Stratégie

Olivier Ligneul (CESIN) : « les cyber-attaques sont de plus en plus complexes et de plus en plus rapides »

Retrouvez cet article dans le CIO FOCUS n°136 !

Cybersécurité : Menaces évidentes, menaces cachées

Les entreprises sont menacées lorsque leur SI l'est. Si certaines menaces sont évidentes, d'autres le sont moins ou sont négligées. Et les risques encourus sont alors importants. Les très classiques attaques DDOS (par déni de service) ou les exploitations de failles pour pénétrer le SI demeurent...

Découvrir

---

Le 28 février à Paris, CIO a organisé une Matinée Stratégique « Cybersécurité : menaces évidentes, menaces cachées » dont le grand témoin était Olivier Ligneul, vice-président du CESIN. Problématiques des SI industriels ou de gestion, contraintes réglementaires, référentiels de bonnes pratiques et baromètre des perceptions des RSSI ont ainsi été détaillés.

PublicitéLors de la matinée stratégique « Cybersécurité : menaces évidentes, menaces cachées » organisée par CIO le 28 février 2017 à Paris, le Grand Témoin a été Olivier Ligneul. Celui-ci est non seulement CTO et Group CISO chez EDF mais il est également vice-président du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique). Il a donc abordé la question de la cybersécurité avec cette double vision, particulière et générale. 140 RSSI (dont la moitié dans des entreprises de plus de 10 000 personnes) membres du CESIN ont été interrogés pour l'établissement du Baromètre Annuel du CESIN qui a ainsi été présenté à cette occasion. « Je ne vais pas vous présenter des données de vendeurs qui veulent vous orienter mais ce que pensent de vrais RSSI » a, d'entrée de jeu, précisé Olivier Ligneul.
Le SI d'EDF est triple. Il y a le SI de gestion : plus de 1000 applications, 230 000 utilisateurs et 155 postes de travail avec un millier de réseaux locaux. Le SI scientifique (avec plusieurs supercalculateurs) ne concerne que quelques milliers d'utilisateurs avec des réseaux locaux très haut débit. Enfin, le SI industriel est lié à chaque métier de l'entreprise, avec à chaque fois ses règles propres. Il concerne 93 000 utilisateurs. Bien entendu, chaque SI communique avec les deux autres.

Une réglementation très importante

Mais la politique de sécurité du SI (PSSI) est globalisée et s'applique à toutes les entités et donc chacune des trois branches du système d'information. Les problématiques gérées par cette PSSI tient à la fois du B2C/B2B à cause des 35 millions de clients du groupe, entreprises comme particuliers, et de l'industriel, sans oublier les fonctions supports et les infrastructures.
Pour une entreprise importante pour l'économie nationale, des règles très particulières viennent s'appliquer. Elles sont issues de la Directive Européenne « Network and Information Security » (NIS) comme de la loi française de programmation militaire. Mais les règles générales s'appliquent également, en particulier, quand on parle de données de millions de clients, le Règlement Général européen sur la Protection des Données (RGPD, en anglais GDPR). Enfin, les entreprises ayant à gérer un important patrimoine de données scientifiques ont, en plus, le dispositif réglementaire du 3 juillet 2012 à respecter au sujet de la Protection du Potentiel Scientifique et Technique (PPST).

Des problématiques de sécurité de plus en plus complexes

Malgré toutes ces règles, une grande entreprise ne peut qu'accompagner des phénomènes comme le BYOD. Et elle ne peut qu'accepter d'entrer dans des filières sectorielles au sein desquels, entre sociétés différentes, il y a de nombreux échanges de données et d'importantes connexions entre clients et fournisseurs. Le cloud est devenu une réalité. Ce n'est pas encore assez ? « Si vous gérez des ascenseurs, des codes d'accès à des immeubles, via une gestion technique de bâtiments, il y a aussi des risques à gérer » a rappelé Olivier Ligneul. Il existe de nombreuses études sur ces types de risques.
Pour respecter toutes les contraintes, un RSSI peut s'appuyer sur des référentiels. Olivier Ligneul a notamment promu ceux de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) qui permettent d'aborder autant la phase amont d'étude de risques que la supervision ou le traitement des incidents. D'autres référentiels sont plus sectoriels. « On y aborde aussi des sujets basiques, communs aux SI de gestion et aux SI industriels, comme la politique de gestion de mots de passe ou de fermeture de ports » a relevé Olivier Ligneul.

