CEIS / CyberLab: Entretien croisé:

CEIS / CyberLab:

Entretien croisé avec l'équipe CEIS / CyberLab  Clément ROSSI, Lois SAMAIN, François GRATIOLET:

 

"La sécurité doit être abordée de manière transverse et cohérente à l’entreprise, et non plus en mode silo comme c’est encore trop souvent le cas. C’est là que réside le vrai défi pour les années à venir"  

 

 

Quelles sont les activités de CEIS en matière de cybersécurité ?

Nous sommes un cabinet de conseil en stratégie et management des risques, avec près de 15 ans d’expérience en matière de cyber sécurité. Nous avons développé trois types d’activité : de la cyber-intelligence et du conseil opérationnel pour des clients « utilisateurs », des études stratégiques ou technico-opérationnelles pour le monde de la défense, de l’accompagnement business pour les offreurs de services et de solutions de sécurité ou de confiance. Nous co-organisons par ailleurs le FIC depuis 4 ans et développons aujourd’hui de nouveaux outils pour contribuer à l’animation et au développement de la filière comme le CyberLab ou les Security Days de Dakar qui auront lieu en mars 2016.

Ou situez-vous vos éléments différenciateurs au niveau culture d'entreprise et offres spécifiques ?

Notre cœur de métier repose sur notre capacité à collecter et analyser l’information utile, puis à accompagner nos clients dans son exploitation. Dans le domaine de la cybersécurité, nous mettons donc en œuvre nos méthodes traditionnelles d’investigation et d’analyse de l’information en les adaptant aux spécificités des enjeux cyber et IT.

Nous développons par exemple une approche innovante en matière de Cyber Threat Intelligence. Innovante car non pas uniquement centrée sur la technique mais basée avant tout sur la connaissance de l’environnement du client, la compréhension du contexte et de la méthodologie des attaquants éventuels afin d’anticiper les risques d’attaques en amont. L’originalité repose donc dans le fait que l’on s’adresse avec cette offre aussi bien à une Direction Sécurité ou des Risques, qu’aux équipes du RSSI ou d’un SOC. Les analyses sont réalisées par une équipe composée de consultants spécialisés en cybercriminalité et en cybersécurité, mais aussi par des analystes en géopolitique, des juristes, des linguistes ou des spécialistes de l’investigation financière. C’est cette complémentarité des profils qui offre une profondeur d’analyse intéressante.

Sur le marché SCADA / ICS, quel regard portez-vous sur son évolution ?

Une précision est nécessaire au préalable : le terme SCADA est un abus de langage. Il faudrait plutôt parler d’ICS (Industrial Control System) et de non de SCADA comme terme générique, les SCADA n’étant qu’un sous-ensemble des ICS. Les ICS permettent les activités deproduction temps réel et de distribution. Ils concernent notamment bon nombre d’opérateurs d’infrastructures vitales. On est donc potentiellement sur des systèmes très critiques en termes de sûreté pour les entreprises, mais également pour la sécurité du pays d’une manière générale s’il s’agit d’une centrale nucléaire par exemple.

Il est clair que ces dernières années l’actualité a aidé à la prise de conscience des vulnérabilités des systèmes ICS. Même si ceux-ci ne sont pas reliés à Internet, argument naïf régulièrement avancé, ils restent vulnérables. La protection des systèmes industriels est donc effectivement un marché en croissance du fait de la conjonction de plusieurs facteurs : une prise de conscience croissante, une règlementation contraignante avec la publication des décrets d’application de l’article 13 de la LPM et le début du renouvellement progressif de ces systèmes, certains étant vieux de plus de 30 ans. C’est une des difficultés majeures du problème d’ailleurs : ces systèmes ont été conçus pour la plupart quand Internet et les nouvelles technologies étaient encore réservés à une petite élite. Ils ne pouvaient donc intégrer dès leur conception une architecture et des normes répondant à des exigences de sécurité demandées 20 ans plus tard. Avec l’émergence de l’IoT, on peut d’ailleurs s'interroger sur l’apparition des objets connectés BtoB qui, s’ils sont intégrés par exemple à un S.I. de production, pourraient faire partie de ce marché. Il faut nécessairement avoir une approche globale du risque en analysant de manière fine la chaîne de valeur de l’entreprise, son écosystème externe (partenaires, fournisseurs, clients, etc.) mais surtout les points entraînant un risque critique. Malgré le fait qu’il augmente de facto significativement la surface d’attaque potentielle et pose des problèmes juridiques liés aux données, l’Internet des Objets n’est donc pas forcément à bannir, tout dépend de la criticité des applications et des systèmes auquel il accède.

La prise en compte de la sécurité dès la conception, la gouvernance des architectures et la sensibilisation de l’ensemble des acteurs de l’entreprise sont fondamentales. C’est loin d’être uniquement une affaire de technologie ! La sécurité doit être abordée de manière transverse et cohérente à l’entreprise, et non plus en mode silo comme c’est encore trop souvent le cas. C’est là que réside le vrai défi pour les années à venir.

 

Black-Out-2015-Cyberisques-NEWS-Lloyds Emerging Risk Report

                     source: Lloyd’s Emerging Risk Report – 2015

 

  

Quels sont les chiffres-clés qui permettent de cerner le marché de la cybersécurité des systèmes industriels en France et en Europe ?

Malheureusement, peu d’enquêtes ou de données chiffrées sont publiées par des organisations françaises ou européennes. La plupart des études proviennent d’acteurs technologiques non européens, majoritairement anglo-saxons aves des différences culturelles fortes, même si ces études interrogent des entreprises en France et en Europe. Il est donc très difficile d’avoir une idée précise du marché en terme purement quantitatif. La principale raison est l’absence de régulations à ce jour obligeant les organisations à communiquer sur les incidents de sécurité. La LPM et les législations européennes à venir vont inciter à plus de transparence, à une communication des incidents de sécurité et au partage de retours d’expérience entre les organisations et l’Etat. On pourra donc alors avoir à ce moment-là une véritable base statistique fiable.

En Europe, il est clair que l’Allemagne représente un des principaux marchés avec la France, sinon le marché principal d’ailleurs, en matière de sécurité des systèmes industriels. Cela tient, d’une part, à l’importance structurelle de l’industrie dans l’économie allemande et, d’autre part, au fait que c’est un marché beaucoup moins concentré qu’en France, avec un grand nombre d’ETI et de grosses PME ayant ces mêmes besoins de sécurité. Si on y ajoute le Bénélux et l’Europe du Nord, il y a des perspectives de marché intéressantes au niveau européen, avec une taille critique conséquente pouvant rivaliser avec le marché américain. Encore faut-il que les barrières d’accès et les coûts d’entrée ne soient pas dissuasifs pour les sociétés voulant s’y mesurer, en particulier les PME …

Il faut à ce titre saluer l’initiative d’Hexatrust de fédérer des PME innovantes françaises, championnes dans leur domaine. Cela donne une crédibilité et permet surtout de « chasser en meute » à l’international ce que culturellement les français ont un peu de mal à faire, à la différence des allemands par exemple.

Fin 2015, ou situez-vous les forces et faiblesses des SI SCADA : ICS en Europe et notamment chez les OIV en France ?

Les S.I. industriels ont des problématiques et des contraintes métier spécifiques. Ce n’est pas pour rien que l’ANSSI a constitué un groupe de travail uniquement dédié au sujet. Parmi les principaux problèmes on pourrait lister des systèmes d’exploitation obsolètes soit non-supportés (Windows XP est encore très fréquent) ou non patchés, des protocoles (Modbus et DNP3 par exemple) qui ne supportent pas l’authentification et le chiffrement ou une tolérance très faible voire inexistante à l’arrêt/panne car entraînant des conséquences métiers directes très fortes. Cette contrainte de disponibilité est très importante et ne tolère aucune interruption, ne serait-ce que pour effectuer une mise à jour par exemple.

Outre ces aspects techniques, les principales difficultés viennent également d’une culture SSI faible au sein des sites de production, d’une gouvernance et d’une organisation floues. Les PSSI actuelles ne prennent pas ou très peu en compte le périmètre des S.I. industriels. Il existe un problème de répartition des rôles et des responsabilités. C’était tout l’enjeu de la dernière session thématique du CyberLab avec le cas pratique de l’OIV fictive FUMEX.

Est-ce que la prise de conscience des cyber risques dans des environnements de type SCADA ou ICS doit passer par l'émergence d'un cadre réglementaire ?

Évidemment. On le voit par exemple avec la LPM pour les OIV ou avec le futur règlement européen sur les données à caractère personnel, le cadre réglementaire est prépondérant.

D’où l’importance de développer un cadre normatif commun entre français et allemands ! Si nous voulons arriver à construire une véritable industrie européenne de la cybersécurité au sein d’un marché numérique unique, cela passera par une réglementation et un cadre normatif commun, avec des partenaires industriels de confiance sélectionnés par des labels et des certifications reconnues indifféremment dans les deux pays. De la même manière que ce qui se fait au niveau politique de la zone euro, le couple franco-allemand doit être moteur en matière de cybersécurité et, de façon plus globale, de numérique. Si ce premier pas est réalisé, les marchés potentiels au Bénélux ou en Europe du Nord suivront. Cette approche européenne est d’ailleurs largement promue par les agences de sécurité des systèmes d’informations françaises et allemandes, l’ANSSI et le BSI.

Que répondez-vous aux Security Managers qui disent que la  qualification accordées par l’ANSSI ne suffit pas à garantir une solution technique car : « rien ne garantit que l’appareil évalué par l’ANSSI est bien comparable à celui qui nous est vendu » ?

L’évaluation de sécurité est réalisée par l’ANSSI ou des tiers indépendants mandatés selon un cahier des charges et des critères bien précis. Les résultats des tests ainsi réalisés sont documentés et disponibles de manière publique ce qui permet d’apporter la nécessaire confiance et la transparence aux utilisateurs finaux potentiels. A charge également pour chaque prestataire, de prouver cette transparence.

Les premières sessions organisées dans le cadre du CyberLab sont des succès. Comment va évoluer le concept CyberLab en 2016 ?  

Nous cherchons actuellement à pérenniser le dispositif avec nos partenaires publics et privés dans le cadre du Plan 33. L’idée serait de disposer d’un lieu dédié qui serait une vitrine de l’ensemble de l’industrie française de sécurité et de confiance numérique, grands groupes comme PME. Ce showroom proposerait des démonstrateurs permanents, des sessions de démonstrations thématiques pour les utilisateurs, des séances de pitch pour les investisseurs etc. Il accompagnerait également les PME à l’export et accueillerait les délégations étrangères de passage en France.

Le but est donc bien ici de contribuer à l’animation et au développement de la filière de cybersécurité en réunissant l’ensemble des parties prenantes de l’écosystème français : utilisateurs finaux, intégrateurs, fonds d’investissement et représentants étatiques afin d’une part de valoriser les technologies et solutions innovantes autour de use case opérationnels, et d’autres part de continuer la sensibilisation et l’échange entre l’ensemble des acteurs de la filière.

Le CyberLab ambitionne donc de devenir un accélérateur, à la croisée des chemins entre innovation, besoins des utilisateurs finaux et développement commercial. Nous avons en France de réelles opportunités à saisir sur le plan industriel, nous espérons que ce projet y contribuera.

Propos recueillis par Jean Philippe Bichard / Cyberisques NEWS

 

 

BONUS: 

http://www.ceis.eu/fr/actu/ceis-inaugure-le-cyber-lab

https://www.forum-fic.com/

http://cyberisques.com/fr/component/content/article/80-news/actu-home-1/458-scada-la-filiere-francaise-s-organise-avec-ceis

http://cyberisques.com/fr/mots-cles-17/465-rechercher-et-connaitre-des-vulnerabilites-0-days-pour-s-en-proteger-ou-pour-les-exploiter

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires