Jeroen Schipper (CISO Den Haag): ‘Dès que quelqu’un reçoit un mail de phishing, on peut dire que c’est l’échec de toutes les mesures en place qui coûtent si cher’

La ville néerlandaise de Den Haag (La Haye) invite chaque année nombre de hackers éthiques pour tester ses systèmes internes. Son CISO, Jeroen Schipper, considère cela comme un plus utile et n’en veut étonnamment pas à ceux qui cliquent sur un mail de phishing.

L’occasion de rencontrer Schipper autour d’une table nous a été offerte lors de la sixième édition de Hâck The Hague, durant la semaine de la cybersécurité de la ville dans le cadre du Cybersecurity Awareness Month. Pour des raisons de sécurité, il n’a pas abordé en détail les vulnérabilités découvertes (voir encadré), mais c’était là l’occasion d’aborder la cybersécurité d’une grande ville et les raisons pour lesquelles, selon lui, les tests d’hameçonnage ne fonctionnent pas.

Que doit-on attendre de Hâck The Hague?

JEROEN SCHIPPER: Nous en sommes déjà à la sixième édition durant laquelle toutes nos applications et nos sites web seront testés, ce qui correspond en fait à l’ensemble de nos systèmes de production en direct. Il va de soi que cela va de pair avec des règles. Les hackers éthique ne sont pas autorisés à utiliser DDoS par exemple ou à passer des découvertes sous silence. Traditionnellement, l’accent était mis sur l’IT (Information Technology), mais cette année, nous nous focalisons davantage sur l’OT (Operational Technology), une approche singulièrement différente.

Dans un environnement urbain, quelle est la différence entre IT et OT?

SCHIPPER: L’IT, ce sont nos systèmes numériques, applications et sites web, alors que l’OT porte par exemple sur le système d’un pont basculant, les bornes de recharge, les bodycams, les systèmes de contrôle d’accès, mais aussi sur nos propre ordinateurs portables ou sur les contrôleurs de trafic qui commande les feux routiers et les tunnels. Pour ce faire, nous collaborons aussi avec nos fournisseurs qui mettent en œuvre des configurations de test dans l’hôtel de ville lors de cet événement.

Les pirates de matériel travaillent de manière différente. A un moment donné, ils vont ouvrir des éléments, y examiner des puces au microscope et voir comment en tirer des données.

Le focus sur l’OT génère-t-il d’autres types de piratage?

SCHIPPER: Les pirates de matériel travaillent de manière différente. A un moment donné, ils vont ouvrir des éléments, y examiner des puces au microscope et voir comment en tirer des données. Nous examinons l’OT depuis quelques années déjà et nous avons découvert il y a quelque temps que dans le système d’impression d’un fournisseur japonais, des métadonnées pouvaient être interceptées. Le contenu en tant que tel n’était pas visible, mais en imprimant un document ‘De Jeroen Schipper’ avec comme objet: ‘lettre de démission’, on sait évidemment de quoi il s’agit. A l’époque, nous l’avions aussi signalé au Nationaal Cyber Security Centrum (NCSC) et à ce fournisseur.

Tous les fournisseurs acceptent-ils de bonne grâce de collaborer?

SCHIPPER: C’est à la demande, mais nos contrats stipulent qu’ils doivent passer par là. Pour les acteurs plus modestes, c’est parfois compliqué de le faire avec de véritables configurations. Voilà pourquoi cela se produit de temps à autre dans une configuration de test.

Est-ce là le seul ‘bug bounty moment’ ou les hackers sont-ils aussi autorisés à notifier en toute sécurité des découvertes spontanées?

SCHIPPER: Nous appliquons depuis six ans déjà un programme ‘bug bounty’ consistant à verser simplement de l’argent aux personnes qui trouvent des failles. Cela nous aide aussi à prendre conscience en interne de bien protéger les choses, car la facture de ces bug bounties, nous les faisons simplement suivre au service, dont l’application est soumise à piratage.

Avez-vous déjà connu des cyberattaques ‘réussies’?

SCHIPPER: Bien sûr. Pas de la taille de celle qui cibla Anvers et que nous avons suivie de près du reste. Mais la semaine dernière encore, on a pris le contrôle de trois comptes en peu de temps. Il n’a fallu qu’un piratage de quelques minutes pour envoyer pas moins de quinze mille mails d’hameçonnage.

Comment réagissez-vous à ce genre d’incident?

Schipper: A ce moment, les sonnettes d’alarme retentissent. Pour de nombreux incidents, le compte ou l’appareil est verrouillé automatiquement. Lorsque, comme dans ce cas, de grandes quantités de mails sortent, il faut le notifier sous la forme d’une fuite de données, ce que nous faisons aussi si cela arrive. Il y a trois ans, nous avons dû faire face à une très importante attaque DDoS, qui nous paralysa pendant deux jours. Nous en avons tiré les leçons. Cela nous permet de savoir si nos plans de cybercrise fonctionnent bien, mais aussi s’’il y a des points sujets à amélioration.

