Cybersécurité : du zero trust à l'informatique de confiance
Le 16 mars 2021, CIO a diffusé une webconférence intitulée « Cybersécurité : du zero trust à l'informatique de confiance » en partenariat avec Check Point, Darktrace, Fortinet, Lenovo/Intel, Okta, Radware et Wallix.
PublicitéAu cours des deux dernières années, le rythme des cyberattaques s'est fortement intensifié. La pandémie et le recours massif au télétravail ont encore accru le phénomène, comme l'observent de nombreux experts de la cybersécurité, soulignant en particulier la hausse des rançongiciels. Face à ces menaces, quelle stratégie adopter pour protéger au mieux le système d'information et les données, sans pour autant entraver les utilisateurs dans leur travail quotidien ? Comment aider les RSSI et leurs équipes à répondre à cette charge croissante ? La webconférence CIO, « Cybersécurité : du zero trust à l'informatique de confiance », diffusée le 16 mars 2021 et réalisée en partenariat avec Check Point, Darktrace, Fortinet, Lenovo/Intel, Okta, Radware et Wallix, a permis de se pencher sur ces enjeux de plus en plus sensibles dans un monde où le numérique est omniprésent. Au cours de cette matinée, plusieurs intervenants ont partagé leur expérience et leur approche de la cybersécurité, avec pragmatisme et humilité. Vincent Strubel, directeur de l'OSIIC (Opérateur des Systèmes d'Information Interministériels Classifiés) ; Jean-Paul Chavant, RSSI/DPO chez Egis ; Cédric Cartau, RSSI du CHU de Nantes et du GHT 44, membre du CESIN ; Jérôme Poggi, RSSI à la Mairie de Marseille et Bernard Cardebat, directeur de la cybersécurité chez Enedis. Pour finir, Maxime Alay-Eddine, président de Cyberwatch, a présenté sa solution de gestion des vulnérabilités, en partenariat avec MyFrenchStartUp. Le replay intégral de la conférence est disponible ici.
« Après la pandémie, quels sont les nouveaux enjeux autour de la sécurisation des accès distants ? » s'est interrogé Philippe Rondel, cyber évangéliste chez Check Point.
En début de matinée, Philippe Rondel, architecte cybersécurité et cyber évangéliste chez Check Point, a rappelé que la crise sanitaire avait conduit à de nombreux changements dans les habitudes de travail. « Passer de quelques employés en accès distant à 100% a changé beaucoup de choses », a-t-il souligné. « Beaucoup d'accès distants ont été ouverts, offrant de nouvelles possibilités aux hackers » a-t-il pointé, évoquant par exemple une hausse des attaques de 85% sur le protocole RDP (remote desktop protocol). Dans le même temps, les pratiques des utilisateurs ont également évolué, conduisant parfois à moins de vigilance. Les pirates ont enfin ciblé davantage les terminaux mobiles, une façon de contrer certaines solutions d'authentification multifactorielle (MFA).
Dans ce contexte, le principe de base reste le même : il faut protéger tout le système d'information. Toutefois, ce qui était relativement simple quand tout était regroupé au même endroit, avec une sécurité périmétrique, l'est beaucoup moins quand une grande partie de ce système sort des locaux de l'entreprise. « Il faut alors sécuriser chacun des points, individuellement et indépendamment, sans en oublier aucun », a conseillé Philippe Rondel, pour qui il s'agit autant de prévenir les attaques que d'éviter les « angles morts », faute de visibilité : smartphones, tablettes, workloads dans le cloud... Pour cela, il préconise d'utiliser une plateforme de sécurité la plus intégrée possible, capable de prendre en compte réseau, postes de travail, mobiles, data centers et cloud, l'ensemble de ces composants interagissant entre eux. « Le but est de consommer la sécurité bien plus simplement », a expliqué Philippe Rondel, se référant notamment au modèle SASE (secure access service edge). « Il s'agit d'appliquer le modèle zero trust, en validant d'abord l'utilisateur, le poste et son niveau de sécurité avant d'ouvrir l'accès ». Ce modèle a plusieurs avantages : son évolutivité, avec un paiement à l'usage, sa capacité à corréler facilement plusieurs événements pour détecter une attaque et enfin une remédiation facilitée par le fait que tout soit intégré.
