont la mise en œuvre de plusieurs projets de consolidation en environnements virtualisés), Bruno s’est réorienté dans la sécurité informatique. Ses diverses expériences professionnelles dans plusieurs secteurs (bancaire, manufacturier et services) lui donnent une vision plus large qui lui permet de mieux comprendre les problématiques de chaque client. Après plusieurs mandats dans la conception de règles de monitoring et l’implémentation d’outils de monitoring de type SIEM, Bruno travaille actuellement dans une équipe de réponse à incident et d’analyse numérique où il est confronté quotidiennement à différents types d’attaques informatiques, dont les attaques par ransomware. Passionné par l’analyse des malwares, Bruno contribue également à l’amélioration de la posture de sécurité des clients en travaillant notamment avec les membres de l’équipe pour définir des plans de réponse aux incidents de sécurité.

Yoan Schinck est consultant senior en cyber-réponse chez KPMG-Egyde, avec un accent sur la criminalistique numérique, la réponse aux incidents et les opérations SOC. Il a commencé sa carrière en tant que technicien de support, au cours de laquelle il a développé sa capacité à dépanner, à enquêter et à corréler les événements. Après quelques années, il est passé au domaine de la sécurité de l’information en tant qu’administrateur de la sécurité pour une grande entreprise québécoise, où il a obtenu ses diplômes GCIH et GCFE. Il a ensuite rejoint KPMG-Egyde pour participer au développement de leur SOC. Pendant qu’il était dans le SOC, il a participé et contribué à de nombreuses missions de réponse aux incidents, où il a mis à profit ses compétences en matière de chasse aux menaces et d’investigation. En conséquence, il a rejoint l’équipe de réponse aux incidents, où il met quotidiennement ses compétences et ses connaissances à profit. Lorsqu’il ne passe pas tout son temps sur une réponse à incident, il passe son temps à peaufiner les différentes solutions EDR des clients de KPMG-Egyde, et à donner des formations (en interne et aux clients) sur les EDR et la chasse aux menaces.