Il y a des années de cela, la tendance était du genre security by obscurity, ce qui signifie qu’il valait mieux ne pas trop en parler. En tant que ville, nous sommes par contre très ouverts et aussi transparents que possible. Tout ce qui n’est pas confidentiel, nous le publions. Notre plan de crise figure sur le site de Den Haag et si nous créons des produits ou une stratégie, nous les partageons également avec la Vereniging van Nederlandse Gemeenten (VNG).

Nous le faisons avec de l’argent public. Pourquoi donc ne le partagerions-nous pas? Nous sommes actuellement impliqués dans un course au cyber-armement que nous ne remporterons que si nous partageons la connaissance.

Qu’y a-t-il de différent par rapport à il y a quelques années?

SCHIPPER: L’attention des acteurs se déplace de l’IT vers l’OT. Ce que nous observons, c’est qu’avec la guerre en Ukraine, il y a eu moins d’attaques au ransomware. Mais cela repart à présent de plus belle. En outre, les cybercriminels tentent surtout de détruire des choses. Les attaques que nous subissons, ne portent pas tant sur la collecte d’informations, même si tel est aussi le cas, mais plus souvent sur des tirs d’artillerie lourde.

Des dommages embarrassants et irritants pour la ville?

SCHIPPER: Oui, il s’agit aussi souvent de tentatives de nuisance à l’image. Ce ne sont pas toujours des attaques contre une seule organisation, mais contre plusieurs d’entre elles dans la ville en vue de les paralyser, notamment par des attaques DDoS sur tout et tout le monde.

Comment l’IA modifie-t-elle la cybersécurité d’une ville? Il existe davantage de possibilités, mais cela vaut autant pour l’agresseur que pour le défenseur, non?

SCHIPPER: La plupart des fournisseurs tiennent aujourd’hui ce langage, mais souvent de manière plutôt fluide. Si dans un mail, quelqu’un partage subitement un numéro de compte en banque, il reçoit un avertissement, mais pas nécessairement de l’IA.

D’un autre côté, comme dans le cas des mails de phishing envoyés la semaine dernière, on observe que si quelqu’un clique dessus, il est orienté vers un portail de connexion factice. Ces données sont exécutée en temps réel à l’arrière-plan sous forme d’un login chez Microsoft, ce qui fait que l’utilisateur/la victime reçoit aussi une demande de connexion correcte sur son téléphone. S’il y réagit, c’en est fini de contrôler l’ensemble de son compte, et la façon dont cela se passe, est nettement plus rapide et professionnelle. C’est probablement l’œuvre de l’IA.

Quels sont les éléments sensibles qui vous apparaissent dans la sécurisation d’une ville comme La Haye?

SCHIPPER: Nous appliquons la gestion des risques. Telle est aussi l’approche chez NIS2. Nous connaissons nos joyaux de la couronne, mais avec les moyens qui sont les nôtres, il faut se montrer efficient. Il s’agit entre autres de veiller à sécuriser les données des citoyens.

Nombreux sont ceux qui insistent ici sur la conscientisation, et c’est en effet important. Mais quand je vois les mails de phishing qui circulent, il n’est pas possible de les distinguer des vrais mails. La semaine dernière, des gens de chez nous ont cliqué sur ce genre de mail, mais je n’en veux à personne: c’est la technique qui a failli.

Nous avons interdit les tests de phishing. Ils manquent d’efficacité, ce qui est prouvé scientifiquement.

L’humain n’est pas le maillon le plus faible. Il est la dernière ligne de défense. Dès que quelqu’un reçoit un mail de phishing, on peut dire que c’est l’échec de toutes les mesures en place, qui coûtent si cher.

Voilà des propos bien étonnants à un moment où chaque entreprise envoie des mails de hameçonnage à ses employés.

SCHIPPER: Chez nous, nous avons interdit les mails de phishing. Ils ne sont pas efficaces, et cela a été démontré scientifiquement. J’en ai aussi souvent débattu avec les entreprises.

Si vous voulez procéder à des tests de phishing, c’est facile à mettre en œuvre. Mais en y recourant, nombreux sont ceux qui n’ont plus confiance dans leur politique de sécurité. Vous envoyez un message attractif à des personnes, puis vous leur dites que c’est stupide de cliquer dessus. Comment allez-vous alors être perçu en tant qu’organisation?

Comment dans ce cas faire mieux?

SCHIPPER: Nous pourrions par exemple envoyer aux personnes deux captures d’écran et leur demander quelle est l’authentique. Et le département qui obtiendra le meilleur score, recevra une… tarte aux pommes.

Vous déclariez avoir suivi de près la cyberattaque lancée sur Anvers. Une ville comme La Haye en a-t-elle tiré des leçons?

SCHIPPER: L’une des mesures de base consiste à compartimenter et à contrôler le trafic.

Sur ce plan, est-il aussi utile partout que tout soit connecté et piloté à distance?

SCHIPPER: Peut-être, mais nombre de fournisseurs de technologies opérationnelles préfèrent eux-mêmes pilotés de manière centralisée. C’est plus efficace aussi que d’avoir un gardien sur chaque pont, qui vient à intervalles réguliers actualiser les systèmes au moyen d’une clé USB. Je préfère que tout soit séparé autant que possible, mais ce n’est pas réaliste.