PublicitéAurélie Chandèze, rédactrice en chef adjointe de CIO, a ensuite présenté quelques résultats extraits de l'étude « Quelle cybersécurité pour accompagner l'évolution des pratiques ? ». Ceux-ci révèlent notamment que les changements induits par la crise sanitaire ne se reflètent pas forcément dans les politiques de cybersécurité, le recours au chiffrement systématique restant par exemple assez faible (moins d'un quart des répondants). Pour se protéger en évitant d'entraver les utilisateurs, les organisations sont plus nombreuses (31%) à se tourner vers des solutions de sécurité intégrées, capables de prendre en compte le contexte pour identifier des comportements suspects. Enfin, en réponse à la prolifération des ransomwares, mais aussi pour aider leurs équipes de sécurité IT, davantage d'entreprises ont adopté des solutions de sandboxing : 22%, contre 14% l'année dernière.
« Accès, Identités et Endpoints : la feuille de route vers une cybersécurité à 360° » a plaidé Jean-Pierre Barré, directeur commercial France, Wallix.
« La sécurité est l'affaire de tous, mais c'est avant tout l'affaire des DSI et des RSSI », a poursuivi Jean-Pierre Barré, directeur commercial France chez Wallix. En effet, ce sont ces derniers qui déterminent les politiques et les outils à mettre en place. L'une des problématiques qu'ils rencontrent concerne les comptes à privilèges (notamment administrateurs), en particulier quand ces accès sont nécessaires pour des personnes extérieures, comme des prestataires. « Avec l'approche zero trust, on ne laisse par défaut aucun privilège. Mais comment laisser travailler ces prestataires sans leur donner les moyens de le faire ? », a résumé Jean-Pierre Barré. En réponse, Wallix a développé une approche à 360° de la sécurité, autour de trois piliers : sécuriser les comptes à privilèges ; s'assurer de l'identité des personnes qui se connectent au système d'information et enfin sécuriser les endpoints de manière granulaire.
Le but de cette approche est de sécuriser le système d'information sans le faire au détriment des utilisateurs. Dans la vision défendue par Wallix, la cybersécurité se co-construit en effet avec ces derniers. Reprenant le cas des prestataires, Jean-Pierre Barré a souligné qu'il fallait les laisser travailler, sans pour autant renoncer à tout contrôle. « Il faut leur permettre d'intervenir tout en comprenant ce qu'ils font sur le système d'information, à quel moment et pourquoi - une notion que les militaires appellent besoin d'en connaître ». La compartimentation des droits sur le système d'information est assurée par le Bastion Wallix. Ensuite, il faut savoir qui vient se connecter, d'autant plus dans un contexte de télétravail. « C'est là qu'intervient notre brique d'authentification forte », a précisé Jean-Pierre Barré. Enfin, la troisième brique contrôle les privilèges au niveau des postes et serveurs. « Ainsi, on peut contrôler l'environnement dans lequel évolue un utilisateur, lui préparer un environnement de confiance maîtrisé, s'assurer de son identité et contrôler ce qu'il peut faire sur les postes », a-t-il résumé. Une approche applicable aux utilisateurs classiques comme aux utilisateurs à privilèges.
Vincent Strubel, directeur de l'OSIIC (Opérateur des Systèmes d'Information Interministériels Classifiés), a témoigné sur « Sécuriser l'informatique classifiée : les pratiques de l'OSIIC pour garantir la sécurité du SI gouvernemental ».
L'OSIIC, opérateur des systèmes d'information interministériels classifiés, a été créé le 1er juillet 2020. Cette structure porte trois missions fondamentales : la première est de fournir aux plus hautes autorités de l'État des moyens de communication sécurisés pour les échanges au niveau national et international. La deuxième est de fournir des moyens de communication classifiés au niveau interministériel. Enfin, elle remplit la mission de direction numérique du SGDSN (Secrétariat général de la défense et de la sécurité nationale). « Un système d'information classifié a été conçu et homologué pour traiter des informations classifiées de défense », a expliqué Vincent Strubel. Il est de ce fait étanche par rapport à Internet et tout réseau non classifié, jusqu'aux postes des utilisateurs, qui sont dédiés. « La différence fondamentale avec les autres systèmes, c'est que les informations traitées présentent une très haute valeur pour les attaquants et que leur compromission aurait des conséquences gravissimes sur la sécurité nationale » a pointé Vincent Strubel.
