Alain Bouillé Président du CESIN :

" Ce sont les RSSI qui doivent prendre en charge les architectures SCADA au niveau de leur sécurité "

 

 

 

En Cybersécurité, on assiste à un emballement tant médiatique que politique : les noms de cyberguerre sont évoqués à tout bout de champ, qu'en pensez-vous ?

C'est exact et il faut raison garder. A l’autre extrémité, assimiler le défacage de sites à du « Cyber graffiti » n’est pas non plus approprié. Pour certaines entreprises, le traumatisme en termes d’image que cela provoque doit être pris en compte.

 

Cette lecture multiple de divers événements résultent aussi d'une multiplication des sources d'informations. Vous présidez le CESIN qui regroupe plus de la moitié des RSSI français soit environ 200 membres. Quelle position adopte cette association face à d'autres qui regroupent des Risk managers, des Directeurs Sûreté voire le CLUSIF, un club d'entreprises françaises soucieuses de leur cyber-sécurité ?

Chaque association a sa raison d’être. Nous avons créé le CESIN pour combler un manque. La preuve en est le nombre d’adhérents après moins de trois ans d’existence et surtout le renouvellement des adhésions qui frôle les 100% années après années. Nous avons voulu en faire un lieu d’échanges privilégié pour les RSSI avec des règles de confidentialité très strictes que nous veillons à faire respecter au quotidien. En résumé, ce sont les RSSI et seulement eux qui ont leur sujet en main.

 

En matière de gestion des risques, quelle est votre approche ?

Le pilotage de la sécurité par les risques est inéluctable. On ne peut plus se permettre de naviguer à vue. Il faut savoir quoi protéger car on sait qu'un jour ou l'autre l'attaque ciblée réussira et il faut être sûr des « bijoux que l’on a mis au coffre ».

La lutte contre la cybercriminalité peut se découper en trois thèmes : anticipation, protection et détection/réaction. Dans l’anticipation on pourra trouver la formation des développeurs à livrer du code exempt de faille par exemple. En ce qui concerne la protection, il faudra continuer à investir dans des solutions de sécurité mais en « architecturant ces solutions intelligemment. Quant à la détection/réaction, c’est certainement là que les entreprises ont le plus de progrès à faire. Enfin devant le caractère inéluctable de l’attaque réussie et des conséquences que l’on peut voir lors des évènements récents, le CESIN recommande fortement aux RSSI de se rapprocher du secteur assurance de leur entreprise pour envisager le recours à une cyber-assurance. A cet effet nous nous sommes associés aux travaux de la commission système d’information de l’AMRAE qui a publié récemment un cahier technique : « Outil d’aide à l’analyse et au traitement assurantiel » permettant d’aider les entreprises à appréhender cette nouvelle étape dans la gestion de leurs risques SI (1)

 

 

Coté réaction face aux cyber-menaces, une bonne approche suppose-t-elle pour de plus en plus de décideurs en cybersécurité la mise en place d'une « cyber war room » sorte de cellule de cyber-crise ?

Plus de 200 jours en moyenne pour détecter une attaque : c'est inadmissible il faut donc être capable de répondre aux questions : qui nous a attaqué ? qu’est qu’on nous a pris ? comment ? Généralement, ce que nous constatons, c'est que la réaction est trop faible au sein des entreprises. En matière de détection, la réponse est-elle dans une cellule de surveillance interne ou une externalisation : je n’ai pas de dogme, si l'entreprise n'a pas les moyens de s'offrir ces services en interne il vaut mieux qu'elle externalise plutôt que de ne rien faire. En la matière on n’est pas condamné à utiliser des services étrangers. J'en profite pour rappeler que le CESIN s’est associé au label France avec l'ANSSI. Un autre volet en terme de réaction, est de se préparer aux typologies de sinistre, autrement dit je fais quoi face à un vol d'une base client, des comptes bancaires, de détournements…. Mais s’entraîner à la cyber crise dans les entreprises n’est pas une mince affaire.

