Stratégie

2016 s'est plutôt bien passée pour les RSSI

Retrouvez cet article dans le CIO FOCUS n°136 !

Cybersécurité : Menaces évidentes, menaces cachées

Les entreprises sont menacées lorsque leur SI l'est. Si certaines menaces sont évidentes, d'autres le sont moins ou sont négligées. Et les risques encourus sont alors importants. Les très classiques attaques DDOS (par déni de service) ou les exploitations de failles pour pénétrer le SI demeurent...

Découvrir

---

Lors de la Matinée Stratégique « Cybersécurité : menaces évidentes, menaces cachées » organisée par CIO le 28 février 2017, trois RSSI, ceux de Latécoère, Monext, et du PMU ont livré leur vision des menaces lors d'une première table ronde.

PublicitéComment avez-vous vécu l'année 2016 ? Avec quelles menaces nouvelles et quelles ripostes ? Trois RSSI étaient conviés à livrer leur perception du sujet et leur retour d'expérience lors de la première table-ronde lors de la Matinée Stratégique « Cybersécurité : menaces évidentes, menaces cachées » organisée par CIO le 28 février 2017 : Stéphanie Buscayret, responsable de la sécurité du système d'information du Groupe Latécoère, Farid Ilikoud, Chief information security and compliance officer au PMU ainsi que Yann Pugi, Ciso de Monext et vice-président du Clusir Paca (il a été récemment promu RSSI Groupe du Crédit Mutuel Arkéa).
Trois cas dans trois secteurs différents : un industriel, Latécoère, une grande entreprise de jeu dédiée au grand public, le PMU, une entreprise traitant les moyens de paiement, Monext.

Tout va plutôt bien, en fait...

« Au risque de faire le rabat-joie, lance d'emblée Stéphanie Buscayret, l'année 2016 c'est très bien passée. Je risque de ne pas paraître assez anxiogène pour les  vendeurs de produits, mais bon, ça s'est plutôt bien passé parce qu'on avait anticipé, on voit beaucoup de choses comme les ransomwares ou les DDoS. On les avait anticipés, notamment les ransomwares qui sont très basiques. On fait aussi  des choses très simples, par exemple chez moi les ports USB des PC sont tous bloqués, il y a quelques exceptions sur des devices utiles pour les métiers, mais chez moi les clés USB ne se connectent pas sur mes machines ».

Latécoère présente également un profil à part, avec des préoccupations très industrielles. La société a seulement cinq clients, évidemment des grands de l'aéronautique. Si on pénètre dans l'entreprise on entre chez ses clients. « C'est contraignant. On a fait beaucoup de pédagogie, toujours dans la logique de prévention du ransomware. On a fait ce qu'on peut appeler « démapper » les lecteurs réseaux  de nos utilisateurs, pour retrouver « leurs petits » dans les fouillis de leurs filers on leur a fait changer leurs habitudes pour trouver des raccourcis. Donc, il est désormais moins facile pour les ransomwares de se propager. En 2016, on a eu, en tout et pour tout, quatre occurrences  de ransomwares. Quatre uniques, trois sur des PC portables de commerciaux et un sur un PC  de la production. On n'a pas eu d'interruption de production. Les ransomwares on les détecte une fois qu'ils sont là, après, on ne peut plus travailler. Au final, pour répondre à votre question, en 2016 on n'a pas connu de déni de service, pas  de gros problème, je suis désolé, ça s'est bien passé » !

Le tryptique : technologie, humain, process

Pour sa part, Farid Illikoud,  chief information security and compliance officer, au PMU, est sur la même ligne. « Globalement, beaucoup de choses ont été dites, je les partage. On ne dit pas que les menaces n'existent pas, on investit beaucoup sur la technologie, mais nous sommes surtout attentif au tryptique : la technologie, l'humain, le process. Sans les trois, on ne va nulle part. Ensuite, effectivement, quand je dis l'humain c'est pour faire le lien avec l'ingénierie sociale et l'humain reste (encore) le maillon faible de nos organisations. On ne fait pas de sensibilisation sur un terrain anxiogène, mais en lui apportant une métaphore, pour lui montrer comment il agirait dans la vraie vie. Exemple, si toute  la boite mail est « pourrie » par un ransomware, si on n'y accède plus, tout de suite on lui met l'image de ses comptes bancaires et de ses photos de famille, ou de vacances, volées, on amène l'utilisateur sur le terrain de sa vie privée, ce qui permet de faire 50% du chemin. Autre sujet, on  a parlé très vite tout à l'heure de PCA, au sens plan de continuité d'activité,  nous c'est un chantier sur lequel on a beaucoup investi l'année dernière. La continuité d'activité est un élément critique dans le cadre du SI, et le PCA cyber diffère du PCA, c'est autre chose, on parle de l'intégrité de la donnée, de la confidentialité des données dans le PCA cyber, c'est spécifique au risque de sécurité ».

Publicité« Troisième élément, dans le monde du jeu, notre principale menace c'est le déni de service, très  clairement, si nous subissons une heure d'interruption de service, c'est 20 ME de CA perdus, c'est juste inacceptable. Chez nous, et plus globalement dans la e-economie, le client est volatile, il va chez le meilleur offreur lorsqu'il souhaite jouer, et  n'hésitera pas à aller vers la concurrence ».

« Dernier point qui nous aide, c'est la règlementation. Nous, dans le jeu en ligne, on dépend d'une autorité de régulation qui nous impose des audits, avec un cahier des charges très précis qui comprend environ 190 exigences, on n'a pas réinventé la roue, on s'appuie sur les standards existants, donc sur l'ISO, tout cela fait qu'au bout d'un moment, la sécurité est dans l'ADN de l'entreprise. La confiance de nos clients et la préservation des flux monétiques sont des enjeux majeurs ».

Le RSSI ne vit pas dans sa tour d'ivoire

« La cybersécurité reste encore nébuleuse dans l'esprit des gens et des clients, j'ai donc sensibilisé nos collaborateurs sur le cas d'un hôpital aux Etats-Unis où les médecins n'avaient plus accès aux dossiers patients qui attendaient une opération. Le vrai risque est donc un risque de vie ou de mort, là les gens comprennent, d'autant que se profilent une possible perte d'activité et au bout une perte d'emplois. Le risque cyber on en parle depuis 10 ou 15 ans, il faut trouver des budgets et accéder au Codir, mais le RSSI ne vit pas dans sa tour d'ivoire, les équipes agiles sont au coeur de cette transformation, et c'est un vrai levier pour les RSSI d'être ainsi au coeur de l'activité ».

Pour Yann Pugi, CISO de Monext et vice-président du Clusir Paca, troisième à prendre la parole, le ton est le même, « j'aimerai bien dire le contraire, mais non c'est pareil, on est  assez encadrés par des normes comme PCI DSS ou de type ISO, et comme tout le monde on a eu les mêmes menaces, les ransomware et la personne qui clique sur la pièce jointe, ça existe toujours, et ça existera encore, les attaques DDoS, on les a vu se multiplier, les ondes s'affolent mais ce n'est pas catastrophique. ».

« En revanche, moi j'ai vu des phénomènes loin des sujets cyber et de leur aspect technique, c'est tout ce qui est  fraude au Président, au Cerfa qui sont devenus à la mode, tout ce qui est, entre guillemets,   « papier PDF », toutes les arnaques autour,  avec des gens qui ne savaient pas comment réagir, on a vu beaucoup de choses comme ça, j'ai envie de dire, les attaques changent un peu d'angle, mais il reste l'aspect humain, soit par les réseaux sociaux, soit par le social engineering, qu'on arrive pas à cibler ».

Quand le pirate prend un minimum de risques

« Le maillon faible c'est l'humain, par curiosité, ou pour bien faire, on voit des gens qui ouvrent une facture croyant bien faire, alors qu'ils n'ont jamais reçu une facture de  leur vie. Mais là, si c'est marqué urgent ou important, ou en période de congé, il ouvre, on joue avec ça, c'est encore plus facile pour le pirate qui prend un minimum  de risques », lance Yann Pugi.

