IT : DSI/CIO - RSSI/CISO - CDO

Sabotage des infrastructures internet des grandes villes françaises en une nuit.

Photo de Agora RSSI et CISO Agora RSSI et CISO20 mai 2022

Le 27 avril à 4H00 du matin, des câbles “longue distance” inter-régionaux en fibres optiques qui passent le long des autoroutes, des voies ferrées et voies navigables, ont été sectionnés volontairement en plusieurs lieux, notamment la liaison Paris-Lyon et Paris-Strasbourg. Free et plus légèrement SFR ont été impactés contrairement à Bouygues Telecom et Orange.

Quelle résilience pour nos entreprises et nos institutions en cas de sabotage des infrastructures internet ? Retex de Guy-Philippe GOLDSTEIN, enseignant et expert sur les questions de cyberdéfense à l’ ECOLE DE GUERRE ECONOMIQUE 

Guy-Philippe Goldstein, quel est la cartographie des risques d’un tel sabotage ?

Au-delà d’être enseignant à l’Ecole de Guerre Economique ou Advisor chez Pwc, j’ai démarré une fiction sur une attaque cyber où l’un des éléments était de supprimer les télécommunications dans un pays, et pas n’importe lequel puisqu’il s’agit des États-Unis. Donc en France, il y a eu une nuisance relativement forte : Free annonce 1 % environ de sa clientèle impactée et subjectivement, c’est un des quatre opérateurs. A la différence des dégradations que l’on a pu voir en 2020 où on a essayé de casser du câble en Île-de-France, là, il y avait une tentative vraiment coordonnée avec des gens effectivement qui savaient.

Ce sont des nuisances mais qui ne sont pas non plus dramatiques. Mais une chose intéressante est de voir qu’effectivement, il peut y avoir des ruptures plus ou moins fortes et que tout cela rentre dans le spectre du risque qui va de la petite dégradation jusqu’à quelque chose de très grave qui pourrait déclencher une guerre. Là, on est dans quelque chose d’intéressant parce que cela peut faire mal mais de façon limitée.

Alors après, dans un cadre plus théorique, des chercheurs français ont essayé de voir comment en s’amusant sur certains pylônes en Californie, on pouvait faire tomber les télécommunications et casser la distribution d’informations. On peut réfléchir également sur l’électricité d’ailleurs qui est un réseau qui peut être encore plus fragile. On le voit d’ailleurs dans certains black-out.

Tout cela pour dire quoi ? Oui il y a un risque qui se trouve quelque part dans un spectre auquel on pense très peu et c’est là où c’est intéressant parce qu’effectivement, on ne réfléchit pas assez sur les aspects de télécoms ni d’ailleurs à quel point on est dépendant d’infrastructures.

Donc ce qui s’est passé doit être un espèce de réveil. Il faut bien réfléchir pour voir quels éléments sont nécessaires, de redondance, de diversification des sources, de partenaire télécoms, filaire, non filaire

On a eu le cas d’une attaque encore plus grave en Ukraine, une heure avant le déclenchement des hostilités russes, le 24 février dernier. On sait qu’il y a eu une attaque assez forte avec l’utilisation d’un wiper pour supprimer les données contre l’opérateur de satellite Viasat et qui a touché plusieurs milliers d’utilisateurs en Europe, qui a impacté les systèmes Vestra en Allemagne pour tous les systèmes éoliens. Et surtout qui a impacté une partie importante des infrastructures en Ukraine y compris peut-être les systèmes de distribution d’artillerie et de communication inter-artillerie.

Eh bien ! ce que l’on a vu, c’est que les ukrainiens ont été capables de switcher de Viasat à Starlink assez rapidement. Tout ça pour dire quoi ? Quand le risque est avéré pour l’entreprise, il faut préparer en amont, un réseau de backup, de redondance et de diversification. Et l’entreprise doit être capable de fonctionner en mode dégradé

Y-a-il un réel risque à la fois au niveau des entreprises et au niveau de l’Etat ?

Alors ce n’est pas du tout de la science fiction. On a vu en France que l’opération était extrêmement bien coordonnée et qu’il ne faut jamais oublier que dans un environnement de cybersécurité, les démonstrations se font étape après étape. Il faut bien avoir à minima ce risque identifié et le RSSI doit commencer à se poser la question et voir à l’intérieur de l’entreprise les process très sensibles à un arrêt des communications qui pourrait impacter pendant quelques temps la production par exemple.

On a l’impression que le RSSI est aujourd’hui le référent géopolitique !

La grande vague de rançongiciel qui a frappé l’Occident était-elle seulement criminelle ou a-t-on aussi laissé la bride à des groupes cybercriminels pour créer un peu de nuisance ? Bernard Barbier, ancien patron de la direction technique de la DGSE, a déjà évoqué en 2019, les questions de cybercoercition, cette dégradation d’origine cybercriminelle dans laquelle il y a d’autres arrières pensées avec une supervision étatique qui laisse faire. Je ne parle évidemment pas des questions d’espionnage qui sont d’évidence en partie aussi des questions entre états.

Ce que l’on a vu depuis, c’est évidemment une accélération de ce risque-là, d’ailleurs de façon très marquée dans plusieurs géographie. Par exemple, au Moyen-Orient entre Israël et l’Iran où, en 2020, des attaques ping-pong touchaient les infrastructures critiques – une usine de retraitement des eaux usagées en Israël, le terminal portuaire de Bandar Abbas en Iran où passe 90% du trafic porte-conteneurs. Et un an plus tard, une attaque probablement d’origine israélienne contre les 4 300 stations d’essence en Iran, peut-être en réponse à d’autres attaques cybercriminelles de l’Iran.

Et puis, on a un contexte géopolitique qui se tend : avec l’Ukraine et la Russie ; nous sommes parties prenantes parce que c’est là où est une grande partie de notre chaîne d’approvisionnement. Mais aussi avec les risques qui pourraient surgir entre la Chine et Taïwan et les Etats-Unis et le reste de l’Asie. Si je peux me permettre l’expression : “c’est très chaud” …

Je rajouterais un point peut-être encore plus direct. On évoquait ces sabotages contre la fibre optique. Mais on sait qu’il y a deux ans, deux opérations ont été montées par d’anciens gilets jaunes. Je le dis parce qu’on voit bien qu’en France, on est dans un contexte qui bout un petit peu et que si demain, il y a d’autres grandes manifestations de gilets jaunes, on pourrait très bien imaginer ce type de sabotage .

Il est important d’en parler aujourd’hui et de l’avoir en tête.

Il y a une telle part de nos activités qui sont numériques que le RSSI, de gré ou de force, finit par gérer une part très importante du risque de l’entreprise. Il faut donc se poser la question de l’origine des équipements et logiciels utilisés en entreprise.

On sait depuis 2017 qu’il y a des lois en Chine qui obligent certains de ses équipementiers électroniques comme Huawei de coopérer avec les services de renseignement chinois et qu’ils sont obligés de ne pas le divulguer à leurs clients. Huawei est très retoqué là-dessus aux Etats-Unis mais aussi en Europe avec la Suède.

On a évidemment la question des logiciels de cybersécurité. Il y a plein de questions en Allemagne qui ont été posées très récemment sur Kaspersky.

Il est clair qu’il faut faire très attention à ce qu’on met dans la machine interne, mais on pourrait rajouter la question du recrutement et des stagiaires et de la sous-traitance. SolarWinds, une des opérations de hacking et de cyberespionnage réussie par le renseignement russe, le SVR. Pour des raisons d’économies budgétaires, ils avaient fait de la sous-traitance auprès de certains pays d’Europe de l’Est y compris le Bélarus. Ce n’est peut-être pas la meilleure idée.

Aujourd’hui, quelles sont les grandes pistes de résilience pour nos entreprises ?

Il y a quatre grands thèmes importants et nécessaires pour comprendre cette question de résilience. Le thème numéro un évidemment : être capable de rebondir. C’est la réactivité de l’entreprise dans sa réorganisation. On arrive à avoir une organisation très réactive souvent quand ce n’est pas une organisation pyramidale mais au contraire quand il y a beaucoup de communication entre les différentes unités, où on laisse un peu d’autonomie de terrain. Mais en même temps, il doit y avoir une cellule de crise, un point de communication et une vision claire sur le plan de crise et de la sortie de crise qui est donnée par un centre.

Et il ne faut pas oublier la communication externe, voire même, d’appel à des partenaires externes pour s’aider rapidement lors de cette situation de crise.

Il faut le rappeler, une crise, c’est une course de vitesse et il faut aller plus vite que la menace. Donc il faut aller très vite. C’est un point fondamental.

A côté de cela, il faut les questions d’absorption qui nous permettent d’absorber le choc et de se préparer à cette réactivité. Donc derrière les éléments de redondance que l’on a évoqué, il faut faire évidemment la cartographie de tous les partenaires opérateurs de télécoms, filaires ou non filaire, satellitaire qui pourraient très rapidement mettre à disposition de la capacité supplémentaire, de façon à absorber le plus rapidement possible le choc.

Il faut également éviter de se mettre pieds et poings liés avec un seul partenaire. Et éviter le partenaire qui pourrait être un petit peu dangereux sur des questions de géopolitique.

Et sur la question de diversification, être capable de s’ouvrir à d’autres partenaires qui n’ont pas les mêmes technologies. On le voit par exemple en cybersécurité industrielle où l’on propose désormais certains systèmes de type analogique et pas numérique pour avoir cette redondance avec une technologie différente ou une technologie plus vieille.

Par exemple aux Etats-Unis, il y a eu une cyberattaque assez sophistiquée contre la distribution d’électricité mais où le courant a pu être rétabli parce qu’il y avait aussi des vieux systèmes, des disjoncteurs manuels, électromécaniques.

Il y a d’ailleurs une expérimentation qui a été décidé par le Sénat américain en 2019 pour avoir ce même type de redondance sur la base de vieilles technologies où l’on peut reprendre la main directement. Ça c’est une vraie piste à explorer pour la cybersécurité, en particulier industrielle ou d’infrastructure de télécommunication.

Et puis, avant dernier point, la meilleure façon de bien réagir à la crise, c’est d’avoir réagi à la crise avant qu’elle n’arrive. Et ça, on le fait comment ? Et bien, en s’exerçant, en s’entraînant à tous les niveaux, d’abord le niveau opérationnel, la cellule de crise qui doit faire des exercices d’entraînement y compris évidemment avec la partie technique, mais aussi la direction générale.

La banque d’Israël, depuis 2015, recommande à ce que les institutions financières en Israël fassent des exercices au plus haut niveau du conseil d’administration.

Enfin, mon dernier point, parce que in fine, on voit bien que tout cela a un coût. Si les directions générales ne mettent pas un petit peu la main à la pâte, ne comprennent pas directement en faisant l’expérience de ce qui se passe, de quel peut être le coût, elles ne vont pas financer ces éléments de résilience.

On est dans un risque qui s’accélère et dont le coût d’ailleurs peut commencer à être évalué. Mes études réalisées avec PwC montrent qu’une entreprise cotée peut perdre jusqu’à 20 % de sa valeur. Alors, combien je dois mettre pour réduire le coût ou combien je dois investir pour cette résilience. C’est très important à souligner. 

Interview réalisée par Julien Merali, General Manager IT – Agora Managers

Photo de Agora RSSI et CISO Agora RSSI et CISO20 mai 2022
Afficher plus
Photo de Agora RSSI et CISO

Agora RSSI et CISO

L’Agora RSSI et CISO est l’une des 17 communautés d’Agora Managers Clubs. Tous les membres exercent obligatoirement ladite fonction et sont issus d’un groupe ou d’une entreprise de plus de 500 salariés.
© 2024  |  AGORA MANAGERS TV
Bouton retour en haut de la page