[Super People] Robinson, CSIRT Manager : l'enquêteur
Cyberdefender, quel est ton signe particulier ?
On peut dire que je fais de l’urgence médicale ! En tout cas, c’est la posture que j’ai choisi d’adopter dans mon métier de CSIRT Manager (Computer Security Incident Response Team). La réponse à incident a moins de 40 ans et vient du monde militaire. Aujourd’hui, il y a deux grandes façons de concevoir ce métier. Soit on l’envisage comme une force d’intervention, de type GIGN, soit comme un service de premiers secours, d’urgence médicale. J’ai opté pour la deuxième approche. Lorsqu’on intervient sur une réponse à incident, on arrive au sein d’une équipe qui est déstabilisée, traumatisée par une attaque. Et nous, qu’est-ce qu’on fait ? On met techniquement en lumière des erreurs internes. Elles ne sont pas forcément dues à de l’incompétence. Ça peut être un manque de budget, de moyens, de pouvoir d’action. Donc mon métier c’est de faire de l’aide aux victimes, pas d’arriver avec une posture humiliante de sauveur et de sachant.
Ce qui m’a amené vers ce métier de Forensic et de réponse à incident, c’est la curiosité. J’ai commencé, dès mon école d’ingénieurs, à mettre les mains dans mon ordinateur qui plantait sans cesse, pour comprendre ce qui se passait dans une machine. Puis j’ai eu la chance de travailler sur l’une des premières plus grosses attaques de l’ère moderne.
La réponse à incident, c’est l’analyse des traces, comme le ferait la médecine légale. On passe la majorité du temps à identifier ces traces, à les collecter, à en extraire des choses. L’objectif : comprendre ce que l’attaquant est en train de faire ou a fait sur le SI du client, pour être capable de le défaire mais aussi de proposer des moyens pour que ça ne se reproduise plus de la même façon. J’explique souvent aux clients que notre intervention permet de ne pas tomber dans le même panneau. Mais si le panneau est repeint en jaune et décalé d’un mètre, il y a un risque de retomber dedans.
En réponse à incident, on n’a pas le droit à l’erreur. Ça n’est pas compliqué, mais ça se prévoit. Il faut bien sûr conseiller, orienter, avec des process de vérification. Mais avant tout, il faut que dans l’équipe, chacun se sente assez à l’aise pour montrer de la vulnérabilité et dire que là, on a un doute ou on n’est pas sûr de la réponse. Dans ce métier, difficile d’avoir de l’égo quand on se fait apprendre la vie par des attaquants surdoués de parfois 17 ans ! Qu’on soit junior ou senior, chacun peut, sur une réponse à incident, avoir techniquement raison ou tort. C’est donc important de créer les bonnes conditions, dans une équipe, pour que chacun se sente libre de dire : « je ne sais pas », ou au contraire, « je suis sûr d’avoir raison ». En tant que CSIRT Manager, ça fait partie des choses que je travaille beaucoup, pour maintenir une équipe dans laquelle les gens s’entraident et collaborent. J’ai été longtemps un des meilleurs experts de l’équipe, j’ai réussi à faire monter des gens en compétences et je suis ravi de voir qu’ils sont meilleurs que moi.
Ta mission la plus mémorable au service d’une société numérique plus sûre ?
Beaucoup de choses sont mémorables, mais malheureusement, je ne peux pas parler de cas précis... Mais par exemple, je peux vous raconter qu’un jour, je me suis retrouvé dans les locaux de Gartner, pour échanger avec le RSSI d’un client. Il avait un incident tellement sensible qu’il ne souhaitait pas parler au sein des locaux de son entreprise. Il avait appelé un de ses amis qui travaillait chez Gartner pour organiser un faux rendez-vous afin qu’on puisse de rencontrer. Ce qui m’a aussi beaucoup touché, c’est d’intervenir dans des entreprises familiales ou des toutes petites boîtes, où quand il y a une cyberattaque, l’impact émotionnel est énorme. C’est mémorable de voir un PDG qui se rend compte qu’il va avoir un problème pour payer ses salariés parce que les systèmes sont tombés et qu’il n’a plus de compta, de voir l’émotion sur son visage quand il dit que ses salariés dépendent de lui et qu’il doit les payer et qu’on doit trouver des solutions. Il y a des histoires humaines fortes et des moments techniques très intéressants, notamment quand on voit des attaquants mener des actions très « élégantes », très élaborées, et même si on n’approuve pas l’objectif, on ne peut qu’admirer la méthode. J’ai donc été marqué par des histoires humaines, des moments techniques mais aussi par la performance de mon équipe. Dans une situation complexe, comment nous arrivons collectivement à être ultra-performants, c’est quelque chose. Ces moments sont nombreux, mais je ne peux pas en parler. Et je peux vous dire que garder des secrets, ça n’a rien de romanesque ! On finit par s’y faire, c’est tout. J’aime mon métier, parce que je peux aider des gens. J’arrive dans une petite entreprise, c’est le chaos, et au bout de 48 ou 72 heures, même si on n’est pas tirés d’affaire, au moins on voit la sortie et ça, c’est très satisfaisant.
Tu fais partie de la plus grande communauté européenne de super-héros cyber. Qu’est-ce que ça fait ?
Chez Orange Cyberdefense, chacun dispose d’une grande liberté pour expérimenter, faire de la recherche, tester les dernières solutions. Ça permet de foisonner. On peut aller voir son manager, et lui dire : j’aimerais tester cette solution un jour par semaine pendant un mois pour creuser. En général, c’est un grand oui. Cette liberté est précieuse, elle permet d’expérimenter sans se limiter. C’est cependant un point de départ. À mon sens, l’étape d’après, ce serait d’affiner nos solutions en fonction des réalités nationales voire régionales, pour être encore plus pertinents. Par exemple, aux États-Unis, les hackers pratiquent le Sim Swapping : ils appellent un fournisseur télécom pour demander la portabilité d’un numéro d’une victime et récupèrent ainsi un SMS de validation qu’ils utilisent par ailleurs. En Europe, c’est impossible, les fournisseurs télécoms ont verrouillé les mécaniques de portabilité. À l’intérieur de l’Europe, qui est notre périmètre, il y a certainement des spécificités nationales qui font que le paysage de la menace n’est pas le même. Voilà un beau chantier d’avenir pour notre communauté cyber. Je terminerai sur le fait que dans la réponse à incident, le plus important est d’éviter les monocultures. Parce que si tout le monde pense de la même façon, au moment où on est bloqués, tout le monde sera bloqué. Pour exercer notre métier, il faut savoir penser autrement, et parfois contre soi-même. Et ça, c’est un super pouvoir.
Vous aussi, vous avez un Super Power et vous souhaitez évoluer aux côtés de Super People ? Rejoignez-nous !