 

Les dernières cyber-attaques ont montré que les entreprises indépendamment de leur taille semblaient égarées face aux impacts des cyber-attaques. Chez Sony le retour à la gomme et au crayon durant plusieurs jours a plus que perturbé l'organisation de cette entité. Comment gérer autrement ce type de cyber-attaque très bien préparée avec de nombreuses cibles et une fuite de plusieurs tétra de données ?

En fait on voit maintenant des évènements qui peuvent remettre en cause la survie même de l'organisation. Hors l’impact est rarement immédiatement palpable contrairement à un dégât physique souvent plus évident à évaluer. Reste que chez SONY personne n'a vu les fuites. Pas plus à la NSA d’ailleurs. Or des outils existent pour détecter les fuites. Et à chaque fois c’est l'ingénierie sociale qui fonctionne à merveille et son corollaire l’usurpation d’identité. On revient à notre idée du début : la gestion des risques se situe davantage dans la préparation et la prévention.

 

Afin de renforcer la sécurité sur les données personnelles et la souveraineté des données en Europe, un nouveau Règlement Européen (GDPR) sur la protection des données sera effectif en 2015. Quels conseils formule le CESIN pour préparer les entreprises à ce nouveau cadre réglementaire ?

En réalité, il va falloir que les entreprises repensent la manière dont elles collectent, traitent et stockent les données. Il faudra être plus transparent vis-à-vis des internautes dont les données sont stockées sur la politique de sécurisation de leurs données. Les entreprises devront se préoccuper du droit à l'oubli en rendant possible la suppression rapide des données.  Cette partie du règlement va en premier lieu concerner des entreprises comme Facebook et Google qui s’y préparent à n’en pas douter.

 

Une des conséquences de la mise en place de cette nouvelle réglementation, c'est la nécessité pour les entreprises de disposer d'une méthode de classification des données de façon à établir une cartographie des données stratégiques à protéger en priorité. Cette classification après identification demeure délicate : elle fait appel aux métiers et les données possèdent un cycle de vie dynamique. Comment s’y prennent les entreprises ?

Vous avez raison, une classification s'avère indispensable mais elle ne doit pas être synonyme de projets longs et coûteux. Le pragmatisme peut avoir du sens en la matière. Une fois classés, il faut protéger les biens les plus sensibles. C’est à ce moment-là que des solutions DLP deviendront intéressantes. Mettre en place un DLP sans réaliser une classification est irréaliste. Nous préconisons d'aller voir les patrons métiers. Eux savent ce qui est sensible. Toutefois, il faut distinguer négligence et malveillance. Par exemple interdire l’utilisation d’outils comme Dropbox est une bonne mesure pour juguler les fuites de données.

2015 va devenir l'année de la protection SCADA surtout si des actes de cybersabotage en « mode Stuxnet » se reproduisent. SCADA est un module de l 'environnement ICS, une architecture présente sur beaucoup de réseaux industriels qui gèrent des capteurs, des vannes, des automates, des objets divers… Qui doit prendre en charge au sein des organisations la responsabilité de ces architectures SCADA ? Est-ce le rôle des RSSI ou d'autres entités plus proches des automaticiens ?

Non ce sont les RSSI qui doivent prendre en charge les architectures SCADA au niveau de leur sécurité. Ils ont le « doigté » pour çà et toutes les connaissances techniques et informatiques. Il faut évidemment prendre en compte la notion d'interconnexion entre réseaux SCADA et réseaux de gestion si elle existe. Mais ce sujet n’a pas la même prégnance dans les entreprises qui interconnectent simplement le système de vidéo-surveillance avec le réseau de l’entreprise et les fournisseurs d’énergies qui pilotent leurs systèmes industriels avec des SCADA.

Propos recueillis par Jean Philippe Bichard