Pour EDF, la cybersécurité des SI industriels a besoin de coopération
Olivier Ligneul, le directeur cybersécurité d’EDF, en est convaincu : la protection des systèmes industriels passe nécessairement par une coopération au sein de l’écosystème. Les entreprises d’une même supply chain doivent en outre accepter de partager des données.
Pendant des années, la sécurité des systèmes SCADA, l’informatique industrielle, a fait parler d’elle en matière de cybersécurité, moins pour ses bonnes pratiques que pour ses déboires. En 2015 encore, les pratiques des industriels ignoraient trop souvent la sécurité dans la gestion de leurs opérations.
Trois ans plus tard, la prise de conscience semblait bien amorcée et les risques mieux pris en compte. La législation est venue accentuer les efforts des entreprises dans ce domaine, en particulier en définissant des obligations pour les opérateurs d’importance vitale (OIV). C’est le cas notamment dans l’énergie, un secteur à la fois sensible et très ciblé par les attaquants.
Un SoC exploitant des données externes
L’énergéticien français EDF en sait quelque chose. Le groupe recensait 10 millions d’attaques par an en 2016. Pour faire face à ces tentatives d’intrusion, l’entreprise dispose, depuis plusieurs années déjà, d’un SOC interne. EDF peut compter également sur son propre CERT.
Cette stratégie d’internalisation est motivée par une volonté affirmée de « garder la maîtrise », comme l’expliquait lors de l’édition 2021 du FIC, en septembre, son directeur cybersécurité, Olivier Ligneul. Mais cette maîtrise n’exclut pas des coopérations cependant. Au contraire, l’expert appelle à une approche en écosystème de la sécurité des systèmes industriels.
Cette ouverture se retrouve d’ailleurs au niveau du SOC d’EDF. Il est important, souligne Olivier Ligneul, que le centre de sécurité opérationnel dispose d’une « vision à 360° ». Cela signifie qu’il doit être en mesure de croiser des données sur un périmètre le plus large possible, « y compris grâce à des données venant de l’extérieur, dont des CERTs ».
La coopération est plus que jamais essentielle en matière de cybersécurité. Et cela pour au moins deux raisons majeures. La première tient à l’interdépendance des systèmes industriels entre eux. Une attaque contre un acteur d’une filière peut avoir des impacts sur d’autres entreprises d’une même supply-chain.
Des attaquants qui « commencent à comprendre nos métiers »
Car pour Olivier Ligneul, c’est bien cela : il faut « penser écosystème et dépendances opérationnelles ». Une seconde raison justifie une approche coopérative au sein des filières : les stratégies des attaquants eux-mêmes. Tous n’adoptent pas une approche visant à maximiser leurs gains grâce à un ransomware.
Olivier LigneulDirecteur cybersécurité, EDF
Certains cyberattaquants déploient des approches plus discrètes destinées à leur permettre de récolter le plus d’information possible sur les entreprises cibles, afin de comprendre leur fonctionnement industriel. Une attaque peut ainsi constituer les prémices d’autres intrusions dans les SI d’entreprises de sa supply chain.
Cette réalité de la menace doit encourager une coopération approfondie, juge donc Olivier Ligneul. « Lorsqu’on est attaqué, la moindre des choses, c’est de prévenir les acteurs de sa supply chain, en amont et en aval, de manière à les alerter d’un danger potentiel », exhorte-t-il en référence à des risques de propagation ou de réutilisation des informations collectées.
En matière de coopération, la marge de progression reste significative. « J’ai malheureusement un peu trop de discussions avec des membres de Comex » à ce sujet, regrette ainsi le RSSI du groupe EDF. Ce dernier plaide donc en faveur de la création d’écosystèmes « flexibles et coopératifs pour échanger des informations » liées à la cybersécurité.
Le CERT EDF connecté à des écosystèmes
Car la menace est bien réelle. L’énergéticien fait état d’une augmentation sur un an de 70 % du nombre de ses partenaires touchés par des attaques. La réponse passe donc par la création d’un « réseau de confiance ». EDF se dit prête à y contribuer. L’entreprise y participe même déjà, déclare Olivier Ligneul. Son CERT interagit avec différents écosystèmes, dont le Comité Stratégique de Filière (CFS) dont il dépend.
« Nous sommes tous dans le même bateau. Si un élément de la supply chain est touché, c’est toute la supply chain qui risque de tomber », insiste-t-il. Un partenaire du secteur victime d’une attaque peut donc bénéficier de l’aide du CERT EDF, en accompagnement après un incident ou pour la surveillance des évènements de sécurité.
Olivier LigneulDirecteur cybersécurité, EDF
Son responsable cybersécurité se défend toutefois de brosser un tableau totalement noir. Il assure ainsi que les progrès sont très significatifs au niveau de l’approche écosystème ; avec des actions communes et des projets à venir développés en coopération, afin de permettre d’autres avancées futures. Le RSSI se félicite aussi des efforts consentis par les fournisseurs de solutions industrielles en matière de vulnérabilités. « Ils ont amélioré leur gestion de la qualité », relève-t-il.
C’est une avancée. D’autres sont encore nécessaires, comme le mentionnait le 13 octobre le DSI de la Stime (Les Mousquetaires), à l’occasion de l’assemblée générale du Cigref. Christophe Leray estimait ainsi que la lutte contre la cybercriminalité passait en particulier par des efforts accrus en faveur de « l’avènement de solutions numériques de confiance ».
Là aussi, le DSI et vice-président du Cigref conditionnait ces progrès à une démarche collective. Le collectif est plus que jamais le mot d’ordre dans l’univers de la cybersécurité.