A peine diplômé de son école d’ingénieurs et après un démarrage rapide en tant que chef de projet dans des structures informatiques, Fabien Rech décide de créer sa propre entreprise à 25 ans. Entouré de son équipe, il développe une société de réseau informatique à travers des références réputées avant d’être racheté par Lexsi, une référence dans la cybersécurité (acquise ultérieurement par Orange). Durant 10 ans, il crée des partenariats stratégiques au sein de l’écosystème français de la sécurité informatique.
En quête de nouveaux défis, Fabien rejoint McAfee en 2008. Il est reconnu pour son talent et son engagement acharné. Au cours des dernières années, Fabien a dirigé le marché français et, grâce à son énergie positive, son dynamisme et son engagement, il a réussi à atteindre une croissance à plusieurs chiffres et à transformer la France pour devenir un pays leader dans la région EMEA.
Fabien a été nommé Senior Directeur Europe du Sud en 2018 et, plus récemment, Vice-Président en janvier 2020, élargissant sa région à l’Europe du Sud, au Benelux et à Israël. Depuis début 2021, Fabien a pris la responsabilité des comptes stratégiques européens au sein de McAfee.
Quel est la dernière cyberattaque marquante selon vous ?
Sans aucun doute celle opérée contre Colonial Pipeline début mai. L’entreprise, qui gère un grand réseau d’oléoducs aux Etats-Unis, a dû interrompre temporairement son activité à la suite de cette attaque. Non sans provoquer des difficultés d’approvisionnement de pétrole, certes provisoires, sur la côte Est des Etats-Unis. Les hackers ont en effet réussi à s’introduire dans le réseau informatique de l’entreprise, à voler plus de 100 gigaoctets de données avant de paralyser certains ordinateurs. Le logiciel malveillant responsable de l’attaque est ce qu’on appelle un rançongiciel : il permet de crypter les fichiers, les rendant inutilisables, sauf à payer pour obtenir la clé de déchiffrement. Les montants demandés, proportionnés à la taille de l’entreprise, peuvent se chiffrer en millions d’euros.
Comment a réagi Colonial Pipeline ?
D’un point de vue technique, ils ont mis hors ligne un certain nombre de leurs systèmes pour éviter que le virus ne se propage. Une réponse adaptée dans de telles circonstances. Le virus n’a ainsi pas touché les systèmes qui gèrent la distribution de carburant. Ils ont par ailleurs officiellement payé 4,4 millions de dollars aux pirates informatiques. Un montant relativement modeste qui interroge et un paiement qui n’a pas pu régler complètement la situation : l’outil fourni par les hackers n’a pas permis de restaurer dans sa totalité le système informatique.
Que sait-on des auteurs de cette intrusion ?
Le virus a été conçu par le groupe criminel DarkSide dont la réputation n’est plus à faire depuis son apparition à l’été 2020. Il utilise des outils très perfectionnés, ce qui prouve qu’il dispose d’informaticiens de haut niveau. Son fonctionnement s’opère sous la forme d’un « ransomware as a service ». En d’autres termes, il a un réseau d’affiliés, issus du darkweb, qui loue son logiciel malveillant. C’est un groupe puissant, organisé, avec des règles imposées à ses utilisateurs et une véritable politique commerciale, y compris des formations ! Par certains côtés, il ne fonctionne pas différemment d’un éditeur légal. A côté de cela, avec ses affiliés, il pratique une triple extorsion : il vole les données, demande une rançon à l’entreprise victime, et va jusqu’à extorquer les tiers de cette dernière. C’est parfaitement immoral mais rudement efficace.
Depuis quel pays DarkSide opère-t-il ?
On pense avec une grande chance de ne pas se tromper qu’il agit depuis le territoire russe. Comme la plupart des groupes criminels de même nature. Il ne cible d’ailleurs pas les entreprises situées en Russie ou dans les pays de l’ex U.R.S.S. C’est tout sauf un hasard. Il est manifeste que les autorités russes laissent ces organisations se livrer à leurs activités criminelles dès l’instant où elles ne font pas de victimes sur leur territoire. Il y a probablement des liens, ou en tout cas des échanges, entre ces groupes de cybercriminels et les services russes.
Rien ne peut donc être fait contre leurs agissements ?
Je ne dirais pas ça. D’abord il semblerait que certains services, dont on ignore l’identité, aient contre-attaqué en prenant le contrôle des serveurs de DarkSide et en faisant main basse sur son fonds en bitcoins. A moins que ce soient les « dirigeants » de DarkSide qui aient eux-mêmes décidé de se saborder avant de rencontrer des problèmes. Ils ont en tout cas mis en cause un de leurs affiliés dans l’opération contre Colonial Pipeline, preuve qu’ils n’approuvent pas cette attaque, beaucoup trop visible à leurs yeux et les exposant de manière déraisonnable. Avec d’autres cybercriminels, ils cherchent aujourd’hui à faire profil bas. Ce qui ne veut pas dire que l’activité de cybercriminalité va perdre de sa virulence. Le rançongiciel a hélas encore de beaux jours devant lui.
Mais les entreprises peuvent-elles se protéger contre ces logiciels malveillants ?
Elles le peuvent et elles le doivent ! Il peut en aller de leur survie. Elles conservent évidemment l’option de payer les rançons. Hélas ce n’est pas la certitude que tout reviendra en ordre : 22% des organisations victimes ayant payée la somme demandée n’ont jamais reçu les clés de déchiffrement ! En revanche, c’est permettre à coup sûr à ces groupes de prospérer, s’étendre, gagner en puissance. Ce n’est donc pas la bonne solution. Le mieux est de rendre ses attaques inefficaces, ou en tout cas limitées. Bien sûr aucune protection n’est certaine à 100%. Mais elles permettent bien souvent de limiter les dégâts. Il est donc essentiel que les entreprises, mais aussi les administrations, les hôpitaux, les associations etc, se protègent avec la palette d’outils à leur disposition.
La prise de conscience du risque cyber est-elle enfin là ?
Il y a des progrès notables, les grandes entreprises sont alertées, encore qu’il vaudrait sans doute mieux sensibiliser les conseils d’administration. Mais il reste beaucoup de négligences. Il faut inculquer une véritable culture de la cybersécurité, notamment en direction des salariés avec les risques liés au phishing. En France, avec l’ANSSI, nous avons une autorité compétente et réactive. Mais l’ANSSI ne peut pas tout. En amont il faut se protéger efficacement, se doter d’outils de surveillance, notamment avec les EDR, une technologie qui permet de détecter les connexions suspectes. Il faut parallèlement mettre en place des procédures précises en cas d’attaque, et s’entraîner régulièrement pour ne laisser aucune faille. Bref, définir un plan de gestion de crise. En aval, la remise en route d’un réseau informatique attaqué réclame l’intervention de professionnels compétents. Les entreprises ont besoin d’un accompagnement étroit, et ceci nécessite des budgets à la hauteur. Sur le plan des relations entre Etats, créer un droit international de la cybercriminalité, aujourd’hui inexistant, ne serait pas un luxe. La lutte contre ces groupes criminels doit se faire à tous les niveaux, et exige la coopération de tous. Les enjeux sont considérables pour notre vie économique comme démocratique.
Propos recueillis par Julien Malbreil, partner chez Antidox