En termes de cybersécurité, cela suppose, outre toutes les mesures habituelles, d'être capable d'anticiper les menaces inconnues. « Nous ne connaissons pas les capacités techniques de nos attaquants, les vulnérabilités qu'ils peuvent exploiter. Il faut anticiper, par des choix souvent très conservateurs, par une application d'un principe de précaution frisant parfois la paranoïa », a confié le directeur de l'OSIIC. Ceci sans compter que les attaquants sont généralement des services de renseignements, avec des compétences allant au-delà des simples outils techniques. À cela s'ajoute une dimension temporelle : pour protéger les secrets dans le temps, il faut se préoccuper de l'évolution des techniques, un aspect important par exemple en cryptologie. « Il faut se dire que peut-être, d'ici 10, 20 ans, les attaquants seront capables de déchiffrer certains éléments, et donc l'anticiper avec des marges plus importantes que sur des systèmes classiques », a illustré Vincent Strubel. L'OSIIC doit également fournir des moyens de communication adaptés aux besoins des hauts représentants de l'État. Cela implique de répondre à des contraintes d'utilisation particulièrement exigeantes, pour un usage « en tout temps et en tous lieux ». Il faut également anticiper leurs besoins, pour être en mesure d'y répondre rapidement le moment venu. Enfin, il faut construire et entretenir la confiance, de sorte que ces utilisateurs soient absolument sûrs que les moyens qui leur sont fournis vont marcher. « C'est de la technique, mais aussi beaucoup d'humain », a souligné Vincent Strubel. Pour répondre à tous ces enjeux, l'OSIIC recrute une grande variété de profils. « Ces collaborateurs sont amenés à relever des défis hors norme, tout en assurant une mission de service public », a détaillé le directeur de l'OSIIC. Avec plusieurs défis et chantiers à la clef : renforcer la capacité à faire, répondre aux nouveaux défis du travail nomade et collaboratif sans sacrifier la sécurité, renforcer la relation avec les usagers, la transparence, le partage d'information, et enfin repenser le fonctionnement même de l'organisation, pour intégrer des manières plus agiles de travailler « qui ont du mal à percoler naturellement dans les domaines de la sécurité », selon Vincent Strubel.
« Comment réduire le temps de détection et de réponse aux menaces » a expliqué Christophe Auberger, évangéliste cybersécurité chez Fortinet France.
Face aux cybermenaces, les notions de temps de réponse et de détection sont très importantes, « car elles déterminent la période durant laquelle les cyberattaquants vont prendre de l'emprise sur le système d'information », a rappelé Christophe Auberger, évangéliste cybersécurité chez Fortinet France. En 2020, avec le télétravail massif la surface d'attaque des entreprises s'est fortement accrue, compliquant la donne. « Les attaques sont de plus en plus sophistiquées, à la fois sur le plan technique et dans la manière de cibler les organisations », a-t-il constaté, « le tout dans des environnements beaucoup moins protégés », ce qui explique pourquoi davantage d'entre elles ont abouti. Dans ce contexte, « protection et détection sont les deux piliers qui vont permettre la cyber résilience », selon Christophe Auberger. Or la détection reste aujourd'hui notoirement insuffisante, avec un temps moyen de détection de 94 jours selon le CERT-FR.
Face à cela, il faut améliorer la détection, ce qui passe tout d'abord par une gestion efficace des données, à l'aide de solutions comme les SIEM (security event information management) et d'outils d'intelligence artificielle. « Il faut traiter les événements de manière efficace, pour éviter d'avoir trop de faux positifs », a expliqué Christophe Auberger. Il faut également avoir des connaissances proactives, grâce aux technologies déceptives, « des leurres » qui permettent de donner un peu de temps aux équipes de sécurité et de voir ce que font les attaquants, ce qui est ciblé, les failles utilisées, les vecteurs d'attaques... « Des approches qui redonnent l'avantage aux défenseurs. » Enfin, il faut orchestrer la réponse, avec des outils tels que les SOAR (security orchestration, automation and response). Si on peut automatiser ces aspects, cela permet encore de gagner du temps.
Jean-Paul Chavant, RSSI/DPO chez Egis, a présenté « comment sécuriser l'IT en lien avec le suivi de chantiers BTP ».
