SDBR : Le CESIN** vient de publier son enquête annuelle. Que faut-il en retenir ?

Alain Bouillé* : Bien que moins médiatisées, les cyber-attaques continuent de frapper les entreprises et huit sur dix continuent d’être touchées chaque année, l’usurpation d’identité étant le mode d’attaque le plus fréquent. Cloud et IoT présentent des risques accrus avec la transformation numérique. Le recours massif au Cloud pose des problèmes de non-maîtrise en particulier pour le contrôle des accès et la chaîne de sous-traitance. Les RSSI sont moins confiants quant à la capacité de leur entreprise à faire face aux cyber-risques (51% sont confiants, -12 points par rapport à l’année dernière) et moins d’un sur deux considère que son entreprise est préparée à gérer une cyber-attaque de grande ampleur. Paradoxalement, seule une entreprise sur dix a mis en place un programme de cyber-résilience...

Quel bilan, en termes de menaces, faites-vous sur 2018 ?

2018 a été moins intense que 2017 pour les RSSI, même si on peut imaginer que cela a été un peu différent pour les RSSI de Facebook ou d’Exactis qui ont eu à gérer des vols massifs de données. Nous observons avec attention ces attaques réussies qui sont une conséquence des phénomènes de concentration de ces données. Ce sont, pour l’instant, des phénomènes qui n’inquiètent pas trop les entreprises car il s’agit de Facebook ou de données personnelles sur des sites marchands. C’est peut-être un peu réducteur, car la digitalisation entrainant une concentration des données des entreprises dans le Cloud chez une poignée de fournisseurs,  le risque est grand de voir ces solutions Clouds attaqués car il n’y a pas de forteresses imprenables. Sans prédire l’apocalypse, on peut s’interroger, au regard de l’actualité, sur le bienfondé à concentrer toutes les données de toutes les grandes entreprises mondiales chez un nombre infime d’acteurs. En 2018, nous avons également retenu les enseignements de la propagation du virus NotPetya : pendant quelques années nous avons vécu le phénomène des attaques ciblées (avec les APT) alors qu’avec NotPetya nous sommes en présence de dégâts collatéraux subis par hasard. St Gobain n’était pas particulièrement visé par l’attaque et a été infecté par ricochet, à cause d’une de ses filiales en Ukraine, pays qui venait de subir une attaque massive de ransomware.

Même par ricochet, les dégâts ont été considérables…

Oui, nous sommes en présence d’attaques de destruction massive et il faut constater que, chez St Gobain, rien n’a marché comme prévu en termes de continuité et de résilience. Tous les plans de continuité, les plans de secours informatiques, les PRA, etc., élaborés depuis de nombreuses années, se révèlent inopérants dans ce type d’attaque : lorsque des milliers de machines sont détruites et que, pour redémarrer, il faut les reformater manuellement une par une, ça prend du temps ! Et aucun plan de secours actuel ne sait résoudre cela. Aramco ou Areva ont eu, par le passé, à vivre cette mésaventure et ont mis des mois à nettoyer leurs infrastructures de SI, mais il s’agissait d’attaques ciblées. Avec St Gobain, le phénomène nouveau est que ce ne sont plus des attaques ciblées.

Ne pensez-vous pas que la cyber-résilience, dont on parle beaucoup, soit encore balbutiante ?

C’était la thématique du congrès du CESIN qui s’est tenu en décembre 2018, thématique qui avait été proposée dès la fin 2017 avant que ce sujet ne soit véritablement pris en compte par les entreprises. C’est en effet un sujet que les RSSI doivent vraiment prendre en compte, indépendamment de tout effet de mode. Aujourd’hui, les plans de secours informatiques (PSI) sophistiqués, qui consistent à copier l’ensemble des opérations de l’entreprise dans un back-up situé à 50 kms, est un excellent vecteur de propagation de virus de type NotPetya qui va se propager sur le site principal mais aussi sur le site de secours. Plus les PSI sont sophistiqués et plus l’entreprise va être sensible aux virus de destruction massive. Il faut donc que les RSSI et les DSI réfléchissent à savoir comment aborder un sujet aussi complexe et déstabilisant.

Vous jetez un pavé dans le petit monde des consultants qui proposent de la cyber-résilience à longueur de publicité, non ?

