Cyber investigation : enquête, technique et intuition

Au CSIRT d’Orange Cyberdefense, Robinson Delaugerre, expert en investigation numérique, manage une équipe de dix personnes formées pour répondre aux incidents de sécurité et protéger le patrimoine numérique de leurs clients. Si ce métier d’enquête nécessite de la technique, l’intuition est primordiale pour comprendre l’attaquant et remédier aux attaques.

Protéger ses clients, défendre les utilisateurs d’Internet, c’est le quotidien de Robinson et la source de satisfaction de ce passionné d’investigation numérique.

Robinson Delaugerre est Investigations Manager au sein du CSIRT d’Orange Cyberdefense, l’unité de défense qui organise la réponse à incidents. C’est un métier d’enquête et un défi intellectuel :

« Quand un attaquant entre en interaction avec votre système d’information, cette intrusion laisse une trace que nous devons trouver, recueillir, interpréter, et décortiquer pour lui donner du sens. Cette trace, elle peut se manifester tout simplement par des mails qui disparaissent, une fenêtre qui s’ouvre et vous propose un téléchargement. »

A Robinson Delaugerre et son équipe de définir qui est l’intrus, comment il opère et comment l’arrêter.

Cette semaine, un client a appelé en urgence. Plusieurs comptes mails avaient été « compromis » et cette intrusion se répandait sur d’autres comptes mails.

« Il faut aller vite, c’est un rush d’adrénaline car les enjeux pour le client sont éminemment stratégiques et sont sous notre responsabilité. On peut intervenir sur n’importe quel périmètre et nous montons en compétence en même temps que les attaques se complexifient. Nous pouvons comprendre n’importe quelle technologie. »

Une fois l’attaque comprise et contenue, le client est accompagné dans sa résilience numérique :
« Nous lui construisons un plan de remédiation. C’est une recommandation technique, organisationnelle et budgétaire pour reconstruire son écosystème après une attaque. Notre mission est de lui apporter des solutions pour protéger son patrimoine numérique. »

La sécurité c’est aussi une démarche qualité. Après plusieurs années d’expérience, Robinson constate que dans la majorité des cas d’incidents qu’il gère, les clients réagissent après leur toute première attaque et prennent alors conscience qu’ils auraient dû anticiper. « On a toujours tendance à sous-estimer le risque quand il semble loin de nous ». Le premier incident est alors souvent vécu comme un traumatisme et le rôle des équipes du CSIRT est aussi d’aider l’entreprise victime à reprendre confiance. « Il y a pour ça des mesures techniques bien sûr mais nous faisons aussi beaucoup de pédagogie pour qu’ils comprennent ce qui s’est passé, et pour qu’eux-mêmes prennent la main sur la réparation de l’incident. »

Le recrutement porte à la fois sur le parcours et les soft skills. Si l’équipe est majoritairement composée de profils ingénieurs et de techniciens, elle compte aussi par exemple un docteur en biologie. Car ce qui prime, c’est avant tout le sens de l’investigation, l’intuition et l’expérience :
« C’est plus simple de former un policier qui a dix ans de terrain et la culture de l’investigation et de le faire monter en compétence sur la technique que de former quelqu’un qui a dix ans de technique mais aucun sens de l’investigation.» explique Robinson. De la détermination, de la méthodologie, de l’agilité pour s’adapter quotidiennement aux différentes morphologies d’incidents, des qualités de communicant et de l’empathie, c’est ce qui caractérise cette communauté d’enquêteurs et d’analystes qui n’ont qu’une mission en tête : protéger votre propriété intellectuelle, vos données, votre image.