Stratégie

Cyberdéfense : la maturité progresse dans les grandes organisations françaises

Vincent Riou, Président du Club R2GS : « Le Club R2GS travaille sur les grands défis du domaine de la cyberdéfense »

Pour la 10ème édition de ses Assises, le Club R2GS a reconduit son étude sur la cyberdéfense dans les grandes organisations françaises. Les résultats témoignent d'une maturité en hausse, mais de nombreux enjeux restent à adresser, face à des réseaux d'attaquants structurés.

PublicitéLe 11 décembre 2019, le Club R2GS (Recherche et Réflexion en Gestion opérationnelle de la Sécurité) a organisé la 10ème édition des Assises du domaine Cyber Défense et SIEM, à Paris Porte de Versailles. A cette occasion, Gérard Gaudin, Président d'honneur du club, a présenté les résultats de la troisième enquête sur la cyberdéfense en France, réalisée en 2019. Celle-ci a été réalisée auprès d'une trentaine de membres du club, essentiellement des OIV (opérateurs d'importance vitale). Comme l'explique Gérard Gaudin, elle n'a pas vocation à offrir une vision d'ensemble de la cyberdéfense en France, mais plutôt un aperçu qualitatif, en se basant sur la situation dans les organismes les plus sensibles.

Depuis la première édition de l'étude en 2012, les résultats témoignent d'une nette progression en termes de maturité des grandes organisations françaises. Si en 2012, 40% des répondants n'avaient aucune démarche de SOC (Security Operations Center), en 2019 aucun n'est encore à ce stade. 40% possèdent à minima un SOC basique, mis en place avant tout pour assurer la conformité aux obligations réglementaires. Une proportion équivalente de répondants se situent au niveau 2 de maturité : leur organisation a engagé une réflexion sur les risques, et les SOC, CERT (Computer Emergency Response Team) et autres actions mises en place sont évaluées sur leur efficacité. Enfin, 20% des sondés ont un SOC de niveau 3, avec une posture de cyberdéfense étendue à toute l'organisation et des directeurs de la cybersécurité qui interviennent régulièrement auprès du comité exécutif. En 2019, aucun n'avait atteint ce stade. « En 2019, plus personne n'évacue le sujet de la cyberdéfense, qui est devenue un sujet sérieux pour 60% des acteurs », souligne Gérard Gaudin.

Des démarches appuyées par les réglementations

Autre signe de la maturité croissante des organisations, seulement 15% des répondants à l'enquête 2019 du Club n'ont aucune politique de réponse aux incidents de cybersécurité. 40% disposent d'une telle politique, mais sans procédures détaillées, tandis que 30% ont mis en oeuvre des procédures génériques. Enfin, 15% ont détaillé ces procédures jusqu'à disposer de fiches-réflexe pour différents types d'incidents.

Parmi les grandes tendances observées par le Club R2GS, les réglementations contribuent de façon importante à donner du poids aux démarches SOC et CERT, notamment la Loi de Programmation Militaire (LPM) pour 2014-2019 et les référentiels sectoriels. L'influence du RGPD est moindre, mais tend également à augmenter. Par ailleurs, de plus en plus d'organisations recourent à des prestataires extérieurs pour la fonction de détection (les SOC), en conservant néanmoins des compétences en interne.

Enfin, en termes de solutions, « les SOC sont de véritables systèmes d'information en eux-mêmes », souligne Gérard Gaudin. Tous les sondés sont ainsi équipés d'outils d'archivage centralisés et d'outils SIEM (Security Information and Event Management), 90% ont des solutions de gestion des tickets et de découverte d'équipements. 40% disposent également d'outils pour scanner les vulnérabilités, mais un quart seulement ont mis en oeuvre des plates-formes de Threat Intelligence. Le Big Data et les solutions basées sur le Machine Learning sont encore peu répandus, 20% seulement du panel possédant ce type de technologies.

PublicitéUne culture de la cyberdéfense chez Enedis

Un peu plus tard dans la matinée, Bernard Cardebat, Directeur de la cybersécurité chez Enedis, est intervenu pour illustrer de façon concrète la montée en puissance d'une grande organisation sur ces enjeux. Filiale d'EDF, l'entreprise assure la distribution d'électricité pour plus de 36 millions de clients en France, ainsi que l'entretien des réseaux électriques, effectué par des équipes de terrain qui interviennent quelles que soient les conditions. À la fois opérateur de données énergétiques, fournisseur de services essentiels et acteur de la transition énergétique, l'organisation évolue dans un écosystème étendu, exigeant un niveau de confiance élevé. Son rôle sociétal et son envergure nationale l'exposent à tous types d'attaques.

« Nous sommes pilotés par l'évolution de la menace et par les risques », a expliqué le directeur cybersécurité, qui reporte directement au comité exécutif. « Nous devons apprendre à connaître, mesurer, identifier et maîtriser ces risques, sans être frileux ni kamikazes. » Pour cela, l'entreprise est passée en quelques années d'une culture axée sur la sécurité du système d'information à la cyberdéfense. « Cette culture irrigue toute l'organisation, jusqu'à l'urbanisation des systèmes », témoigne Bernard Cardebat. « Nous travaillons sur la notion d'ultime recours : il ne s'agit pas seulement de pouvoir restaurer un système, mais de pouvoir l'abandonner et le reconstruire si nécessaire, ce qui est très différent. »

Chez Enedis, l'humain est le maillon fort. « Si l'utilisateur fait une erreur, c'est une victime. Notre rôle est de l'accompagner », souligne Bernard Cardebat. Cela passe par de nombreuses actions, allant de la professionnalisation des équipes de cyberdéfense à la sensibilisation opportuniste, en fonction des alertes et des événements qui surviennent. Pour pallier le manque de compétences sur le marché, l'entreprise identifie parmi ses collaborateurs des profils non issus de la cybersécurité, mais intéressés par le domaine et dotés des aptitudes nécessaires, et les envoie en formation longue pour accompagner leur reconversion. Enedis pousse aussi des informations de sécurité à l'ensemble des utilisateurs, et aide ces derniers à être des lanceurs d'alerte, notamment à travers un bouton directement inclus dans les messageries. Cette stratégie commence à porter ses fruits : « régulièrement, des membres du comité exécutif demandent la température du Patch Tuesday », relate Bernard Cardebat.

A propos du Club R2GS

Fondé fin 2008 avec le soutien de l'ANSSI, le Club R2GS (Recherche et Réflexion en Gestion opérationnelle de la Sécurité) rassemble plus de 300 adhérents, qui représentent 80 grandes organisations françaises. Ses objectifs sont de décloisonner le domaine de la cyberdéfense, en favorisant les échanges et le partage d'expérience, notamment autour de la mise en place de systèmes SIEM. Le club travaille également à la mise en oeuvre d'un cadre de référence compatible avec les référentiels ITIL et ISO 2700x, ainsi qu'à l'élaboration d'un modèle et d'indicateurs pour les SOC, des travaux formalisés dans le standard européen ETSI ISI-007. Enfin, il conduit régulièrement des études de maturité sur la cyberdéfense.

Le club est actuellement présidé par Vincent Riou, également directeur associé de la société de conseil CEIS et DG de l'organisme de formation Bluecyforce. Celui-ci succède à Gérard Gaudin, désormais président d'honneur. Le club fédère cinq groupes de travail, dont un spécialement consacré aux utilisateurs. Courant 2020, sa fusion avec le club PDIS est prévue.

Sur le même sujet :
- 13 Décembre 2019 : Rendre le SOC plus efficace : des clefs pour améliorer la cyberdéfense.
- La CIO.expériences La cybersécurité à l'heure du Zéro Trust : protéger l'entreprise étendue avec les nouvelles approches organisée par CIO aura lieu le 24 Mars 2020 à Paris.