PublicitéSécurité et sûreté ne doivent pas s'opposer

« Les attaques sont de plus en plus complexes et de plus en plus rapides »

Et les entreprises doivent affronter des risques de plus en plus importants. Olivier Ligneul a déploré : « il y a des attaques de plus en plus complexes et de plus en plus rapides. » On est passé d'attaques en jours à des attaques en heures et, aujourd'hui, en secondes. Les cybercriminels utilisent des méthodes industrielles pour atteindre une performance de plus en plus grande.
Côté entreprise, un SI de production est là pour faire ce qu'on lui a demandé de faire en permanence. « Il y a donc une obligation de sûreté de fonctionnement » a constaté Olivier Ligneul. Cela implique que les mesures prises ne doivent pas, en elles-mêmes, être une menace pour le fonctionnement du SI. Olivier Ligneul a pointé un exemple significatif : « si un anti-virus isole ou détruit une DLL nécessaire au SI de production, le SI de production ne marche plus. Avec toutes les conséquences induites. » Sûreté et sécurité ne doivent pas s'opposer et les priorités être bien prises en compte. « Dans un SI industriel, d'abord vous mettez en sûreté puis vous traitez les questions de sécurité » a insisté Olivier Ligneul. A l'inverse, dans un SI de gestion, l'attaque sera d'abord confinée et traitée.

SI industriels ou de gestion, il y a des différences et des points communs

Cartographie, inventaire, bonnes pratiques de développement, de cloisonnement, etc. , par contre, sont des problématiques communes aux SI de gestion et aux SI industriels. Mais les SI industriels ont des particularités. Il peut ainsi y avoir des flux peu identifiés utilisant des protocoles rares voire spécifiques à une seule entreprise ou un seul secteur.
Et l'analyse de risques est également différente. Un outil industriel va devoir subir, par exemple, des écarts de température et c'est une problématique inconnue des appareils destinés à fonctionner dans un bureau. « On peut avoir de vrais difficultés, pour un SI industriel, à répliquer dans un environnement de test ce qui se passe dans un environnement réel » a pointé Olivier Ligneul.

Cloud or not cloud, this is not the question

Une question récurrente en matière de sécurité est le cloud. Doit-on y aller ? Est-ce par principe exclu ? En fait, le cloud doit être abordé comme n'importe quelle externalisation. Il existe des problématiques réglementaires, juridiques (propriété des données, relation contractuelle...), de politique d'achat et, enfin, de sécurité informatique au sens strict.
La « propriété des données » renvoie ainsi au droit à les récupérer et surtout à être le seul à pouvoir le faire comme à des questions « informatique et libertés ». Olivier Ligneul a insisté : « le cloud ne peut pas s'envisager sans étudier toutes ces problématiques et il ne doit pas être vu comme un simple moyen de répondre au time to market de la direction générale. »

Les RSSI expriment leurs opinion dans le baromètre

Olivier Ligneul a conclu son intervention lors de la matinée en revenant sur le Baromètre du CESIN. Celui-ci donne l'opinion réelle des RSSI en activité, en dehors de toute contrainte issue des fournisseurs. Comme attendu, 80 % des entreprises ont effectivement connu une attaque l'année passée. Et, parmi ces attaques, l'une est bien installée en tête : le ransomware qui croît de 19 %. Les DDoS et les « attaques virales générales » complètent le trio de tête.
Face à un tel podium, la satisfaction vis-à-vis des solutions de sécurité du marché ne fait pas l'unanimité. 31 % des RSSI jugent les solutions du marché peu ou pas adaptées à leur entreprise et 40 % à la typologie des attaques. Mais si des solutions existent, la tendance est de les acheter grâce à une croissance des budgets et des effectifs dans la fonction « sécurité ». « Mais c'est aussi un problème car nous connaissons une pénurie de compétences dans ce domaine, chacun se battant pour récupérer ces bonnes compétences » a signalé Olivier Ligneul. Mais 48 % des RSSI ne se sentent pas en mesure de résister aux menaces actuelles.

Contrôler l'application des consignes

La sensibilisation des collaborateurs progresse et, aujourd'hui, la majorité respecte au minimum les consignes données. 57 % des RSSI contrôlent ce bon respect des consignes, la seule sensibilisation ayant montré ses limites. Celle-ci continue malgré tout d'être une préoccupation des RSSI. Surtout, la sensibilisation de la direction générale reste un point particulièrement sensible. A l'inverse, des mots clés à la mode comme blockchain ou IoT font peu tressaillir les RSSI.

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article