Stratégie

Les ministères sociaux et la Société Générale IBFS face aux cybermenaces

Les ministères sociaux et la Société Générale IBFS face aux cybermenaces
Philippe Loudenot des ministères sociaux, à gauche, et Stéphane Nappo, Société Générale IBFS, à droite, débattent des nouvelles menaces et de leur impact.
Retrouvez cet article dans le CIO FOCUS n°150 !
Cybersécurité : nouvelles menaces, nouvelles solutions

Cybersécurité : nouvelles menaces, nouvelles solutions

Les RSSI réagissent-ils aussi vite que les hackers ? Cette question est posée. Et les participants à la conférence CIO du 21 Novembre 2017 y ont répondu en présentant les meilleures pratiques.Philippe Loudenot (Fonctionnaire de Sécurité des Systèmes d'Information, Ministères Sociaux), Stéphane...

Découvrir

CIO a organisé une matinée stratégique, «Cybersécurité : nouvelles menaces, nouvelles solutions », le 21 novembre 2017 avec, sur la première table-ronde, les témoignages des Ministères sociaux et de la Société Générale IBFS.

PublicitéLa première table-ronde de la matinée «Cybersécurité : nouvelles menaces, nouvelles solutions » organisée par CIO le 21 novembre 2017 réunissait deux responsables cybersécurité de haut niveau, appartenant à deux univers différents, l'un dans le public, l'autre dans le privé et à l'international. Le premier, Philippe Loudenot, est précisément  Fonctionnaire de Sécurité des Systèmes d'Information, aux Ministères Sociaux, donc FSSI. Les Ministères Sociaux comprennent : l'éducation nationale, le travail, la santé, la jeunesse et les sports. Philippe Loudenot a également sous sa responsabilité, un ensemble d'organismes qui dépendent de ces ministères : Pôle Emploi, CNAM, ACCOS, Epad, hôpitaux et CHU. L'étendue du poste est impressionnante. Son titulaire a occupé les mêmes fonctions à Matignon, dans son poste actuel, il dépend lui-même du Haut Fonctionnaire de Défense du Ministère, c'est à dire du Secrétaire Général de ces ministères, pas de la DSI.

Stéphane Nappo, lui, est Global Chief Information Security Officer & Board Advisor, à la Société Générale IBFS. C'est-à-dire la banque de détail à l'international et les services financiers, soit une quarantaine  de banques, réparties  sur 3 zones géographiques : europe, russie, afrique, avec de la location de flottes, des prêts aux entreprises et de l'assurance. Donc, protéger la  confiance des clients et les opérations.

Quelles sont les grandes menaces en 2017 ? Philippe Loudenot estime qu'au lieu de grands évènements, il retient que nous restons fragiles dans le domaine de la santé sur les crypto virus. Aujourd'hui, un manque de prise en compte par les directions constitue la plus grande menace,  c'est le manque de crise en compte par les directions, un sujet que Gérôme Billois a soulevé par ailleurs. Stéphane Nappo dresse le même constat, la menace est transverse, surtout elle ne se caractérise pas forcément par sa nouveauté,  plutôt par sa fréquence et son impact, elle est plus visible et plus dévastatrice.

« Le meilleur anti-virus c'est quand même le cerveau humain »

L'IA dont on parle tant est-elle utilisée ? Pour Philippe Loudenot, « ce n'est pas l'IA qui est utilisée mais la bêtise naturelle de l'humain. Le meilleur anti-virus c'est quand même le cerveau ce qui suppose, d'une, d'en avoir un, et deux, de savoir s'en servir. De temps en temps, nous avons par exemple un cadre qui vous dit : « j'ai cliqué sur un mail en italien mais ne je ne comprends pas cette langue ».  Il pense qu'en cliquant, il va mieux parler italien, en fait, en cliquant il a pourri tout un système, toute son organisation » !

Pour Stéphane Nappo, les cyber-technologies ont trois visages. C'est d'abord le visage du progrès, c'est formidable pour développer les nouveaux services, pour que vous ayez une banque  dans la poche et qu'on la sécurise. « C'est aussi le visage de la weaponization, l'armement, ces technologies servant à nous attaquer et comme  elles rapportent beaucoup d'argent aux pirates, on se bat dans une lutte  asymétrique,  pour les pirates c'est un moyen de gagner des millions d'euros, pour nous c'est un moyen d'économiser de l'argent. Et de protéger la confiance de nos clients. Fort heureusement le troisième visage dans ce triptyque c'est la défense,  il faut lutter à armes égales et l'IA est le moyen de ne plus courir et donc d'avancer à la même vitesse que le pirate et d'agir clairement avec des robots face à des gens qui utilisent des robots ».

PublicitéLes cybercriminels achètent-ils sur Internet ? Sur son secteur, Philippe Loudenot ne l'a pas constaté aujourd'hui. « Je vais citer ce qui se fait aux ministères sociaux, la mise en place non pas d'un SOC mais d'un SOA, à quelques personnes nous  récupérions les informations pour appuyer les petites structures. On a trop tendance à confier la sécurité aux DSI, je ne vais pas me faire des amis dans la salle, mais cela peut s'avérer  aussi dangereux que de confier un rasoir à un singe. Dans le domaine  de la santé, les infractions entrent pour la plupart par le matériel bio médical, par les matériels d'infrastructures, par  la gestion énergétique ou de fluide. Or la DSI ne voit que le matériel IT ou l'informatique de gestion. Quand on ne prend pas la sécurité numérique dans son ensemble, on se prépare à des jours qui seront grinçants ».

« Il faut surveiller le clean business »

Stéphane Nappo explique que parmi les tentatives qu'on peut observer à l'international, pour les services financiers, on voit que les hackers ont achevé avec succès leur transformation digitale. « Ils font du cloud, on peut acheter un DDOS pour 30 dollars, on voit également des crypto virus qui se revendent  à l'unité ou par licence et je voudrais attirer l'attention de tous ici, les security manager  doivent partager plus d'informations, dans le respect de notre devoir de réserve, les pirates s'orientent vers un clean busines. Ils souhaitent  comme l'a dit Gérôme Billois, prendre notre information pour la revendre ensuite, à vos enfants ou à des gens qui ne sont pas forcément des  criminels, mais vont acheter une licence Adobe un jeu ou autre,  donc il faut surveiller ce clean business, ce ne sont pas seulement des gens qui manipulent de l'argent. On fait très attention à la Société Générale, mais aujourd'hui  tous les acteurs qui manipulent de l'information ou de l'argent vont être concernés par des attaques, vous serez attaqués si vous possédez de l'information, tout ce là coûte de l'argent ».

Si on interroge les deux intervenants sur la question des budgets, les réponses sont également très voisines, malgré des contextes différents. Pour Philippe Loudenot ce n'est pas qu'une histoire d'argent, si on commence à penser uniquement d'argent ça veut dire qu'on met des briques et des boîtes, il faut savoir ce que l'on veut faire. Faire une analyse de risque, quelques simples mesures d'organisation permettent d'assurer la sécurité. Mais, à un moment donné il faut savoir ce que l'on veut protéger, avec quels risques. « Et arrêter d'agiter le chiffon rouge, ça tout le monde sait faire. Les questions techniques évidemment la direction s'en fiche, en revanche si on arrive à lui sortir les impacts métiers, c'est nettement mieux. Je pense que la transformation numérique c'est remettre l'humain et les métiers au centre des débats. Je vois  trop de RSSI dans mon périmètre qui  réagissent instinctivement en disant on va mettre des boîtes ».

« Il y a peu de temps, j'ai eu une réunion avec un de mes opérateurs, pas de problème de sécurité dit-il tout est dans le datacenter, c'est nickel. Mais c'est comme si vous mettiez un bifteck périmé depuis trois mois dans un réfrigérateur neuf,  c'est pas ça qui va le protéger de l'intoxication alimentaire ».

« Traiter la menace comme quelque chose de volatile »

Selon Stéphane Nappo, l'argent n'est pas directement un moyen de protection, ce qui est important  c'est l'adéquation entre ce que vous faites, la menace, et votre appétit aux risques. Si dans telle  ou telle région vous avez une menace de type chinoise, russe ou autre ou des contestataires, il va falloir se protéger. Il y a une menace facile à traiter, mais la menace c'est souvent le reflet de nos vulnérabilités, on voit souvent  plus dans les dernières attaques  que les opportunités d'attaques sont créées ou engendrées par nos vulnérabilités ou notre retard sur les mises  à jour. « Donc, il ne faut pas traiter la menace avec de la peur mais la traiter comme quelque chose de volatile. L'armée  américaine a une approche  pour les processus volatiles, parce que la guerre n'est plus quelque chose où on se donne rendez-vous à tel endroit et à telle heure,  ça peut arriver de n'importe où. La cybersécurité c'est pareil, c'est une approche de la vulnérabilité, la crainte ne suffit pas, il faut s'orienter vers des basiques ».

La prévention c'est capital, vos mots de passe, installer les mises à jour coûte  moins que de ne pas les installer, et derrière il faut vérifier votre appétit aux risques. Qu'est-ce que vous voulez manger qu'est-ce que vous pouvez digérer comme risques, je vous rappelle qu'un banquier c'est un professionnel,  du risque, le profit de nos opérations financières aux travers des  vôtres c'est une prise de risque. Je veux qu'on parle de l'argent comme d'un moyen, et donc qu'on en parle peut être moins souvent,  qu'on parle avant tout du rôle du RSSI pas un policemen mais un diététicien du risque, ça c'est un risque qu'on ne peut plus prendre pour nos fonds propres ou notre réputation, là c'est un risque  qu'on peut digérer, faire accepter au board, ça ce sont des mitigations on doit se protéger prendre aux médicaments, ce rôle est vital, c'est le digital qui est notre levier de développement et où le risque est le  plus important, le RSSI est le RSSI du oui pas celui du non.

Le RSSI est-il celui qu'on contourne ? Pour Philippe Loudenot : « je vais avoir du mal à vous répondre  ça fait des années que je me bats pour que le RSSI soit celui qui dit « oui », ou « oui mais », oui je vous accompagne si  on ne prend pas les nouveautés et les enjeux métier d'entrée de jeu, je pense que on s'est trompé de métier et d'objectif,  j'aime beaucoup l'image du RSSI diététicien, car c'est accompagner ».

Primo vaccination et piqures de rattrapage

Quels sont leurs chantiers prioritaires, ceux de 2017 ou ceux de 2018 ? Philippe Loudenot estime que c'est d'abord la primo vaccination, pour la plupart des dirigeants d'organismes et des piqures de rattrapage régulières pour la prise en compte du risque numérique, cette prise en compte doit faire comprendre que la sécurité est affaire de tous. « Je ne fais pas de pub mais il y a un très bon film de HP, The Wolf sur ces sujets ». Ne plus avoir de RSSI permet de se poser les bonnes questions,  l'homme central c'est le RSSI ce n'est plus le pirate.
« A la Société Générale, à l'international comme partout, on va continuer à travailler sur la conscience du risque, les nouvelle menaces et leur impact. On a commencé et on continue à travailler sur la conscience du risque, il y avait il y a quelques années le risque de  conformité, ou de contre-partie  aujourd'hui le risque arrive aussi sur la régulation avec par exemple GDPR, un bon exemple voilà nous allons aussi travailler à ne pas lutter aujourd'hui avec les armes d'hier, on a eu une vision rétrospective du risque,  en calculant les pertes, en regardant de manière factuelle, il faut maintenant regarder les nouvelles menaces,  le pirate se bat avec un arsenal couteux et perfectionné ».

« Quand on est  attaqué par un robot informatique qui commet des centaines d'intrusions à la minute, poursuit Stéphane Nappo,  c'est compliqué d'agir, le modèle on cherche à le simplifier, le pirate il a un coup d'avance sur tout le marché des solutions de sécurité. Pour la Société Générale c'est une source d'inspiration pour avoir un temps d'avance, voilà nos chantiers pour 2018 ».

Partager les signaux faibles

Dans le monde de la santé, rappelle Philippe Loudenot, depuis le 1er octobre il y a obligation dans la loi de déclarer tous les incidents permettant  de capter un ensemble de signaux faibles, manière de réagir aux nouvelles  menaces. « C'est aussi être capable de partager dans un espace de confiance les différentes menaces  et je suis ravi du fait que les ministères sociaux soient le 1er secteur à avoir annoncé  les impacts des crypto virus en 2014 tout ça parce qu'il y avait différents signaux faibles,  on retrouve la même ambiance au Cesin où on peut échanger entre pairs et voir un ensemble de signaux faibles les partager et savoir ce qui va nous tomber sur le coin de la figure ».

« Il est possible de travailler avec  des start-ups, analyse Philippe Loudenot, en France nous avons des pépites magnifiques, mais confrontées au code des marchés publics  c'est un peu gênant, car à partir du moment où elles n'ont pas un chiffre d'affaires suffisant, une ancienneté suffisante, elles  sont difficilement éligibles.  Pour montrer  patte blanche c'est encore un peu compliqué ».

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis