Lors d’un événement Synacktiv, le CISO de TotalEnergies, Jean-Dominique Nollet, a défendu sa vision de la cybersécurité : provoquer l’attaque pour tester la solidité des systèmes informatiques. Intrusions physiques, ingénieries sociales, exploitation de vulnérabilité, l’entreprise a fait de l’attaque son arme.
La cybersécurité, un outil de défense érigé en rempart ? Et pourquoi pas un terrain d’entraînement. Pour tester sa maturité, le groupe TotalEnergies prend le contrepied général et provoque la menace. L’objectif : apprendre à encaisser les coups et déceler les failles à colmater. “La cybersécurité sans offensive, c’est du pipeau”, lance Jean-Dominique Nollet, Chief Information Security Officer chez TotalEnergies. Cet ex-colonel de la gendarmerie et ancien directeur du laboratoire cyber d’Europol a importé la culture militaire : tant qu’un système n’a pas résisté, sa solidité reste théorique. Le groupe énergétique fait appel à Synacktiv, spécialisée en intrusion grandeur nature, pour parfaire l’illusion. Ici, les campagnes offensives se déroulent sur plusieurs mois, sans aucune communication préalable. “Nous menons des attaques sur six à douze mois, comme le ferait un service de renseignement”, explique Jean-Dominique Nollet. La méthode illustre un changement de paradigme. La maturité ne se mesure plus au nombre d’audits mais à sa capacité à résister à l’intrusion.
Les murs ne protègent pas des uniformes crédibles
TotalEnergies a institutionnalisé le test en conditions réelles. Les Red Teams, c’est-à-dire les équipes en charge d’attaques fictives sur la sécurité d’un système informatique pour éprouver la robustesse, simulent les techniques d’assaillants : phishing, exploitation de failles, accès physiques, persistance silencieuse. Ce qu’il faut retenir, tout est permis. Le scénario classique débute par un phishing personnalisé, grâce aux données RH. Un compte compromis. Les équipes passent la seconde. Ils s’infiltrent dans les environnements industriels par les rebonds réseaux et l’escalade des privilèges. Les hackers virtuels s’incarnent même sur le terrain avec des infiltrations sous couverture (technicien sous-traitant ou un paysagiste), le dépôt de boîtier 4G dans une armoire réseau, ou encore le crochetage d’une issue de secours pour accéder à un local technique. Ces dispositifs, inspirés des vraies techniques d’espionnage, évaluent les accès et les réactions humaines. “L’offensive permet d’évaluer la défense à pleine échelle, sans scénario figé”, commente un expert de Synacktiv. L’entreprise entre dans une phase de veille stratégique permanente et la moindre faille devient un apprentissage.
Cartographier la vulnérabilité d’un écosystème
Le champ de bataille s’étend au-delà des infrastructures internes. Puisque la chaîne est aussi solide que son maillon le plus faible, place aux tests des prestataires. “C’est moi qui paye pour attaquer mes sous-traitants”, affirme le CISO. Avec plus de 10 000 partenaires à son actif, le groupe considère la chaîne d’approvisionnement comme un prolongement de son périmètre numérique. Synacktiv peut ainsi attaquer des entreprises de maintenances informatiques, récupérer leurs identités, leurs VPN, puis remonter le courant vers le groupe cible. “Les attaquants n’ont besoin que d’un maillon faible. Nous devons savoir lequel”, insiste Jean-Dominique Nollet. L’objectif n’est pas de sanctionner mais d’observer les comportements sous contrainte. Ces données alimentent les tableaux de bord de gouvernance permettant la création de métriques de résilience (temps moyen de détection, réactivité hiérarchique, cohérence des canaux de communication). “Le courage, c’est d’accepter de se faire attaquer”, rappelle l’ex-gendarme. Le risque cesse d’être une catastrophe à éviter pour devenir une donnée managériale.
L’ingénierie sociale, première arme des hackers
Résultat des métriques, la faiblesse humaine constitue la meilleure porte d’entrée. Malgré les protocoles, la compromission passe souvent par la crédulité, voire un simple appel téléphonique. Lors d’un exercice, Synacktiv a endossé le rôle de l’helpdesk. Un appel assaisonné d’un argument d’autorité, “le directeur Europe bloqué avant une réunion critique”, suffit à récupérer un mot de passe administrateur. “Les vulnérabilités sont partout, mais elles sont d’abord humaines”, reconnaît l’interlocuteur TotalEnergies. Autre cas pratique, un SMS frauduleux cite une connexion suspecte en Roumanie. Le message affiche un lien, direction un portail d’authentification frauduleux, à l’aspect officiel. Le groupe répond à cette vulnérabilité par la suppression des mots de passe. “La meilleure sécurité, c’est celle qui ne laisse pas à l’utilisateur la possibilité de se tromper. Même le PDG n’a plus de mot de passe”, Kévin Tellier, expert Synacktiv. La cybersécurité s’éloigne de son image de dernier rempart et s’érige comme point stratégique où la pédagogie laisse place à la contrainte technique.
Des attaques multipliées par mille
L’intelligence artificielle amplifie les dynamiques du champ de bataille. “L’IA ne pense pas mieux qu’un expert, mais elle va plus vite”, résume Renaud Feil, cofondateur de Synacktiv. Les attaquants l’utilisent déjà, que ce soit pour analyser les structures réseaux, générer des malwares ou encore traduire leur campagne de phishing : attaques parallélisées, saturation cognitive des SOC, multiplication d’incidents simulés pour masquer le vrai point d’entrée. Il est temps pour les défenseurs de l’exploiter à leur tour. “Nous l’utilisons pour repérer les secrets mal stockés dans les fichiers”, précise Jean-Dominique Nollet. TotalEnergies et Synacktiv en font un moteur d’efficacité dans les deux teams, Red (attaquant) et Bleu (défenseur), toujours sous contrôle humain. Outre l’incident, le risque réside dorénavant dans la submersion des équipes par la rapidité et le nombre de cyberattaques dopées à l’IA. D’où l’intérêt d’une méthode purple, c’est-à-dire un travail collaboratif entre l’équipe rouge et l’équipe bleu, pour affiner les capteurs et les protocoles de réactions. Une compromission simulée d’un poste RH conduit à repenser la gestion des identités. La cybersécurité offensive dépasse le stade de test ponctuel pour s’intégrer aux rouages de la gouvernance TotalEnergies. “C’est un jeu permanent entre glaive et bouclier”, décrit Jean-Dominique Nollet. Dans cette culture injectée par l’ex-gendarme, l’échec n’est plus une faute mais une donnée mesurable.