Lors d’un dîner-débat récent, le Cercle de la Sécurité a invité différents RSSI de plusieurs grands groupes français pour revenir sur un discours qui a fait date dans la prise de conscience autour de la nécessité de la cybersécurité. Article paru dans L'Informaticien n°198 (juillet-août 2021).
Lors des Assises de la Sécurité, il y a dix ans, Patrick Pailloux, alors directeur de l’Anssi (Agence nationale de la sécurité des systèmes d’information), prononçait un discours qui reste encore dans les mémoires! Dans cette intervention très virulente, il demandait en substance aux entreprises de revenir sur les bases de la sécurité informatique et de se mettre au travail. Ce discours arrivait dans un contexte particulier après une attaque importante sur un compte stratégique français, Areva. Depuis, les choses ont-elles changé ? Les entreprises ont-elles fait le travail et mis en place les bases ou les fondamentaux d’une véritable sécurité ?
Un tournant vers une véritable prise de conscience
Pour les intervenants du débat, cet appel de Patrick Pailloux a été un moment clé dans la prise en compte de la cybersécurité et pour aller plus vers le fond du sujet. Pour eux, il est à la fois ancien mais toujours d’actualité (« De quoi on parle en 2021 : Back to fundamentals » est d’ailleurs le thème des Assises de la Sécurité qui se tiendront à Monaco du 13 au 16 octobre prochain) mais représentait une véritable injonction comme le souligne Mylène Jarossay, RSSI chez LVMH et présidente du Cesin. Gabriel de Brosses, RSSI du groupe La Poste, a mis en avant les éléments développés par Patrick Pailloux : « Des mesures élémentaires faites de choses simples mais il s’agit de bien les faire.» Il rappelle au passage que la mise en place des principales mesures prônées par le SANS Institute permettait de couvrir 80% des menaces en suivant des principes fondamentaux appliqués systématiquement.
Une situation d’urgence
Olivier Ligneul, RSSI d’EDF et ancien de l’Anssi, indique cependant que les entreprises ont progressé mais que l’on reste toujours dans une situation d’urgence. Mylène Jarossay explique : « L’échelle de temps a changé. Aujourd’hui cela se mesure en centième. Les opérations ont pris le devant. Si le curseur a beaucoup bougé, nous restons en mode combat et très opérationnel en étant sur le qui-vive en permanence.» Gabriel de Brosses acquiesce aux paroles de Mylène Jarossay et voit lui aussi le besoin de se placer dans cette notion de cyberdéfense et sur une échelle de temps raccourcie pour réagir aux attaques. « L’exploitation des attaques est très rapide. Il faut pouvoir réagir dans la première heure. Si l’attaque n’est pas bloquée vous ne ferez que constater les dégâts. Il faut gérer le temps.» Arnaud Tanguy, CSO chez Axa, met en avant quant à lui le besoin primordial de la connaissance des menaces par la Threat Intel.
Un poste désormais reconnu
Tous les intervenants ont reconnu avoir leur place dans les instances dirigeantes des entreprises qu’ils représentent, mais aussi avec des équipes structurées et des investissements qui suivent; pas forcément aussi vite que désiré. Tous pensent qu’il reste cependant beaucoup de travail à faire mais que le manque de bras se fait sentir. Arnaud Tanguy met en avant l’aspect plus métier pour éviter un langage trop différent. Le lourd travail à faire reste autour de l’obsolescence et des environnements existants pas toujours au niveau des défis d’aujourd’hui.
Le besoin d’anticiper
Olivier Ligneul sur ce point met en exergue le besoin d’anticiper et de planifier. Le CSO actuel doit être agile dans l’exécution en suivant des profils de risques mais il doit aussi donner un cap même pour l’existant pour arriver vers de la sécurité par design. Pour lui «le contexte dicte l’action », mais pour réagir rapidement le responsable de la cybersécurité doit à la fois planifier et être agile dans les réponses opérationnelles. Pour cela les équipes de cybersécurité doivent lier les connaissances techniques sur les attaques avec une connaissance des métiers et de l’activité de l’entreprise.
La nécessité de l’automatisation
Pour y parvenir, les intervenants se sont accordés sur la nécessité d’automatiser pour « industrialiser la réponse » du fait d’un ratio d’opérationnalité insuffisant, en bref le manque de ressources et du besoin de s’équiper pour une détection la plus courte possible.
Ce besoin d’automatisation provient aussi du changement dans le panorama des éléments à protéger. Mylène Jarossay indique : « Le Cloud, le shadow IT, le IaaS, le PaaS font entrer les entreprises dans une phase de transition et sont dans une phase de fragilité. Le besoin des fondamentaux n’a pas changé mais il y a plus de fondamentaux qu’avant.» Un des intervenants a souligné que le niveau d’interdépendance n’est plus du tout le même avec des systèmes élastiques et des éléments éphémères. Ces extensions rendent encore plus nécessaire le besoin d’automatiser et d’avoir une connaissance en continu de son système mais pas forcément d’empiler les outils. Cela s’accompagne d’un besoin de rigueur.
Suivre le mouvement
Face à la sophistication des attaques et à la professionnalisation des attaquants, les responsables de la sécurité doivent suivre le mouvement. Par une élévation du niveau d’exigence, l’automatisation, les personnes en charge de la sécurité doivent avoir la volonté de parvenir à recréer un déséquilibre à leur avantage. Les intervenants voient dans une coopération renforcée une piste intéressante pour y parvenir. Ils considèrent d’ailleurs quelle se réalise assez spontanément.
Un rôle qui change
Au bilan, le rôle de la personne en charge de la cybersécurité change. Moins technique qu’auparavant, le profil est davantage celui d’un stratège et d’un manager. Encore faut-il avoir les moyens et les ressources pour le faire. Tous les intervenants ont mis en avant le manque de compétences et de personnels spécialisés à la fois pour suivre « le grand écart des technologies », comme le souligne Gabriel de Brosses, ou l’évolution des métiers, comme le prévoit Arnaud Tanguy, pour apporter une vision très métier à la cybersécurité. Bref, entre la mise en place de véritables plans de carrière dans la cybersécurité, la mise en œuvre d’une coordination globale et l’accélération du changement de culture pour obtenir plus d’agilité, il faudra bien en finir avec « l’humanisme de la cyber », comme le constate Gabriel de Brosses.
Le discours de Patrick Pailloux
Vous pouvez retrouver le discours de Patrick Pailloux sur la chaîne YouTube des Assises de la Sécurité et plus simplement à cette adresse : www.youtube.com/watch?v=DFYKOTtAX6Q.