Affiches Parisiennes : Quel est le rôle du DSI dans la gestion des cyber-risques ?

Pierre Delort : Tout d'abord, le terme cyber-risque me semble en effet plus adapté que celui de cybersécurité, car la sécurité induit une notion binaire (être « en sécurité »… ou pas) alors que le risque traduit un arbitrage entre opération et danger. Le DSI doit constamment arbitrer entre vulnérabilité et fonctionnement de l'entreprise, de ce fait avec une approche « risques ».

Son rôle premier est la prévention et la pédagogie, envers ses équipes et toute l'entreprise.

Ensuite, il a un travail de détection à assumer pour savoir le plus vite possible s'il se passe quelque chose d'inquiétant dans le système d'information. Ceci est un vrai sujet car le délai moyen de détection d'une intrusion est de plusieurs mois.

Nous pouvons également citer le blocage des intrusions et la déclaration aux services de police en cas d'attaque, avec dépôt de plainte pour dégager la responsabilité de l'entreprise. Par ailleurs, il existe également des obligations de déclaration à l'Anssi pour les OIV (Opérateur d'importance vitale).

Enfin, après événement, il faut souvent remettre en ordre les systèmes pour faire sûrement repartir l'activité de l'entreprise.

A. P. : Quels types d'attaques redoutez-vous le plus ?

P. D. : Le plus redoutable est une attaque interne car le salarié ou le prestataire sait généralement comment camoufler les faits comme Edward Snowden prestataire travaillant à la NSA. Aujourd'hui, il existe des logiciels pour surveiller spécifiquement les collaborateurs disposant de droits étendus sur les systèmes d'information.

« On missionne des hackers pour essayer de rentrer dans nos systèmes afin d'en contrôler leur vulnérabilité »

A. P. : Quels outils et programme le DSI doit-il mettre en place pour parer ces attaques ?

P. D. : Il y a quantité d'outils, mais il faut d'abord instaurer une segmentation entre les réseaux interne et externe, avec un contrôle strict des flux. On peut ainsi mettre en place une zone démilitarisée, appelée « DMZ », qui permet de ne pas mettre en relation directe avec internet, les serveurs ou les postes de travail de l'entreprise. La DMZ filtre les flux, applique les antivirus… Il existe aussi des outils plus sophistiqués.

Pour la prévention, le DSI utilise des « pen test », des tests de pénétration dans les réseaux.

Pour la détection, les grandes entreprises utilisent des SIEM (Security information management system) qui sont des logiciels souvent complexes et onéreux qui détectent les intrusions. Elles peuvent aussi faire appel à un SOC (Security operation center) interne ou externe : des équipes d'informaticiens qui surveillent en permanence le réseau et qui veillent à la sécurité du système. Leur métier est de détecter au plus vite s'il se passe quelque chose de suspect sur le réseau et de mettre en œuvre le plan d'urgence adéquat.

Les SIEM peuvent utiliser les technologies du Big data, ceci dit la vigilance des équipes est cruciale.

Enfin, ils peuvent aussi mettre en place des pièges appelés « honey pots » - pots de miel - faits pour attirer les cybercriminels et faciliter la détection d'intrusion.

A. P. : Comment démontrer qu'il les met bien en œuvre ?

P. D. : La préparation à la gestion de crise est très importante. Le plus pratique et le plus efficace pour prouver que son système de protection fonctionne est donc de mettre en place des tests et différents exercices de simulation de crise, comme pour les incendies…

A. P. : Quels mécanismes de contrôle instaurer ?

P. D. : On utilise les fameux « pen tests » où l'on missionne des hackers pour essayer de rentrer dans nos systèmes. Lorsqu'ils y arrivent, ils nous expliquent comment, et de manière très pragmatique nous fermons les vulnérabilités révélées. Parfois, on demande à des personnes de tenter de s'introduire, non pas dans nos systèmes, mais dans nos locaux, court-circuitant ainsi la DMZ…

Chez Réseau ferré de France (RFF), j'avais mis en place un plan d'urgence que l'on testait tous les six mois. Il permettait, en cas de gros problèmes dans les salles machines, de faire repartir l'activité sous 48 heures sur le site de secours. Parmi les tâches les plus importantes, il fallait régler les fournisseurs ainsi que le personnel, et donc un gestionnaire et une personne des RH participaient activement à l'exercice sur le site de secours.

A. P. : Quelle est la première chose à faire en cas d'attaque ?

P. D. : Il faut d'abord réaliser qu'il s'agit d'une attaque, ce qui n'est pas si évident ! Il y a ce qu'on appelle des signaux faibles, comme des performances inhabituelles ou une application qui ne fonctionne pas de manière conforme et qui peuvent indiquer un problème beaucoup plus grave. Ceci dit, les fausses alertes peuvent être fréquentes et l'ouverture d'un mail « malicieux » peut être dramatique ; certains membres de l'association ont été victimes d'un ransomware (chiffrement de partie du SI et remise de la clef de déchiffrement contre paiement), ce qui est un vrai sujet. Après, il faut mettre en œuvre son plan de crise.

A. P. : Quelle part de budget une grande entreprise doit-elle allouer à la lutte contre la cybercriminalité ?

P. D. : Je pense que ça doit représenter entre 1 à 3 % du budget de la Direction des systèmes d'information, mais ceci est extrêmement variable, en fonction de l'activité de l'entreprise. Évidemment, les acteurs de défense, les OIV, les sociétés qui possèdent beaucoup de propriété intellectuelle, de données personnelles… investiront davantage.