Par Alain Clapaud – le 6 mars 2014 / Photos par Gilles Vautier

Après une année 2013 ponctuée par les révélations sur les écoutes de la NSA, mais aussi par des attaques informatiques sans précédent, Sylvain Fievet, directeur de la publication d’Alliancy, le Mag, a réuni les DSI et responsables de la sécurité des grandes entreprises françaises suite au dossier sécurité paru dans le numéro de décembre/janvier 2014. L’occasion de dresser un bilan de la CyberSécurité dans les entreprises, mais aussi d’aborder le futur. Comment sécuriser un système d’information face à la montée en puissance du Cloud Computing d’un côté et du BYOD de l’autre ? Comment contrer des attaques informatiques de plus en plus fréquentes, de plus en plus massives ? Où en sont les industriels français dans la sécurisation de leurs outils de production ? Comment est-ce que les entreprises se préparent à l’Internet des objets ? Comment protéger ses secrets dans un monde où tout devient communiquant ? DSI et RSSI nous livrent leurs réflexions quant aux grandes mutations auxquelles doit faire face le secteur de la sécurité informatique.

1 – Comment assurer la sécurité du système d’information à l’heure du Cloud Computing et du BYOD (Bring Your Own Device) ?

« Par moment, le business passe avant tout. Dans certain cas on peut freiner certains comportements, mais dans d’autres cas, c’est impossible. Il y a toujours un équilibre à trouver entre ce que le business demande et les besoins de sécurisation du SI. C’est là tout l’enjeu. » Nacira Salvan, Responsable du pôle architecture Sécurité de Safran 

« C’est aussi une question de la maturité de la demande. Le RSSI est souvent seul dans l’entreprise, c’est un constat que l’on fait. S’il y avait un meilleur poids donné au coût de l’insécurité dans les critères de décision d’achat, la demande s’orienterait vers des services plus sécurisés. Malheureusement, la gouvernance des décisions d’achat ne fonctionne pas comme cela et le RSSI n’a pas sa juste place dans ces processus de décision. Parfois il est court-circuité dans le processus de décision parce qu’il expose des réalités que d’autres ne veulent pas entendre. » Robert-Jan Thomassen, directeur commercial d’HP Enterprise Services

« Aujourd’hui, pour nos journalistes, le smartphone est devenu le couteau suisse sur le terrain. Il est couramment utilisé pour enregistrer des sons, faire des photos, des vidéos et même établir une liaison avec les studios. Ces usages récents et novateurs ne doivent pas faire prendre de risques pour le fonctionnement global du système d’information de l’entreprise. Tout est une question de sensibilisation et de formations si nécessaire. L’idée de séparer complètement l’informatique de gestion et l’informatique de production est une idée totalement impossible à mettre en oeuvre. Un journaliste ira chercher un son sur internet et le traitera dans l’outil de production. Les systèmes d’information des médias doivent être conçus pour fonctionner sans risque compte tenu de ces usages » Jean-Marc De Felice, CTO et Directeur des Ressources Techniques de Radio France 

« Un sondage que nous avons effectué fin 2013 plaçait le problème de l’ouverture tous azimuts du système d’information parmi les principales préoccupations des entreprises. Celles-ci en ont de moins en moins la maitrise, car il se trouve éclaté de toute part en raison des velléités d’externalisation via les services de logiciels en Cloud (SaaS). Ces applications, n’ayant pas initialement vocation à être ouvertes sur le web, constituent un patrimoine complexe à gérer pour les entreprises. Elles sont autant de nouvelles portes d’entrées sur le système d’information. Généralement, ces démarches sont à l’initiative directe des différents métiers de l’entreprise : à un développement interne long, cher et aléatoire en terme de couts et de délais, les responsables métier préfèrent l’achat d’un service en Cloud rapide à mettre en œuvre pour un coût défiant toute concurrence. Le problème est que ces démarches   sont rarement validées par le service informatique. Il y a donc un travail de sensibilisation à faire auprès des différents services. Il faut être vigilant avec les contrats, savoir où sont hébergées les données et s’assurer de la réversibilité de service pour éviter les situations embarrassantes en cas de changement de fournisseur. Je préconise même de réclamer aux fournisseurs de service la possibilité d’effectuer un test d’intrusion sur le service proposé. Ce n’est pas toujours possible, mais à défaut il faut obtenir à minima les résultats d’audits que le fournisseur a lui-même commandités. » Alain Bouillé, Président du Club des Experts de la Sécurité de l’Information et du Numérique – CESIN.

 
2 – L’homme se replace au cœur de la sécurité des entreprises

« Dans un monde où le hard est aux mains des chinois, le logiciel aux mains des américains, qu’est ce qui nous reste ? Pas grand-chose à part la maitrise de nos comportements. Notre seule et vraie voie d’indépendance, c’est l’éducation de l’ensemble des personnels. Il faut qu’on s’habitue à vivre dans un monde où l’information va nous échapper. Il y a un problème fondamental de responsabilisation de l’utilisateur face à ce qu’il détient. » Thomas Peaucelle, Directeur général délégué de Cofely Ineo 

 

 

« Quelle réponse peut-on apporter aux utilisateurs ? Nous avons dans nos entreprises l’arrivée de générations Y  qui ont un fonctionnement  totalement différent. Ils ne sont plus dans une approche matricielle de l’entreprise, mais plutôt transverses. Ils vont directement à l’essentiel, c’est à dire, l’information car ils ont des problèmes de temps et d’efficacité. Un autre sujet d’actualité est le  phénomène des Whistle blowers, ces semeurs d’alerte, qui dénoncent les pratiques de leur entreprise. Ça n’a plus rien à voir avec ce qu’on connaissait jusqu’à présent. Quelle réponse peut-on apporter pour faire face à cette pratique ? » Mahmoud Denfer, RSSI de Vallourec 

« La sécurité, c’est une chaîne et la valeur d’une chaîne, c’est la valeur de son maillon le plus faible. Et tel que je le vis, le maillon le plus faible, c’est l’humain. La difficulté que l’on a, c’est que la sécurité passe par des contraintes et les gens ne veulent pas de ces contraintes. Il faut expliquer et le faire en permanence, sans arrêt leur amener des exemples. Les gens doivent bien être conscient de ce qu’ils doivent sécuriser. » Françoise Hemery, DSI d’Eolane

« La formation est quelque chose d’absolument essentielle. Les étudiants en Master non scientifique n’ont pas une seule minute consacrée à la sécurité des systèmes d’information. Il en est ainsi par exemple de ceux qui vont demain travailler dans les collectivités territoriales. Tous ceux qui ne sont pas ingénieurs, ceux qui seront dans la gestion des entreprises, qu’est-ce qu’on leur apprend aujourd’hui sur la sécurité informatique ? On leur dit que les « cyber-sécuritaires » sont là pour tuer la liberté sur Internet. Ce n’est pas ça. Si on veut qu’il y ait encore de la liberté sur Internet, il faut qu’il y ait un minimum de sécurité et cette sécurité, elle passe nécessairement par les comportements, par une hygiène informatique comme prônée par Patrick Pailloux (ex-directeur de l’ANSSI), une hygiène informatique dans l’entreprise, dans les administrations. » Général Marc Watin-Augouard, directeur du centre de recherche de l’OEGN, organisateur du FIC

« Qu’est-ce qu’on fait pour sensibiliser les utilisateurs autour de cette question de la sécurité ? Le Cigref en liaison avec le Comité Richelieu (représentant plus de 200 moyennes innovantes) a initié un groupe de travail sur la question de la sensibilisation et de la formation des utilisateurs. L’idée est de travailler sur la question des comportements et de la formation à la sécurité qui sont souvent vus comme des contraintes. Le fruit de la réflexion du Cigref et de l’INHESJ (Institut national des hautes études de la sécurité et de la justice) a été d’utiliser des moyens ludiques afin de sensibiliser les collaborateurs. Pourquoi ne pas utiliser le jeu ? Est née l’idée d’un Serious Game qui permette de mettre tous les collaborateurs de l’entreprise en situation de risque, sans le risque. Les confronter à différentes situations très concrètes sur leur poste de travail au bureau, mais aussi à la maison, en déplacement, etc. La session 2012/2013 des auditeurs du cycle « sécurité numérique » de l’INHESJ a produit le scénario du jeu. On est en phase de réalisation de ce Serious Game, l’idée étant de livrer une première version à l’horizon des prochaines Assises de la Sécurité, en 2014. »  Jean-Marc De Felice, CTO et Directeur des Ressources Techniques de Radio France 

3 – Comment réagir face à la montée de la cybercriminalité ?

« Les attaques ciblées, ou menaces persistantes avancées ont pris le pas sur les intrusions directes du système informatique des entreprises, qui sont aujourd’hui bien contrées. Souvent, les RSSI se trouvent démunis face à ces attaques. Espionnage, vol de données, fraude, détournement de fonds : il y a autant de cibles différentes que d’entreprises. Il s’agit ici d’exploiter une faille connue, sur un logiciel par exemple, en fabricant des malwares à destination d’un petit nombre d’entreprises. Pour les contrer, des technologies apparaissent, mais il leur reste encore à faire leurs preuves. » Alain Bouillé, Président du CESIN

« L’exposition des données, elle commence sur les réseaux sociaux. On y expose sa vie privée, sa famille, tout ce que l’on fait. Avant, c’était plus difficile d’aller à la pêche aux informations. L’information, aujourd’hui, elle est disponible. » Nacira Salvan, responsable du pôle architecture sécurité de Safran 

« Les cas des escroqueries au président se multiplient. Pourquoi est-ce qu’il y a ce type d’escroquerie en ce moment ? L’ingénierie sociale permet de complètement reconstituer l’organigramme d’une entreprise, de savoir qui est la secrétaire, à quel moment elle va déjeuner, quels sont les numéros de téléphone de fax, la signature, pour, au final, obtenir des virements. Tout ça est possible car tout est disponible sur le Web. Il y a une transparence extraordinaire, mais il faut se poser la question : jusqu’où va-t-on ? » Thomas Peaucelle, directeur général délégué de Cofely Ineo 

« Ce n’est pas sur les risques les plus complexes que les incidents de sécurité surviennent le plus souvent. On parlait des virements réalisés via ingénierie sociale, c’est techniquement très simple à réaliser. C’est quelqu’un au bout du fil, avec une équipe de quelques cybercriminels qui récupèrent de l’information complémentaire, détournent les communications téléphoniques pour se faire passer pour une filiale. Ça n’a rien à voir avec la mise en place d’une APT (Advanced Persistent Threat), par exemple. C’est une à trois semaines de travail selon la cible et ils réussissent à récupérer 800.000 euros, 1 million d’euros. C’est quelque chose qui arrive à énormément d’entreprises. On en est à quelques centaines en France ces deux dernières années. Les entreprises veulent gérer ces affaires en interne et mettent plusieurs mois avant de venir nous voir. »  Colonel Eric Freyssinet, Directeur de la division Cybercrime, pôle judiciaire Gendarmerie Nationale

4 – Quel est l’impact de l’affaire Snowden dans vos entreprises ?

« Je ne crois pas que l’affaire « Snowden » ait déclenché une prise de conscience car je ne crois pas que les citoyens français se sentent menacés à titre personnel par la NSA : quelle information la NSA peut-elle exploiter sur un citoyen français ? Cela laisse l’idée qu’il faut les moyens colossaux d’un gouvernement pour faire de l’écoute massive et de la cybercriminalité. Or la menace est toute autre : pour être un hacker, il faut désormais des moyens très limités. Il existe des bibliothèques opensource pour hacker. Ces « communautés » se structurent et s’organisent selon la cible et le profit recherché : « rackettage » d’individus ou de PME, pénétration ou déni de service d’entreprises, vol d’informations… Je suis stupéfait par la facilité de pénétration des entreprises. Jusqu’à présent, je n’ai aucun exemple d’audit de pénétration, que nous avons mené, qui n’ait pas abouti : en 4 à 8 jours, on parvient à pénétrer assez profondément dans le SI d’une entreprise. Il me semble que la prise de conscience s’opère dans les grandes entreprises françaises. Je n’ai pas cette perception pour les PME et les citoyens. » Laurent Ridoux, directeur technique chez HP Enterprise Services

« Il y a toujours eu des écoutes. En 1988, le député Godfrain avait été emmené avec un journaliste les yeux bandés dans un endroit où il avait vu une salle avec des ordinateurs d’où des hackers sortaient les plans du Rafale. C’est comme ça qu’est née la loi Godfrain sur les atteintes aux traitements automatisés de données. Mais aujourd’hui, les capacités d’analyse, le Big Data sont tellement supérieures à ceux dont on disposait il y a 5 ou 10 ans, que le problème est bien plus aigu. L’armée populaire de Chine, c’est 20.000 personnes qui, tous les jours, travaillent pour rechercher de l’information sur nos systèmes. Le rapport n’est plus du tout le même que celui qu’on a pu connaitre par le passé. » Thomas Peaucelle, directeur général délégué de Cofely Ineo 

« Il y aura un avant et un après Snowden. Je suis convaincu que les cartes ont été redistribuées parce que le marché ne réagit plus du tout de la même manière. Il y a une prise de conscience que l’on était écouté,  ça on le savait, mais on est surpris par l’ampleur, les principaux  fournisseurs américains étaient les points d’entrée. Ce n’était pas quelque chose que l’on avait envisagé. Un autre enseignement de Snowden, c’est la prise de conscience de notre dépendance technologique et matérielle de l’offre américaine. Il y a une dépendance qui s’est creusée vis-à-vis des technologies américaines et qui fait qu’aujourd’hui on ne peut pas faire machine arrière. » Mahmoud Denfer, RSSI de Vallourec

 

« N’essayons pas, voir n’est-on pas déjà allé trop loin dans la mutualisation, globalisation des données et des traitements sur le marché ? Peut-être qu’il va falloir faire un chemin arrière. Pour des systèmes industriels, imaginer aujourd’hui un poste qui fait tout, depuis les besoins de l’ingénieur qui fait du design, les besoins corporate pour faire de la messagerie et de l’internet et piloter un automate, ce type d’approche n’est pas possible. Quoi qu’on fasse, il n’y a pas de solution miracle, il va falloir séparer certaines choses et revenir à des pratiques simples avec d’un côté l’outil de production dédié avec lequel on ne peut pas tout faire, et de l’autre des outils plus ouverts à d’autres usages. A un moment donné, il faut choisir. » Sébastien Bombal, RSSI d’Areva 

« Sur les systèmes industriels, les risques portent aussi sur la sécurité des personnes. Le fonctionnement du système d’information peut avoir un impact sur la vie des ouvriers, la vie des citoyens, même si c’est un scénario plus complexe. Il y a des morts dans les entreprises à cause d’incidents informatiques. On en a traité deux cas de ce type ces dernières années. Dans un cas, c’était le directeur de la production qui avait fait installer un système destiné à acquitter toutes les erreurs. C’est ce qui a provoqué un accident mortel lors d’une maintenance. Ce qui est inquiétant, c’est que cela fait bien 10 ans qu’on connait cette menace sur les systèmes industriels. Ce n’est pas normal que l’on puisse toujours accéder à une centrale nucléaire aux Etats-Unis depuis Internet, ou à un pipeline au milieu de l’Afrique. Pourquoi n’y a-t-il pas eu d’évolution dans ce domaine ? » Colonel Eric Freyssinet, Directeur de la division Cybercrime, pôle judiciaire Gendarmerie Nationale

 « Dans les processus industriels de type OIV (Opérateurs d’Importance Vitale), on a une multitude d’applications. L’informatique est née dans ces secteurs il y a de nombreuses années, avec des systèmes qui étaient conçus pour être fermés. Il n’y avait pas d’exigence de sécurité.  Et aujourd’hui, du simple fait qu’on doit utiliser un PC pour configurer tel ou tel équipement, qu’une clé USB peut être mise à profit pour s’infiltrer dans le système comme l’ont fait les américains en Iran. Là est pour moi le point le plus sensible. Il faudrait reprendre toute une série de process industriels qui sont opérants depuis les années 70 qui fonctionnent bien mais dont l’ouverture fait qu’ils sont exposés. Mais attention au budget ! Il y a là nécessité d’une volonté politique pour faire bouger les choses. » Thomas Peaucelle, Directeur Général délégué de Cofely Ineo 

« Vis-à-vis du monde de l’IT comme du monde industriel, la difficulté n’est pas dans l’identification des failles. La difficulté que l’on rencontre en tant que consultants, c’est la sécurisation de l’environnement. Sur un environnement IT, il suffit de mettre un pare-feu applicatif pour protéger les applications. Quand il s’agit de la protection d’un automate, les contraintes et spécificités métiers sont complètement différentes. » Adbelbaset Latreche, Responsable du consulting sécurité d’HP France 

« Au-delà du système informatique traditionnel, de nombreux équipements industriels désormais connectés sont devenus une cible favorite des pirates. Toutes les entreprises sont concernées, mais l’importance de la menace dépend des cœurs de métier. Le problème provient surtout des fournisseurs d’équipements qui  ne sont absolument pas sensibilisés aux questions de sécurité, et ont des niveaux de sécurité qui rend les attaques sur ces équipements parfaitement triviales. » Alain Bouillé, Président du CESIN

 

« Le BYOD est un avantage pour les entreprises, il constitue aussi un danger, mais il faut se projeter dans 10, 15, 20 ans. Avec l’Internet des objets, quand mes vêtements seront interconnectés, mes lunettes seront interconnectées, tout ce débat sera complètement dépassé. Il faut que l’on se prépare dès maintenant à ce qui va se passer demain ou après-demain. Ça va arriver très vite. On a une chance, c’est qu’en France, on n’est pas mauvais sur l’Internet des Objets. Mais imaginez un conseil d’administration où tout le monde est interconnecté. Qu’est-ce qui va rester comme secret ? » Général Marc Watin-Augouard, directeur du centre de recherche de l’EOGN, organisateur du FIC

« On a commencé par faire des voitures qui n’avaient pas d’ABS, qui n’avaient pas de systèmes de sécurité. Aujourd’hui, on travaille sur des voitures intégralement connectées, sur des voitures qu’on peut intégralement sécuriser du point de vue du risque routier. Mais comme celles-ci seront connectées, n’importe quel cyber-terroriste pourra vous envoyer dans le décor… » Thomas Peaucelle, Directeur général délégué de Cofely Ineo

« Faisons un peu de prospective. Aujourd’hui, dans les datacenter, on a des systèmes contre les incendies, je pense que demain on aura des EMP, des bombes électromagnétiques pour arrêter les attaques.
Au niveau de l’Internet des Objets, un jour les machines prendront le dessus, mais on ne sait pas jusqu’à quel niveau. Faisons attention à toutes ces interconnexions ! » Fabrice De Biasio, DSI d’Europe Airpost et d’ASL Aviation Group

 

 

 

  Nous remercions, pour leur présence à ce dîner :

• Sébastien Bombal, RSSI – Areva
• Alain Bouillé, Président – CESIN
• Fabrice De Biasio, DSI – Europe Airpost et ASL Aviation Group
• Jean-Marc De Felice, CTO et Directeur des Ressources Techniques – Radio France
• Mahmoud Denfer, RSSI – Vallourec
• Colonel Eric Freyssinet, Directeur de la division Cybercrime, pôle judiciaire – Gendarmerie Nationale
• Françoise Hemery, DSI – Eolane
• Abdelbaset Latreche, Responsable du consulting sécurité – HP France
• Thomas Peaucelle, Directeur Général Délégué – Cofely Ineo
• Laurent Ridoux, Directeur technique – HP Enterprise Services
• Nacira Salvan, Responsable du pôle Architecture Sécurité – Safran
• Robert-Jan Thomassen, Directeur commercial – HP Enterprise Services
• Général Marc Watin-Augouard, Directeur du centre de recherche de l’OEGN et organisateur du FIC

 

Un dîner organisé en partenariat avec : 

 

 

 

Les dîner de la rédaction :

Qu’est-ce que c’est ?

Lire la synthèse du dernier dîner de la rédaction « Numérique & RH »

Lire le dossier Cybersécurité