Interview de Zakaria Rachid

A l’occasion d’une de ses missions dans le domaine militaire, il apprend tout ce qui concerne les attaques, comment gérer une crise et également les considérations juridiques dans des contextes différents, les réglementations relatives à chaque pays. A l’époque la cybersécurité est naissante, tout s’apprend sur le terrain, notamment pendant les conférences dédiées comme la Nuit du Hack. 

 

Puis il se tourne vers de nouvelles aventures toujours dans son domaine mais avec un acteur du web cette fois, là où les enjeux ne sont plus les mêmes : plusieurs plateformes web à sécuriser, nécessité d’agilité, un « Time To Market » très important pour le business ... Dans sa nouvelle société, informatique, marketing et communication sont étroitement liés. Là, il pratique beaucoup de consulting et d’audit en tant que pentester.

 

C’est le début d’une nouvelle vie où les questions de gouvernance viennent se greffer à la technique qu’il pratique sur le terrain au quotidien. Pour lui, hors de question de choisir entre ces deux segments de la cybersécurité : tout l’intéresse. Et devenir RSSI c’était pouvoir travailler sur ces 2 aspects lui permettant d’avoir une vision de la cybersécurité plus globale. Là, c’est juste un équilibre à respecter entre les deux tâches. Au quotidien, cela signifie pour lui passer d’un jargon cybersécurité abscons pour les néophytes à créer des tableaux sous Microsoft Excel ou sensibiliser.

Aujourd’hui, Il porte la casquette de RSSI au sein de la société « leboncoin.fr ». Avant d’arriver à ce poste, il aura développé de nombreuses compétences dans le domaine de la cyber en travaillant dans différentes branches : du pentest à l’audit de code, en passant par la sécurité applicative (sécuriser les processus de développement) ou la réponse à incident sans oublier la gestion de crise. Il arrive donc à ce poste en ayant une large expertise dans son domaine. RSSI pour les uns, CISO pour les autres, dans les faits, il opère de façon transverse pour assurer la sécurité du SI et a, à sa charge, toutes les équipes techniques qui traitent de sécurité.

Tout d’abord une Blue Team pour la partie défense. Défense du périmètre donc avec la détection en amont des attaques, le blocage de ces dernières et la réponse à incident si besoin. Sur la partie offensive, c’est la Red Team qui prend le relais. Elle va réaliser des tests d’intrusion et trouver les vulnérabilités au sein des applications et les moyens d’entrer dans tous leurs actifs. Tout cela pour corriger toutes les failles en amont d’une véritable attaque. Bien vérifier toutes les solutions amenées au Grand Public. Il s’occupe également de la sécurité applicative et celle de la gouvernance car il faut, bien entendu, tenir compte de toute la chaîne, partenaires compris, qui s’interconnectent avec le SI de l’entreprise. Il s’appuie sur les audits externes et adhère également à des programmes de Bug Bounty.

Enfin, une plateforme de ThreatIntel est mise en place grâce à des partenariats avec d’autres plateformes web, une partie étatique et une autre dans le secteur de la défense des utilisateurs. Elle sert à partager les informations sur les dernières fraudes afin de pouvoir sécuriser toujours le plus en amont possible. Cette course à la sécurisation du SI les mènera à mettre sur pied (bientôt) une plateforme de ThreatIntel, cette fois totalement franco-française.

Zakaria Rachid estime que la tendance n’est qu’une accélération de ce qui existe déjà. "On remarque dans le temps une diminution du temps de déroulement d'une attaque complète." On voit de plus en plus souvent des attaques sans malware, car dans la phase de compromission, les cybermalfaiteurs se servent de plus en plus des outils utilisés par l’entreprise. La recherche s’oriente donc vers les comportements inhabituels avec les outils du quotidien. Une accélération de la corrélation des signaux faibles devient nécessaire. Il faudrait doter rapidement les VPN de nouvelles capacités de défense car on constate une accélération de ces nouvelles menaces. On est dans un état de recherche de compromission en mode continu » conclut-il. « Ainsi les gestes que l’on effectuait ponctuellement tel que vérifier les actions et les logs d’une journée, on choisit aujourd’hui de les pratiquer en mode continu. »