Il est vrai qu’il y a beaucoup de fournisseurs de services mais aussi de solutions qui se sont engouffrés dans la brèche pour proposer  leur aide sur ce sujet. Je pense qu’il faut aborder le sujet de manière pragmatique sans forcément s’embarquer dans des usines à gaz Regardez le phénomène du SOC, qui est le premier rempart à la cyber résilience car il permet de voir ce qui se passe dans l’entreprise pour être plus efficace en mode réaction quand le mal est entré malgré les nombreuses couches de protection ; toutes les grandes entreprises ont maintenant un SOC. Questions : le SOC est-il cyber-résilient lorsque le pire vous tombe dessus ? Avez-vous organisé votre SOC pour qu’il ne soit pas la première brique touchée en cas d’infection générale ? Nous ne disons pas qu’il faut construire un énième data center (pour les plus riches) en dispositif de secours, mais nous disons qu’il faut regarder dans le détail quels sont vraiment les joyaux de l’entreprise. L’active directory (AD) est la première cible d’une attaque de type Petya : un AD détruit, non reconstructible avec des sauvegardes classiques, signifie l’arrêt prolongé de l’informatique de l’entreprise ! Comment, en cas d’attaque, reconstruire un AD sain à partir d’une souche saine et non à partir de sauvegardes déjà infectées ? Il faut se demander quels sont les bouts de SI absolument nécessaires en cas de redémarrage, suite à une attaque généralisée, pour mettre en place un process garantissant absolument l’intégrité de la sauvegarde adéquate.   

Pourtant, les grands éditeurs ne vendent-ils pas des solutions qui protègent de tout ?

Les grands éditeurs présentent des solutions sérieuses bien sûr, mais il faut parfois s’intéresser aussi aux plus petits, les startups qui offrent des solutions souvent plus agiles et plus ciblées sur des sujets où les grands ne vont pas. L’exemple de l’active directory est assez révélateur des trous dans la raquette des grands éditeurs : la start-up Alsid s’y est intéressé avec succès ; les progrès technologiques viennent souvent des start-up… On l’a vu avec le shadow IT, dont la connaissance par les RSSI a beaucoup progressé grâce à des start-up et des PME qui ensuite ont toutes étaient rachetées par de grands éditeurs… L’enjeu pour les RSSI membres du CESIN n’est pas d’attendre que les grands éditeurs viennent nous proposer, 5 ans après, les solutions qu’ils ont rachetées mais plutôt d’aller « chiner » pour faire de la veille technologique. Le RSSI ne doit pas attendre mais être agile. D’ailleurs, le CESIN compte mener en 2019 quelques initiatives visibles aux start-up innovantes.

 La révolution digitale, en France, est-elle finie ou ne fait-elle que commencer ?

Je pense qu’elle n’en est qu’à son début. Il y a eu une première vague, qui a consisté pour l’ensemble des acteurs à appliquer partout plus ou moins les mêmes recettes : « je suis digital donc je suis dans le Cloud, si je suis dans le Cloud je suis chez Microsoft, Amazon ou Google, je suis moderne car j’ai ma messagerie dans Office 365, etc. ». Le marché français a très peu bénéficié de cette vague, qui a énormément profité aux GAFAM. Ceux qui ont signé ces contrats très prometteurs en termes de ROI commencent à déchanter. Des études très sérieuses démontrent que finalement le Cloud n’est pas moins cher, que le risque d’enfermement est bel et bien avéré et que la réversibilité pour certaines solutions SaaS va en effet être compliquée.  De plus, la digitalisation va se heurter aux problématiques évoquées sur la résilience : lorsque tout est informatisé, du sol au plafond, et que tout est externalisé, il vaut mieux ne pas avoir d’incident d’accès à Internet, sinon vous ne pouvez même plus envoyer un mail à votre voisin de bureau… Donc, après l’engouement et les recettes faciles, nous allons sûrement observer un mouvement de réflexion sur les vrais sujets de digitalisation.

Y a t-il pénurie de RSSI aujourd’hui ?

Au travers des 480 membres du CESIN, nous observons que beaucoup d’entreprises ont créé le poste de RSSI depuis 4 ans. Pour pourvoir ces postes nouveaux, les employeurs vont souvent chercher dans les équipes SSI des grandes entreprises ayant beaucoup d’ingénieurs sécurité dans leurs équipes qui peuvent évoluer vers des postes de RSSI d’entreprises plus petites. Pour les responsables, la filière s’autoalimente. Le problème est dans les grandes entreprises, pour continuer à pourvoir au remplacement des SSI qui partent à l’extérieur. Il y a une concurrence entre les grandes entreprises, les cabinets et l’Etat, même si celui-ci n’est pas toujours au niveau des prix du marché. A la sortie des écoles d’ingénieurs ayant reçu une formation sécurité, les étudiants ont le choix. Par ailleurs, on voit apparaitre des reconversions d’ingénieurs de production, d’ingénieurs réseaux ou systèmes, qui suivent des formations de reconversion en SSI et viennent combler la pénurie de profils. Mais au rythme de la digitalisation, il va y avoir pénurie de ressources humaines. Il faut bien entendu multiplier les cursus de formations initiales en SSI mais aussi que dans les formations initiales non spécialisées, du type écoles de commerce, les futurs dirigeants d’entreprises reçoivent une formation aux problèmes de la cybersécurité : ce n’est pas le cas actuellement. A nous, au CESIN, de peut-être participer à convaincre ces écoles et les futurs dirigeants.

*Alain Bouillé est directeur cybersécurité du groupe Caisse des Dépôts
** www.cesin.fr On peut y lire l’intégralité des baromètres Opinion Way / CESIN