Egis est un groupe de conseil, d'ingénierie et d'exploitation autour des infrastructures (rail, route, ports et aéroports, villes et grands bâtiments), avec une présence internationale. « Nous avons plus de 150 sites dans le monde. Nous intervenons également en assistance à maîtrise d'ouvrage ou à maîtrise d'oeuvre sur les chantiers de nos clients », a présenté Jean-Paul Chavant, RSSI/DPO chez Egis. Historiquement, le groupe s'appuyait sur des systèmes centraux hébergés dans ses data centers français, avec certaines briques déportées dans les autres sites « fixes » pour optimiser les performances réseaux. Sur les chantiers, des abaques permettaient de déterminer des seuils à partir desquels des infrastructures sont déployées localement. Egis a ensuite adopté une trajectoire vers le cloud, d'abord sur les fonctions support, mais qui commence à toucher les métiers opérationnels.
La politique de sécurité du groupe est basée sur les risques auquel celui-ci est exposé. Elle se décline en éléments de sécurité périmétrique (intégrant notamment les solutions de Fortinet) et d'autres intégrés dans le système d'information. « Aujourd'hui nous recherchons davantage l'efficacité de la détection plutôt que la diversité des outils, qui démultiplie les problématiques de compétences et le temps passé sur la résolution des incidents », a pointé Jean-Paul Chavant. Sur les chantiers, soit les utilisateurs sont nomades, avec un lien VPN vers le système central, soit les équipes mettent en place une extension du réseau interne. Avec le télétravail, le groupe a également entrepris de déporter sur les postes de travail une partie de la sécurité auparavant gérée au niveau du système d'information. « Depuis un peu plus d'un an, nous faisons participer les utilisateurs aux choix des outils et des règles à mettre en place, à travers un réseau de cybercorrespondants opérationnels », a témoigné le RSSI. Une façon de s'assurer que les mesures sont acceptables par les utilisateurs. Il reste toutefois un seuil à partir duquel les compromis ne sont plus possibles. Il faut alors des ambassadeurs pour accompagner et expliquer les choix et les contraintes associées. Si la sécurité est en constante progression au sein du groupe, les plus gros enjeux à venir concernent le contrôle du cloud, pour s'assurer que les niveaux de sécurité soient équivalents aux systèmes internes.
« Comment protéger l'ensemble de vos équipes dynamiques avec la Cyber IA » a détaillé Hippolyte Fouque, directeur commercial de Darktrace.
Hippolyte Fouque, directeur commercial de Darktrace, a confirmé que les cyberattaques étaient aujourd'hui plus rapides, plus fréquentes et plus sophistiquées. « Nous assistons à une prise de conscience, avec des annonces d'investissements. Toutefois ceux-ci doivent servir une stratégie efficace » a pointé le directeur commercial. En effet, beaucoup d'entreprises ont encore une sécurité en silos, avec un outil par environnement numérique. Près de 80% d'entre elles ont plus de 50 outils différents, et chez 37% le chiffre dépasse la centaine. Une situation ingérable, qui empêche la consolidation, la visibilité et l'efficacité, alors que les attaquants de leur côté considèrent l'entreprise dans sa globalité. Autre problème, beaucoup de solutions se basent encore sur des règles et signatures pour détecter les attaques, passant à côté des menaces inconnues.
« Il faut changer de paradigme et s'appuyer sur les innovations comme l'intelligence artificielle pour lutter à armes égales », a affirmé Hippolyte Fouque. L'IA permet en effet d'assurer deux fonctions clefs de façon autonome : l'investigation et la réponse. Elle sait traiter des masses de données énormes, fournissant une visibilité en temps réel sur le réseau. Elle peut également faire des analyses comportementales de chaque utilisateur et de chaque machine, pour envoyer des alertes, mais aussi les analyser et élaborer des rapports en langage naturel, faisant ainsi gagner du temps aux équipes. Enfin, en cas de problème grave, elle peut riposter en une à deux secondes, 24h/24 et 7j/7. Des capacités qu'Hippolyte Fouque a ensuite illustrées par plusieurs exemples récents.
Cédric Cartau, RSSI du CHU de Nantes et du GHT 44, membre du CESIN, a été le Grand Témoin et a transmis sa vision de « comment sécuriser le SI dans un secteur menacé et sensible ».
Le GHT 44 (groupement hospitalier de territoire) rassemble les treize hôpitaux publics de Loire-Atlantique, ce qui représente environ 18 000 agents et un budget annuel dépassant le milliard d'euros. En complément des activités de soin, le CHU assure des missions d'enseignement et de recherche. RSSI du GHT, Cédric Cartau est également membre de plusieurs associations : l'APSSIS (Association pour la sécurité des systèmes d'information de santé), le CESIN (Club des experts de la sécurité de l'information et du numérique), l'ARCSI (Association des réservistes du chiffre et de la sécurité de l'information) et l'AFCDP (Association française des correspondants à la protection des données à caractère personnel).
La particularité de la sécurité IT dans le secteur de la santé, c'est qu'au bout il y a la vie des patients, a rappelé Cédric Cartau. Les hôpitaux disposent également de nombreux systèmes techniques connectés à leurs réseaux, type SCADA. « La question sous-jacente est celle de la dette technique, avec des systèmes qui n'ont pas le même cycle de vie que l'informatique traditionnelle », a précisé le RSSI. Âges de 10, 15 ans, parfois plus, ces systèmes se heurtent aujourd'hui à la réalité du monde ouvert, massivement connecté à Internet, ce qui entraîne de nouvelles contraintes rarement anticipées. « Un choc des cultures », qui se rencontre dans beaucoup de secteurs selon Cédric Cartau. Les stratégies classiques consistent à isoler ces systèmes, déployer des sondes, mais il va dans tous les cas falloir investir dans des outils et ressources pour les sécuriser. Face aux cybermenaces qui évoluent constamment, le RSSI met en avant une seule bonne pratique : savoir s'entourer et cultiver un réseau. « La première grosse attaque par ransomware a moins de cinq ans », a rappelé Cédric Cartau. Pour lui, l'écosystème joue un rôle vital pour les RSSI, démultipliant les capacités de veille technologique. « Dans les métiers de la cybersécurité, j'estime que la veille représente entre 30 et 50% du temps de travail », a-t-il confié.
Et en cas d'incident ? Pour Cédric Cartau, l'important est d'être entraîné, formé aux procédures de secours, à l'instar des pilotes d'avion. « La question n'est pas de savoir si un cryptogiciel va vous arriver, mais quand est-ce que cela va vous arriver. Ceux qui se seront préparés à l'exercice s'en sortiront toujours mieux. » Il conseille également de tirer les enseignements des organisations qui ont déjà vécu de tels événements, soulignant l'intérêt des partages d'expérience dans le domaine. Enfin, il ne faut pas cacher les risques SI aux utilisateurs et directions générales. « Il faut être complètement transparent sur les risques encourus, les contre-mesures en place et le niveau de risque résiduel », a estimé le RSSI, pour qui rien n'est pire qu'un risque ignoré. Cédric Cartau a conclu son intervention en évoquant les ransomwares, qui constituent pour lui le principal enjeu pour les prochaines années, avec des mesures de protection à mettre en oeuvre qui dépassent le cadre de l'entreprise et doivent être pensées à l'échelle nationale.
Question participant : « Le recours au télétravail ne nécessite-t-il pas des campagnes de sensibilisation des usagers aux dangers de la cybersécurité ? Avez fait des campagnes via Webinar, ou ateliers visio ?
Cédric Cartau : « Oui, le télétravail, comme toute modification des conditions de travail, doit bénéficier d'un accompagnement en matière de cybersécurité. Non, nous n'avons pas utilisé de webinar ou de visio mais, à l'ancienne, des mails et des messages sur l'intranet. »
Question participant : « Bonjour, je suis Responsable SSI et je me demande comment être membre du CESIN ? »
L'adhésion est individuelle et la cotisation annuelle de 40 euros. Il faut prendre contact avec l'association qui organisera un parrainage. Attention : l'adhésion est strictement limitée aux RSSI ou aux directeurs cyber-sécurité, à l'exclusion de tout fournisseur, prestataire, etc.
« Télétravailler sans compromettre ses données » a été présenté par Sylvain Ansart, technical solutions architect chez Lenovo (à droite), et Claude Chauvet, directeur technique secteur public chez Intel (à gauche).
