SDBR News: Qu’est-ce que la cybersécurité chez CS Group*?

Thomas Girard : Aujourd’hui, l’offre de cybersécurité emploie plus de 300 personnes chez CS Group, pour un chiffre d’affaires d’environ 60 millions d’euros. Nous sommes peu connus alors que nous avons une taille significative sur le marché français. Historiquement le groupe CS était positionné sur la Cyber embarquée dans nos projets pour des systèmes critiques dans le domaine de la Défense et plus généralement du régalien. Nous en avions fait une activité dédiée, très orientée OIV et ministères pour la partie régalienne, avec une activité Audit – Passi (prestataires d'audit de la sécurité des systèmes d'information) très marquée Loi de Programmation Militaire (LPM) et des solutions souveraines pour le chiffrement, la supervision de sécurité et le durcissement de systèmes d’exploitation. En 2018, nous avons fait l’acquisition de Novidy’s, devenu CS Novidy’s, qui a complété notre portefeuille d’activité et de clients dans le domaine. Le groupe dispose aujourd’hui d’un positionnement global en cybersécurité des systèmes d’information d’entreprise et systèmes industriels, et couvre tout le spectre du conseil à l’intégration de solutions et des systèmes sécurisés jusqu’aux services managés. Le groupe se différencie également par le développement de solutions souveraines.

SDBR News : Quelles sont ces solutions souveraines ?

Thomas Girard : Nous avons des produits en propre, dont SEDUCS (Système d’Exploitation Durci CS) que nous utilisons en interne depuis 2006. SEDUCS est un système d’exploitation (OS) durci souverain multi-usages. Donc ce n’est pas une solution nouvelle chez CS puisque nous l’embarquons dans tous les systèmes critiques que nous produisons (près de 15.000 installations déployées). SEDUCS est une plateforme de génération de système d’exploitation minimal, par ajout et durci. Nous utilisons seulement les paquets nécessaires pour des applications à embarquer. Elle est durcie en fonction de tous les catalogues de durcissement de la Défense (France, OTAN, etc.), de l’ANSSI, etc. que nous appliquons automatiquement. Cela nous permet de minimiser la surface d’attaque et de garantir ainsi le Maintien en Condition de Sécurité à très long terme (supérieur à 10 ans en moyenne).

SDBR News : En matière de Soft, que voulez-vous dire par durcissement ?

Thomas Girard : Notre durcissement fait que le système va bénéficier de droits et de permissions restreintes donc, en réduisant la surface potentielle d’attaque, le pirater va être extrêmement difficile. Nous maintenons les conditions de sécurité (MCS) sur la durée avec plus de facilité car, SEDUCS ayant une distribution minimaliste, nous avons quelques dizaines de paquets à surveiller là où un système d’exploitation GNU/Linux grand public aura à surveiller des milliers de paquets. La surveillance et l’analyse d’impact sont donc bien plus aisées avec quelques paquets, en plus d’en maîtriser et d’en minimiser le coût bien sûr. SEDUCS a été créé en 2006 pour faciliter le Maintien en Condition de Sécurité (MCS) des systèmes de nos programmes de Défense. Couplé avec notre CERT** (CERT-CS), nous avons d’ailleurs signé récemment un contrat de MCS de 10 ans, qui s’appelle VASSCO pour le Ministère des Armées.

SDBR News : Quel est l’objet de VASSCO ?

Thomas Girard : VASSCO (VerticAlisation du Soutien du SCCOA)  a été confié par la Direction de la Maintenance Aéronautique du Ministère des Armées (DMAé) à un consortium mené par Thales. CS Group réalisera donc le maintien en condition opérationnelle et de sécurité de l’ensemble des moyens de communications du contrôle aérien militaire français et des centres de commandement et de contrôle (C2) associés.

SDBR News : Au final n’êtes-vous pas l’OS souverain des systèmes critiques ?

Thomas Girard : Au début, nos 15.000 déploiements et les 400 types d’OS créés l’étaient à destination de systèmes critiques : par exemple, passerelles radars X25IP pour l’armée de l’Air, les PABX pour la voix, les stations blanches, pour notre C2 de lutte antidrone, etc. Depuis 2006, c’est un déploiement colossal et la croissance ne fait qu’accélérer. Aujourd’hui, nous allons dériver cet OS vers des applications moins militaires : OIV et OSE. Nous avons signé nos premiers gros contrats avec des OIV il y a deux ans. Par exemple, nous fournissons tout le système d’information d’administration du plus gros OIV de France (5000 postes, 100 SIIV - SI d'importance vitale) : nous leur fournissons entre autres tous les postes d’administration durcis conformes à la LPM.

Nous proposons sur catalogue quatre grands types d’OS pour :

• des stations blanches dans des contextes multi-niveaux ou embarqués (produit Cleaner) ;

• des passerelles d’interconnexion entre des réseaux critiques, soit des passerelles LPM, soit des passerelles IT/OT (produit Flyover) ;

• des postes de travail multi-domaines (produit Unifyer);

• des postes d’administration (produit Performer).

Nous recevons beaucoup d’intérêt sur SEDUCS et notamment Flyover de la part de RSSI qui souhaitent en outre respecter les normes CSE de leur entreprise (pour que les administrateurs n’aient qu’un seul poste physique avec les deux environnements : usuel et d’administration).

*https://www.csgroup.eu       https://www.csgroup.eu/fr/offres-solutions/cybersecurite

**Le CERT-CS est un CERT premium d’une quinzaine de personnes qui existe depuis 2009. Il travaille avant tout pour les besoins internes de CS : vulnérabilités, analyse d’impact, remédiation.