Même sentiment chez Latécoère, où de nouvelles attaques arrivent. Trois à quatre appels par jour pour le RSSI sur des fraudes au président, au niveau international certes, mais quand même. « On a blindé les process, c'est la clé de la non fuite des données, on essaie aussi de leur donner de l'information. Nos autorités de tutelle nous font du reporting sur la sophistication croissante des attaques, par exemple les demandes de changements de RIB  et de numéros de téléphone. On essaie de travailler beaucoup en direct avec les métiers, de se servir de nous pour des informations clients et des attaques concurrentielles, les technologies chez nous sont des technologies de souveraineté ».

« Le travail le plus compliqué, c'est de ne pas rester dans nos petits bureaux, à faire le grand écart entre les usines et le 2è étage, le siège du comité de direction, témoigne Stéphanie Buscayret. Je suis un RSSI qui reporte au Comex. Etre au courant des projets stratégiques, pour nous c'est nouveau,  le Comex m'a demandé de venir parler plusieurs fois par an de l'état de la cybersécurité du groupe et en échange (entre guillemets) on a plus d'informations sur  la stratégie du business et c'est ça l'enjeu. Pas forcément simpleLes métiers  voulaient que je vienne avec eux faire le profil cybersécurité de deux nouvelles usines dans les pays de l'est, sauf que quand on creuse, certes je pars avec eux dans l'avion, mais qu'est-ce qu'on met dans l'usine, on ne sait pas encore, donc on pèche un peu par excès de zèle».

Le cloud n'est pas une menace

Les nouveaux sujets comme l'Iot, le digital, le cloud, sont effectivement de nouveaux sujets.  « Depuis trois, quatre mois, les équipes métiers sont venus me voir pour demander conseil, elles m'ont dit qu'on a envie de mettre des données dans l'Iot sur des solutions personnelles Iot. Le cloud n'est pas une menace, l'Iot non plus, la façon dont on les aborde est importante, ce serait un non-sens de les bloquer, on ne va pas mourir en bonne santé ! Il faut accompagner l'IoT, qui n'est pas conçu de manière très sécurisée».

« Le cloud, oui, est un outil formidable, mais on l'accompagne, on réfléchit, on qualifie, j'explique aux métiers s'ils veulent un contrat dans le cloud, c'est comme du McDo vous choisissez pas le menu, vous n'allez pas au McDo demander un boeuf bourguignon, si vous voulez du cloud, il faut être prêt à prendre ce que donne le cloud. Pour cela, on fait une task force avec des juristes et des acheteurs, c'est un changement de paradigme, c'est le RSSI 3.0, voire plus ».

« Chez Monext, ça fait partie du quotidien, beaucoup d'acteurs nous sollicitent, pour des besoins divers et variés, des besoins internes aussi.  Salesforce c'est magnifique pour les commerciaux, moins pour nous ! Quel est le devenir du RSSI ? On est parti d'un aspect très technique, c'est fait, maintenant, il faut qu'on bascule vers des aspects comme la compliance. Nous sommes encadrés par des lois et des standards. Aujourd'hui, la difficulté c'est de discuter avec les achats et le juridique pour traduire ces contraintes de sécurité dans un langage commun, vulgariser ces contraintes. On le voit dans le big data, la manière dont on va cadrer le contrat, rajouter des clauses d'audit, voire notre limite de responsabilité, c'est notre quotidien, on vient rarement me voir sur des produits, ou sur un patch ».

« Au PMU, les métiers avaient peur de venir nous voir, pour leurs projets dans le cloud. Une DSI même avec son legacy, voit  le cloud comme une occasion, il faut y aller. Nous, le Big Data on l'a démarré en interne il y a deux ans. Tout projet, interne ou cloud, doit être accompagné,  avec un cadre de référence de sécurité et ses fondamentaux, une PSSI, mais surtout l'analyse de risque qui permet de bien comprendre les enjeux métiers du projet et d'apporter le niveau de protection raisonnable et nécessaire.  Il est évident  que la posture du RSSI doit évoluer, et ça c'est fondamental pour nous, je passe mon temps avec des acheteurs et des juristes, ils ont compris qu'on était là pour les aider et sécuriser le business,  ils ont vu qu'on on faisait notre job, pour les accompagner au plus vite. On fait de la sécurité, là où elle est nécessaire, faire une analyse de risque, c'est donner le bon signe sur ce qu'on va in fine apporter ».

Article rédigé par

Didier Barathon, Journaliste

Partager cet article