Dans un contexte où les organisations ont dû équiper leurs collaborateurs pour le télétravail, parfois dans l'urgence, la sécurité des terminaux est essentielle. En tant que fournisseur de briques matérielles, Intel a développé des technologies pour sécuriser et administrer les terminaux distants, a expliqué Claude Chauvet, directeur technique secteur public chez le constructeur. Des technologies que Lenovo intègre ensuite dans ses solutions pour les mettre au service des clients. Le premier objectif est de s'assurer que les terminaux mis à disposition des télétravailleurs n'ont pas été modifiés, aussi bien du point de vue matériel que logiciel, a poursuivi Sylvain Ansart, technical solutions architect chez Lenovo. « Le but est de garantir qu'en bout de chaîne, la machine est intègre », a souligné Claude Chauvet. Autre enjeu, assurer un support et une sécurité tout aussi efficaces à distance que sur site. Pour cela, Lenovo installe notamment des solutions partenaires, comme des antivirus comportementaux, ainsi que des outils d'administration permettant un suivi quotidien, basés sur des technologies Intel comme AMT (Active Management Technology). « Celle-ci permet une prise de contrôle bas niveau, par exemple pour réparer et remastériser une machine, même quand l'utilisateur est chez lui », a illustré Claude Chauvet.
Enfin, la question du décommissionnement des terminaux se posera tôt ou tard. « Il est fondamental pour les entreprises de s'assurer que même des outils de récupération de données ne récupéreront rien sur des disques effacés », a insisté Sylvain Ansart. Lenovo a ainsi intégré dans son BIOS un outil de nettoyage des disques autonome, tandis qu'Intel propose une technologie dénommée Remote Secure Erase, pour effacer les données avant même qu'un poste soit pris en charge par un transporteur ou en cas de changement d'utilisateur. « Dans le même esprit, nous offrons la possibilité de démonter facilement les disques durs quand les postes doivent repartir en atelier, pour éviter les risques d'interception de données », a ajouté Sylvain Ansart.
Jérôme Poggi, RSSI à la mairie de Marseille, a témoigné « comment Marseille s'est préparé et a réagi à une cyberattaque majeure ».
Marseille représente un territoire de 200 km², avec 864 000 habitants, plus de 12000 agents et plus de 270 sites physiques sans compter les écoles, selon Jérôme Poggi, RSSI à la mairie de Marseille. En mars 2020, une veille d'élection, la direction IT s'est aperçue que son système d'information était complètement éteint. Au fil des investigations, l'équipe a constaté une compromission avec un cryptolocker. « Le premier appel des personnes d'astreinte est arrivé à 3h30 du matin, pour informer qu'il n'y avait plus de standard téléphonique », a témoigné Jérôme Poggi. Il a fallu se déplacer dans les locaux de la DSI, hébergeant l'un des data centers, car les ressources n'étaient plus accessibles depuis l'extérieur. Dès 9h du matin, une trentaine de collaborateurs étaient sur place. « Nous avons pu ainsi arrêter une partie des charges qui étaient en train de tourner, alors même que les attaquants essayaient d'effacer nos sauvegardes, de chiffrer le serveur de fichiers et de compromettre nos 5000 postes de travail », a relaté le RSSI. Pour lui, l'étape la plus difficile a été d'admettre la compromission. Une fois ce cap passé, l'essentiel était de garder son calme, afin de dérouler les procédures de crise. Il s'agissait d'isoler le maximum d'éléments, tout en investiguant rapidement là où c'était possible. « Les premières heures sont les plus importantes, car il reste encore des traces, des scripts et exécutables utilisés par les attaquants », a précisé le RSSI.
Pour Jérôme Poggi, l'action salvatrice a été de « sauver la sauvegarde », qui heureusement était régulièrement testée pour s'assurer de son intégrité. Un prestataire ainsi que le constructeur de la solution sont intervenus pour aider l'équipe à vérifier que tout était intact et non compromis par les attaquants. À la suite de cette crise, la mairie a ajouté un niveau supplémentaire de sauvegarde, en externalisant sur un autre site ses sauvegardes les plus critiques et en les déconnectant du réseau. D'autres leçons ont été tirées : « nous sommes beaucoup plus réactifs pour les traiter les mises à jour et correctifs », a confié le RSSI. Ses équipes ont également constaté que les restrictions d'accès et de droits en mode zero trust ont permis de préserver de nombreuses parties du système d'information, justifiant a posteriori la mise en place de ces contraintes. Enfin, les procédures de crise mises en oeuvre se sont révélées efficaces. Si la plupart des activités essentielles ont rapidement pu reprendre, environ trois mois ont été nécessaires pour rétablir le reste. « Nous avons priorisé chaque service », a indiqué le RSSI. Les équipes ont pris le temps de remonter un socle logiciel, en restaurant ensuite les données, ce qui a permis de tout reconfigurer de façon propre et de segmenter davantage. Jérôme Poggi a également évoqué la mise en oeuvre du télétravail, un sujet qui avait heureusement été anticipé par les équipes. Le confinement a d'ailleurs permis de temporiser un peu l'impact de la cyberattaque. Enfin, il a souligné que communiquer sur cet incident avait permis à de nombreux RSSI de collectivités de sensibiliser davantage leur DSI et leur direction générale. Un club de pairs est même en train de se monter, ainsi qu'un groupe d'échange sur la messagerie Olvid.
« La protection à 360° de vos applications sur le cloud public » a été présentée par Sameh El Tawil, directeur régional France et Benelux de Radware.
Si la crise sanitaire a facilité le travail et la consommation à distance, il en est de même dans le monde de l'IT selon Sameh El Tawil, directeur régional France et Benelux de Radware. « Pour un projet, il est beaucoup plus facile aujourd'hui de monter des environnements en quelques clics sur AWS ou Azure, plutôt que de réceptionner du matériel, le monter, l'installer... », a-t-il lancé en introduction. Ce phénomène a augmenté les cibles potentielles pour les pirates informatiques, un facteur qui explique selon lui la hausse de 30% des attaques constatée par Radware dans une étude récente.
En réponse à ces menaces croissantes, la première considération est d'avoir les mêmes outils de sécurité partout, que les applications soient hébergées en interne ou dans le cloud public. En termes d'outils, il s'agit notamment de se protéger contre les attaques par déni de service (DDoS), de WAF (web application firewall) pour surveiller les vulnérabilités dans les applications, mais aussi de se prémunir contre les bots, une problématique émergente selon Sameh El Tawil. Ces solutions sont elles-mêmes de plus en plus consommées en mode cloud, ce qui permet de les transposer facilement sur les environnements de cloud public. En revanche, le cloud public induit un changement de paradigme sur la façon de gérer les infrastructures. « Il n'y a plus de notions d'intérieur vs extérieur, les accès se font tous de la même façon. On ne peut plus isoler les environnements en cas de prise de contrôle. Les ressources cloud de l'entreprise peuvent être usurpées, par exemple pour faire du cryptomining » a illustré Sameh El Tawil. Pour se prémunir, trois principes : d'abord, bien déterminer ce qui relève de sa responsabilité et de celle du fournisseur de cloud ; ensuite, gérer les permissions sur chaque ressource, d'autant plus que celles-ci peuvent être éphémères. « Il faut de l'intelligence artificielle pour corréler les différentes ressources et maîtriser les droits », a souligné Sameh El Tawil. Enfin, il faut des solutions intégrées.
Bernard Cardebat, directeur cybersécurité chez Enedis, a stipulé : « Cyberdéfense, l'approche de l'ultime recours ».
Enedis est un opérateur agissant par délégation de service public, chargé de gérer et moderniser le réseau de distribution d'électricité. L'entreprise compte 38 000 salariés et 37 millions de clients, et elle gère l'un des plus grands parcs d'objets connectés à travers les compteurs Linky. « Enedis a été désigné opérateur de services essentiels en septembre 2019, au titre de ses activités de pilotage du réseau de distribution et de ses activités de comptage électrique, notamment pour les particuliers », a précisé Bernard Cardebat, directeur cybersécurité chez Enedis. Comme toute entreprise, Enedis fait face à des tentatives d'attaques classiques (phishing, défacement de site Web, etc.) L'organisation connaît aussi des menaces plus spécifiques à la nature de ses traitements et des technologies utilisées, visant par exemple la chaîne de comptage ou les courants porteurs. Dans ce contexte, les fondamentaux s'appliquent, aussi bien dans le domaine de l'IT que de l'OT (technologies opérationnelles) ou d'un monde hybride. La base, comme l'a rappelé Bernard Cardebat, est de définir ses besoins en matière de sécurité, ce qui passe par des analyses de risques et la sécurité « by design ». La deuxième bonne pratique concerne l'exploitation et la maintenance des systèmes d'information, en appliquant les correctifs en temps et en heure. La troisième consiste à se doter de capacités de surveillance et de détection d'anomalies, ainsi que de capacités de réaction en cas d'agression - à la fois des capacités humaines, des procédures et des technologies.
