Focus sur le Cercle Cybersécurité CIGREF

cybercercle-cigrefDans le prolongement de son engagement et de ses actions pour la cybersécurité des entreprises, le  CIGREF vient de créer un « Cercle Cybersécurité ». A l’occasion du lancement de ce Cercle, le CIGREF a invité comme premier intervenant Guillaume Poupard, Directeur général de l’ANSSI, qui a expliquera pourquoi il faut considérer la cybersécurité comme un « combat collectif » !

Mieux comprendre la cybersécurité !

JPMazoyerJean-Paul Mazoyer, Président de ce nouveau Cercle et Administrateur du CIGREF, commence par présenter les motivations à l’origine de cette création. Pour le CIGREF, la transformation numérique est un enjeu économique pour les entreprises comme il l’explique dans son ouvrage « Entreprise 2020, enjeux et défis ». Or, « transformation numérique et Cybersécurité sont indissociables […] ce qui touche à la mobilité, l’accès de l’informatique en service, etc. sont en tant que tel porteurs de menaces […] La transformation digitale est une accélération, tout ce que l’on fait dans le cadre de cette transformation impacte considérablement la sécurité. L’interpénétration des réseaux, la fourniture d’information et la connexion entre nos systèmes et ceux de nos fournisseurs est beaucoup plus vulnérable que par le passé ».

Il explique également que « la cybersécurité est désormais un véritable sujet de gouvernance pour l’entreprise dans son ensemble, y compris depuis le Conseil d’administration. D’ailleurs, de plus en plus de dirigeants et de comités d’entreprises sont demandeurs d’interventions pour s’informer sur la cybersécurité qui ne relève plus seulement des RSSI. La Direction générale doit s’en saisir et pour cela, les DSI doivent être capables de convaincre la Direction ! ».

L’augmentation des menaces liées au cybercrime

Le Président du Cercle Cybersécurité du CIGREF évoque le nouveau contexte de cybercrime : « Nous sommes confrontés à une augmentation des menaces, face à un crime totalement organisé, comme de véritables filières mafieuses. L’année dernière, le recèle de ce cybercrime a rapporté plus que celui de la drogue, ce qui a représenté quelques 250 milliards de dollars au niveau mondial. Concrètement, on constate cinq fois plus d’attaques depuis un an, ce qui montre l’ampleur prise par la Cybersécurité ».

Les maitres mots de la Cybersécurité

Pour Jean-Paul Mazoyer, la cybersécurité repose sur trois maitres-mots : la discrétion, le professionnalisme et l’humilité.

La discrétion, parce que l’on ne fait pas de grands discours sur la façon dont on se protège, mais on peut quand même évoquer 4 domaines de protection :

  • Premier domaine, l’évitement du risque, le premier étant que les salariés soient prudents lorsqu’ils utilisent le système d’information de l’entreprise. « Le plus risque aujourd’hui est ce que l’on appelle l’ingénierie sociale, à travers une complicité involontaire des collaborateurs de l’entreprise. L’éviter passe par une prise de conscience, une sensibilisation de l’ensemble du personnel ».
  • Second domaine, la protection mise  en place autour des systèmes et des réseaux. On doit cependant savoir que ces protections sont des « lignes Maginot ». Certes, il faut le faire, mais celui qui dirait que son système est totalement protégé et qu’il ne sera pas attaqué, est un incompétent !
  • Troisième domaine, la surveillance et la détection. Cela consiste à scruter ce qui se passe à travers les logs. Ce principe n’est pas encore assez utilisé par les entreprises, il est pourtant indispensable.
  • Quatrième domaine, la réparation rapide. C’est la capacité, en cas d’attaque à faire face et à reconstruire très rapidement le système d’information.

Un Cercle CIGREF pour la cybersécurité

logo-cercle-cybersecurite-cigrefSi le rôle de l’Etat est de veiller, par l’intermédiaire de la Loi, à ce que les administrations et les entreprises sensibles ne soient pas trop vulnérables aux cybermenaces, le CIGREF quant à lui souhaite faire en sorte que les entreprises soient sensibilisées et informées pour mieux se protéger. Pour Jean-Paul Mazoyer, « il n’y aucune entreprise en France (voire dans le monde) qui soit capable de se protéger seule. Imaginer que l’on est capable de faire face à de telles menaces est absolument illusoire ».

Il explique comment le CIGREF veut mettre ses trois métiers : Intelligence, Influence et Appartenance, au service de la cybersécurité afin de permettre aux DSI d’apporter les meilleures réponses aux dirigeants des entreprises.

  • L’Intelligence, pour optimiser la compréhension de ces sujets grâce à des rencontres avec les autorités comme l’ANSSI, le ministère de la défense… Des rencontres avec des experts, des partenaires.
  • L’influence, celle vis-à-vis de nos Directions générales et des autorités. Elles ont besoin d’avoir en face d’elles des entités dont le CIGREF fait partie, pour leur dire ce qui est possible, applicable. Une certaine méconnaissance de l’entreprise peut faire que des propositions d’application de la loi s’avèrent compliquées, ou engendrer des couts considérables.
  • L’appartenance pour offrir un cadre où évoquer ces sujets sensibles de cybersécurité, permettre des échanges d’expériences afin de tous monter en compétence.

En conclusion, le Président du Cercle évoque le souhait du CIGREF de voir la cybersécurité reconnue cause nationale.

P-BuffardPascal Buffard, Président du CIGREF, rappelle les actions menées depuis des années dans le domaine de la sécurité et ses contributions dans ce domaine aux côtés des pouvoirs publics comme la participation du CIGREF au groupe de travail 33 sur la Cybersécurité, à des travaux au sein de l’OCDE sur la révision des lignes directrices pour la sécurité des systèmes d’information, ainsi que des interventions au FIC (Forum International de la Cybersécurité) ainsi que dans beaucoup d’autres circonstances.

Il évoque à son tour la très forte volonté du CIGREF d’être cette interface de choix pour chacun des dirigeants membres de ce Cercle, et confirme que la collaboration entre les dirigeants et les pouvoirs publics est de plus en plus incontournable.

La cybersécurité est un combat collectif

G-PoupardC’est le sens qu’a voulu donner Guillaume Poupard, Directeur général de l’ANSSI, à son intervention. Il commence par préciser la cybersécurité n’est plus un sujet de spécialistes. « Il est fini le temps ou quelques experts pouvaient traiter la sécurité de ce que l’on appelait « les systèmes d’information ». Aujourd’hui, la cybersécurité est un combat collectif. Collectif entre les pouvoirs publics, ce qui implique un lien très fort avec les industriels qui peuvent apporter des solutions. Egalement avec toutes les personnes qui ont besoin de se sécuriser. C’est une démarche collective qui doit être engagée, poursuivie de manière à se défendre collectivement face à une menace qui n’a jamais été importante ».

Trois grands types de menaces à prendre en compte

Le Directeur général de l’ANSSI précise les trois grands types de menaces auxquels sont confrontés citoyens et entreprises :

La cybermalveillance : elle peut toucher absolument n’importe qui : citoyens, PME… On voit des PME disparaitre parce qu’elles se sont fait volé soit leur patrimoine scientifique et technique, soit leur patrimoine commercial. Il y a également beaucoup de citoyens en plein désarroi qui cherchent de l’aide et ont parfois du mal à en trouver parce que c’est compliqué. Ils peuvent être victime de vol d’identité, etc. On ne doit pas s’y habituer, il faut clairement lutter contre.

Le renseignement : ce n’est plus une menace, c’est une réalité. C’est parfois très grave, y compris dans certains cas de souveraineté nationale. Alors oui, il y a des attaquants, oui, ils sont motivés, oui ils sont compétents et de plus en plus organisés. Si certaines attaques ne sont pas forcément dangereuses en termes de cybersécurité, comme des défacements de sites non protégés… C’est grave malgré tout et pris avec beaucoup de sérieux parce qu’en terme d’image c’est redoutable.

Le sabotage : ce sont des attaques qui cherchent à entrer dans le système industriel notamment pour le détruire, avec toutes les atteintes possibles aux personnes et aux biens. On peut imaginer des tas de scénarios.

Comment réagir en termes de cybersécurité ?

La réaction française, parce que tous les pays n’ont pas la même position, est de dire qu’il faut légiférer, pour gagner du temps. C’est notamment le sens de la Loi de Programmation Militaire : comment aller vite, particulièrement en cas de crise majeure.

On souhaite aussi d’associer des opérateurs d’importance vitale afin de mettre en œuvre quelque chose d’équilibré et efficace. L’Etat souhaite agir collectivement et perdre le moins de temps possible pour une défense collective efficace. Nous sommes le premier pays au monde à faire cela.

La loi demande à l’entreprise de notifier ses incidents à l’ANSSI. L’objectif est  qu’elle puisse vérifier que ces attaques sont prises au bon niveau. Les plus grosses attaques que l’on a eu à traiter ont commencé par des détails insignifiants. Ensuite, on cherche s’il n’y a pas d’autres victimes. Par la spécialisation des attaquants, par la difficulté qu’il y a à réinventer des outils d’attaque, on observe que les attaques ne se focalisent pas sur une seule victime, elles se font généralement par domaine.

Dans le prolongement de cette Loi de Programmation Militaire, on accorde une grande importance à la nécessité d’avoir des prestataires de service qualifiés. C’est le rôle de l’Etat d’identifier les bons acteurs. Un bon acteur est quelqu’un qui est compétent et de confiance. Or, pour le client, identifier un prestataire qui remplisse ces deux critères, c’est compliqué. On étend ce dispositif à des prestataires de détection d’incidents. Nous avons aussi la volonté d’étendre ce principe à un cloud de confiance. Pour faire un cloud de confiance, il n’est pas nécessaire d’être un géant américain. Des entreprises plus petites sont capables de faire de très bonnes choses, avec la possibilité de faire émerger en Europe des acteurs importants. On appelle de nos vœux une véritable industrie numérique européenne.

C’est dans cet objectif que l’on a défini un « Label France Cybersécurité », afin de notifier le fait qu’il y a de nombreux produits de qualité en France !

____________

Cet article s’appuie sur les notes prises pendant cet événement avec tous les risques d’interprétation que cela induit, il n’engage pas les personnes citées.

Ligne

Catégories
0 Comments
0 Pings & Trackbacks

Laisser un commentaire