Aux États-Unis, une grande entreprise (Société BIG) décide de racheter un concurrent (Société MEDIUM) et l’annonce aux marchés. La fusion ne sera effective que trois mois plus tard, le temps que la SEC, le gendarme de la bourse américaine, valide cette opération. Hélas, ce délai est tout ce dont des pirates ont besoin pour s’infiltrer enfin sur le réseau informatique de la Société BIG, jusqu’ici impénétrable.
Ce scénario n’est pas fictif. Il s’est déjà déroulé chez plusieurs enseignes de premier plan, y compris chez des industriels de domaines sensibles qui avaient pourtant tout mis en place pour protéger leurs secrets. Le jour de l’annonce du rachat, les pirates qui ciblent la Société BIG apprennent le nom de la Société MEDIUM, prochainement intégrée dans le groupe. Ils commencent à l’étudier sérieusement. Et ils vont dès lors tout mettre en œuvre pour noyauter la Société MEDIUM afin d’avoir une porte d’entrée préinstallée lorsque les serveurs des deux entités seront connectés. La bonne nouvelle, c’est qu’ils ont trois mois pour s’installer discrètement et multiplier les points d’ancrage comme les vecteurs de communication avec une infrastructure d’attaque créée pour l’occasion.
L’étude approfondie de la Société MEDIUM vient de permettre d’identifier un candidat parfait pour démarrer le plan : la société SMALL, dont la Société MEDIUM a fait l’acquisition quelques mois auparavant. La Société SMALL, qui porte bien son nom, ne bénéficie clairement pas du niveau de protection de ses grandes sœurs et va permettre aux pirates de travailler de manière plus sereine.
Et SMALL embauche ! Quelques postes de cadres sont ouverts. Un Email de candidature fera l’affaire pour prendre encrage grâce à une pièce jointe (le CV) construite sur-mesure. Ce CV fera référence à un compte LinkedIn très crédible, déjà créé de longue date pour des projets futurs…
Bien entendu, le jour de la fusion des deux entreprises (BIG et MEDIUM), un audit de sécurité sera mené. Mais celui-ci n’identifiera pas la présence maquillée des pirates. Ceux-ci passeront à une nouvelle étape furtive et plus longue pour tranquillement explorer, découvrir et organiser le déplacement plus en profondeur de l’attaque APT. Si cette mission est bien menée (motivée, financée et basée sur des outils et des infrastructures créés pour l’occasion), la tâche des défenseurs sera très complexe et les chances de détection très faibles car une partie du scénario se sera déroulée en dehors de leur domaine de surveillance.
Dès lors, l’entreprise aura bien du mal à comprendre comment tel fabricant étranger a réussi à développer des produits de grande qualité en investissant seulement quelques années de R&D, comment tel concurrent est parvenu à remporter un marché avec une proposition tout juste moins chère que la sienne, ou comment telle puissance étrangère a corrompu ses informations critiques et éteint tous ses serveurs en quelques minutes à peine.
Ce scénario n’est pas une fatalité. Les entreprises peuvent l’éviter si elles mettent en place une véritable stratégie de cyber-renseignement.
L’enjeu de collecter des informations avant le rachat
Tant que le rachat n’est pas effectif, BIG et MEDIUM n’ont le droit de partager que certaines informations spécifiques dans un cadre contraint (White Room), où n’intervient qu’une liste établie d’interlocuteurs. Pourquoi ne pas partager à ce moment-là du renseignement sur les Cyber-adversaires de BIG ?
L’équipe SSI de la Société BIG dispose déjà au minimum de marqueurs concernant ses adversaires passés et parfois même de TTP (Tactics Technics & procedures) pour appréhender les attaques nouvelles portées par ces mêmes groupes, ainsi que les règles de détection associées. Communiquer ces renseignements à la Société MEDIUM pourrait lui permettre de les ajouter à sa politique de surveillance (en incluant ses filiales telles que SMALL) dans les trois prochains mois afin de mieux la préparer à une éventuelle attaque au lendemain de l’annonce et pour donner un avantage à l’équipe SSI le jour de la réunification des réseaux.
L’entreprise MEDIUM peut ainsi intégrer ces marqueurs et TTP dans les règles de détection de son SIEM, le tableau de bord qui regroupe les alertes générées sur toutes les ressources du réseau afin d’y discerner des schémas inhabituels. Ce renseignement permettra de prioriser les alertes associées et de conserver toutes les traces liées qui pourront être analysées lors de la réunification des équipes SSI.
L’efficacité de l’exercice est bien évidemment directement liée au niveau de maturité et de capacité Cyber de la société rachetée.
La clé de la réussite : faire évoluer le RSSI en directeur du renseignement
L’approche est donc d’expliquer à la société qui va se faire racheter qu’elle aura demain les mêmes ennemis que celle qui la rachète. Il est par conséquent important de part et d’autre d’avoir au plus tôt des procédures de sécurité homogènes.
Mais le point déterminant de cette stratégie de renseignement est de fournir le package de protection avant la déclaration publique d’intention de rachat afin d’en conserver l’avantage. Cela signifie qu’il faut aborder le sujet de la cybersécurité dès les premières négociations entre les deux entreprises, c’est-à-dire intégrer le RSSI au sein de la « White Room ».
A part dans les domaines très spécifiques ou la Cybersécurité est centrale dans l’activité des entreprises, le RSSI n’était historiquement que très peu convié à ces discussions en amont de fusions-acquisitions. L’absence de prise en compte du volet Cyber à ce stade a déjà généré quelques crises majeures mettant à mal les défenses Cyber des entreprises et offrant un avantage certain aux Cyber adversaires.
Les usages ont tendance à évoluer en la matière tout comme le rôle même de RSSI, qui se voit intervenir auprès du comité exécutif de plus en plus souvent, garant du volet Cyber de la stratégie d’entreprise et capable d’influencer les procédures de « Due Diligence » du groupe. Il s’agit sans doute là de la transformation la plus importante du rôle de RSSI ces dernières années : faire du responsable de la sécurité informatique un directeur du renseignement à part entière.