Bernard Cardebat a ensuite souligné l'évolution de la cybersécurité, un terme qui reflète pour lui la connectivité et l'imbrication des différents systèmes actuels. « Depuis quelques années, il devient de plus en plus nécessaire de réagir aux agressions : on entre alors dans la cybersécurité globale, qui comporte un volet de cyberdéfense », a-t-il expliqué. Cela implique de pouvoir comprendre les tentatives d'attaque, prendre les dispositions pour les bloquer et en tirer les enseignements, afin de rendre les systèmes d'information plus résistants et résilients face aux menaces qui se multiplient. Pour Enedis, le premier rempart de sécurité dans ce dispositif, ce sont les utilisateurs. « Le défi collectif est de faire de l'utilisateur le maillon fort en matière de sécurité, en profitant notamment de sa capacité d'étonnement face à des situations inhabituelles », a expliqué Bernard Cardebat. Au sein de l'entreprise, les utilisateurs sont ainsi intégrés au dispositif de détection des mails malveillants. En 2020, sur 8000 mails suspects signalés par ces derniers, huit fois sur dix l'alerte était réelle. « Notre stratégie en matière de cybersécurité est de s'aligner sur l'évolution des menaces et des agresseurs, mais aussi sur l'apparition de nouvelles zones à risque », a indiqué Bernard Cardebat. Pour illustrer cette adaptation, il évoque la création de nouveaux métiers, comme celui de vulnerabilities manager. Enfin, l'une des clefs de succès en matière de cybersécurité aujourd'hui est la vitesse, afin de combler les failles ou de gérer les crises. La culture d'entreprise d'Enedis, habituée à la gestion de crise par son métier même, est à cet égard un facilitateur, de l'aveu de Bernard Cardebat, qui souligne également l'importance de rester à l'écoute de toutes les sources d'information pertinentes, notamment l'ANSSI.
« Zero Trust : d'un concept à une obligation pour (r)établir la confiance, sans compromettre l'UX » a relevé Nicolas Petroussenko, country manager France d'Okta.
Nicolas Petroussenko, country manager France d'Okta, est ensuite revenu sur le concept de zero trust, un modèle de sécurité conçu par le cabinet Forrester, qui se déploie de façon accélérée avec la crise sanitaire. « Avec le développement de la mobilité et du cloud, le zero trust a apporté des réponses là où les modèles de sécurité traditionnels n'étaient plus adaptés », a souligné Nicolas Petroussenko. Avec les nouveaux modes de travail, la menace s'est en effet déplacée du côté des utilisateurs et de leurs terminaux, et le périmètre de sécurité a changé.
Il s'agit alors de s'assurer de l'identité des utilisateurs, en s'appuyant notamment sur des dispositifs d'authentification multifactorielle. Cette approche répond à plusieurs enjeux : d'abord, faire en sorte que se connecter aux applications et services reste simple pour les employés, mais aussi prendre en compte les partenaires et clients de l'entreprise, pour ne pas les décourager, mais aussi pour éviter des tentatives de phishing les visant, en proposant un accès unifié aux services. « Souvent on parle de sécurité, alors qu'en fait il faut parler de confiance dans le service » a souligné Nicolas Petroussenko, rappelant l'importance de l'expérience utilisateur. Enfin, évoquant les systèmes sans mot de passe, celui-ci a rappelé que l'authentification seule ne suffisait pas. « Il faut tout un travail en amont, pour gérer les droits, mais surtout consolider l'information sur l'identité des salariés et des clients dans un seul référentiel. L'important est de mettre en place des mécanismes de sécurité intelligents. »
En partenariat avec MyFrenchStartUp, Maxime Alay-Eddine, président de Cyberwatch, a expliqué comment gérer les vulnérabilités avec la solution Saas Cyberwatch.
Pour terminer la matinée, Maxime Alay-Eddine, président de Cyberwatch, est venu présenter sa solution en partenariat avec MyFrenchStartUp. Cyberwatch est une société française de sécurité informatique créée en 2015, dont la mission est de détecter, prioriser et neutraliser les vulnérabilités existantes sur les systèmes, sachant que près de 50 par jour sont publiées actuellement. « La valeur ajoutée de notre solution est d'aller jusqu'à la correction des vulnérabilités, sur l'ensemble du système d'information : des serveurs aux postes de travail, en passant par le matériel réseau ou les sites Internet, dans le cloud comme dans des environnements très contraints », a expliqué Maxime Alay-Eddine. La priorisation se fait en fonction du contexte du client, pour hiérarchiser les actions et donner une feuille de route aux équipes.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire