Olivier Ligneul Directeur de la Mission Technique & Sécurité, RSSI du Groupe, EDF : " Il faut aussi savoir sortir d'une crise "

Cyber expert: Olivier LIGNEUL; Group Chief Information Security Officer
Directeur de la Mission Technique & Sécurité - RSSI du Groupe
EDF - Direction des Systèmes d'Information Groupe


Olivier Ligneul Directeur de la Mission Technique & Sécurité, RSSI du Groupe EDF :

 Il faut aussi savoir sortir d'une crise "

 

 

La nouvelle réglementation Européenne qui entrera en vigueur si tout va bien au printemps prochain implique entre autres la nomination d'un DPO, Data Protection Officer, et la déclaration dans les 72h00 des incidents en cybersécurité. Ce sont des mesures positives ?

Oui. Chez EDF ce n'est pas nouveau. Nous réalisons déjà ce type de procédures qui renforcent la sécurité et la mise en conformité. Cette notification à la CNIL devra se faire sans retard injustifié, si possible dans les 72 heures à compter de la connaissance de cette violation de données ; d'où une mise à jour de notre PSSI et du dispositif d'astreinte pour prévenir le DPO. Le seul souci est de déterminer exactement le périmètre propre à ces cyber-attaques. En fait il s'agit d'ajouter cette nouvelle typologie à des procédures existantes. La complexité réside vraisemblablement dans le changement de la qualité de la donnée issue d'un outil SOC et du SIEM (outil de corrélation de logs) pour la traduire au sein d'une matrice qui positionne la donnée dans un niveau de criticité. Il s'agit là d'une sorte de référentiel de classification.

 

Reste qu'aucun outil aujourd'hui en 2016 n'apporte une réelle solution au problème de classification des données en tenant compte de la gestion de cycle de vie des données ?

C'est exact, ce type d'outil est très lié à chaque métier et peut concerner même des échanges sectoriels.


Selon les principes contenus dans la future réglementation européenne sur la protection  des données, le responsable du traitement devra communiquer aux personnes concernées les informations suivantes au moment de la collecte des données :

– L'identité du responsable du traitement (et son adresse)

– L'objet du traitement

– Les destinataires des données

- La durée de conservation des données

– Le droit d'accès, de rectifier ou de supprimer les données

– Le droit à la portabilité des données

– Le droit de saisir la CNIL

– L'obligation de fournir ses données pour remplir une obligation contractuelle...

A quelle fréquence estimez-vous chez EDF devoir faire auprès de la CNIL ce type de déclaration ?

EDF se conformera aux attentes de la CNIL en la matière. Il est très difficile d'estimer cette volumétrie à ce stade.

 

Disposez-vous des outils nécessaires pour gérer les alertes et le suivi de ces alertes en cas de crise majeure?

Nous disposons d'outils. Cependant, je pense que le problème n'est pas là. La gestion des crises fait partie intégrante de notre métier. Être efficient c'est possible. Reste, au-delà des outils, l'analyse humaine. Il convient de discerner parmi cette masse de signaux le signal souvent faible qui constitue l'information stratégique. Il faut aussi identifier la crise afin d'apporter la réaction adaptée. Il faut aussi savoir sortir d'une crise. En communication par exemple, ça suppose le respect d'une procédure a trois niveaux : les remontées d'informations des équipes opérationnelles sur le terrain, la traduction aux managers « tête de pont » et avant les incidents, un travail indispensable avec les communicants pour qu'ils comprennent les enjeux SSI afin de pouvoir communiquer pendant. La communication au sein de la filière SSI est stratégique: cette communication adresse les représentants internes et les réseaux de partenaires, clients et fournisseurs.

 

Vous l'avez évoqué lors de l'atelier sur la gestion de crises que nous avons animé lors du FIC 2016 avec vos collègues du CESIN, RSSi Groupe de la SNCF, d'Airbus et des Ministères de la santé et des affaires sociales, les incidents de sécurité se multiplient, deviennent rapides et agiles et occasionnent des impacts touchant de plus en plus les métiers. Comment fédérez-vous et organisez-vous vos sources d'informations au delà des flux issus des SOC, SIEM et CERT sans omettre les cercles de RSSI ?

En plus des informations complémentaires au niveau juridique, de la communication, des métiers de l'entreprise et celles d'outils spécifiques comme les SIEM, l'information en cas de crise doit être anticipée. Il est important de faire des exercices de cyber crise globaux orientés tête de groupe mais également dans la filière technique et les métiers par exemple.

 

Qui gère les Si ICS / Scada au sein d'un groupe tel que EDF ? Automaticiens et informaticiens affichent des priorités et culture différentes. Êtes vous favorable à la nomination d'un RSSi industriel ?

Les environnements Scada recouvrent plusieurs aspects en terme de cybersécurité et leur maintien au sens maintenir les équipements et automates à jours via des patchs peut rendre les procédures plus complexes. Des solutions sont déployées pour les rendre étanches face aux interconnexions. Coté patch, le virtuel patching constitue une piste. Nous disposons d'un réseau de RSSI industriels et de capacités de veille.

 

Dernière question : chez EDF comme dans beaucoup de grandes organisation, la mobilité prend une place stratégique. Selon le Gartner, près de 2 entreprises sur 5 utiliseront exclusivement le BYOD d'ici 2016 et elles seront 85 % d'ici 2020. Le BYOD peut poser des problèmes spécifiques en sécurité (règles internes relatives à la confidentialité des données, pertes de devices mobiles, conversations non chiffrées..) Etes-vous favorable a donner des terminaux « durcis » aux membre du COMEX ou a d'autres « profils » par exemple ?

Bâtie autour du concept de défense en profondeur, nous avons adapté notre politique de sécurité autour de la mobilité et du BYOD à ces nouveaux enjeux et aux différents profils.

 

Propos recueillis par @jpbichard 

 

 

 

 

BONUS: 

http://cyberisques.com/mots-cles-15/499-fioc-2016-ateliet-gestion-de-crise-rssi-groupe-sncf-edf-airbus-ministeres

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires