La rédaction du Monde Informatique vous a proposé ce 14 avril 2021 l'édition 2021 son événement Cybermatinée Sécurité en Occitanie. Cette édition, en partenariat avec la Mêlée/Ocssimore et le Club 27001 mais aussi au niveau national avec l'Afcdp, le Cesin et le Clusif, a donné la parole à plusieurs RSSI. Parmi eux : Fabrice Cartron RSSI de Cahors, Grégory Bouet, RSSI de la mairie, métropole et du CCAS de Toulouse, ainsi que Sébastien Rabaud, RSSI d'Actia. Les start-ups locales occitanes à fort potentiel dans le domaine cybersécurité ont également été à l'honneur avec UpSignOn (coffre-fort numérique sécurisé avec une démo par Paul Latournerie son directeur général et co-fondateur) et Merox (lutte contre l'usurpation d'identité et suivi des entrées DNS liées à la messagerie avec une démo d'Alexandre Marguerite, directeur général et co-fondateur de Devensys Cybersecurity). La Cybermatinée Sécurité Occitanie a été réalisée avec le soutien de VMware, Darktrace, Veeam, Trend Micro, Rubrik et Cloudflare.
Les clubs La Mêlée (avec Edouard Forzy son président à gauche sur l'écran) et Occsimore (et son directeur Médéric Collas) sont intervenus sur la Cybermatinée Occitanie. (crédit : LMI)
Accéder au replay gratuit à cette adresse
Le grand témoin de la matinée, Grégory Bouet, est notamment revenu sur les différentes cyberattaques subies fin 2019, dont une qui a frappée une des commune de la métropole toulousaine avec un cryptolocker. Mais ce n'est pas tout puisque Grégory Bouet a aussi du faire face aussi à des piratages de comptes ainsi qu'en avril 2020 à un cryptominer qui a visé les sites institutionnels de la collectivité et métropole de Toulouse. Une variante du ransomware Mamba a aussi frappé une commune de la métropole. « Nous n'avons pas un SI totalement mutualisé avec les 37 communes mais on leur offre des services notamment une plateforme SIG et d'autres outils. Ce qui a été le plus délicat a gérer c'est d'apprendre par voie de presse la cyberattaque et non pas la commune elle même. On a agit rapidement sur le SI en bloquant un certain nombre d'accès et en s'assurant que les comptes des agents n'ont pas été compromis pour engendrer une propagation au reste du SI », a expliqué Grégory Bouet.
Grégory Bouet, grand témoin de la Cybermatinée Sécurité du Monde Informatique. (crédit : LMI)
Pour contrer les cybermenaces et accroitre la sécurité de son système d'information, la mairie de Toulouse commence par ailleurs à déployer une solution de gestion des accès. La collectivité s'est tournée pour cela vers la start-up locale UpSignOn. De la délégation de la gestion interne des mots de passe est aussi en test. Par ailleurs, en attendant de mettre en place de l'authentification multifacteurs à grande échelle, la mairie s'oriente vers un SOC hybride qui va nécessiter d'engager une phase d'appropriation avec l'aide d'experts et l'appui d'un réseau de RSSI local. « Ce réseau monte en puissance depuis ces derniers mois, et lorsque nous rencontrons un problème nous sommes maintenant prévenus grâce à lui en avance de phase ».
Parmi les autres retours d'expérience de la matinée, également celui de Yohann Bauzil RSSI, Airbus OneWeb Satellites qui est intervenu sur plusieurs points cyber du groupe dont l'ensemble du SI a été calqué sur le modèle d'Airbus Defence & Space. « Passé depuis 2 ans sur de l'EDR, il est indispensable si on regarde la complexité de la menace en devenant une brique essentielle au même titre que l'anti-virus », a expliqué le RSSI. « On a intégré cette surveillance de l'EDR dans les taches récurrentes d'une personne dédiée 100% à la sécurité ». En plus, la société s'appuie sur un SOC, couplée à une solution Darktrace, avec Airbus Cybersecurity qui propose son propre centre opérationnel de sécurité, piloté par cette filiale. A l'occasion de sa prise de parole, Yohann Bauzil a mis en avant les bonnes pratiques liées à ses exercices de gestion de crise réalisées à titre personnel mais dont les apports pour ses missions sont des plus pertinentes. « Il faut agir de façon structurée sinon on est vite submergé, en gestion de crise on a énormément d'informations qui arrivent et il faut de la structuration », a expliqué le RSSI.
Yohann Bauzil RSSI d'Airbus OneWeb Satellites sur la Cybermatinée Sécurité du Monde Informatique Occitanie 2021. (crédit : LMI)
Accéder au replay gratuit à cette adresse
De son côté Fabrice Cartron RSSI du Groupe Cahors a témoigné sur la mise en place de la sécurité de ses liens réseaux à l'international et la mise en place d'un SOC. « Il y a 3 ans on a fait le choix compte-tenu des contraintes d'abandonner Orange qui n'apportait pas complètement satisfaction sur les liens avec l'Asie pour passer chez Tata Communications », a expliqué Fabrice Cartron. Avec des plus grosses usines en Inde et en Chine il était primordial groupe d'avoir des liens réseaux de qualité. Avec pour corollaire en termes de gestion la bascule d'un SOC d'Orange vers Tata. « D'un point de vue purement technique et cyber, c'est plutôt positif. On n'a pas eu à connaitre d'incident sur les deux dernières années ». Pour autant si d'un point de vue métier et rapprochement des équipes ce choix se justifie, il peut poser question en termes de sécurité. « Le déploiement de la 27001 a été mené par Orange Cybdéfense et nous sommes avec eux pour des produits fabriqués chez nous. On a fait le choix de mettre en avant les contraintes liées à la protection. Le SOC va monitorer le MPLS mais on a la capacité d'intervenir sur le firewal, le proxy HTTPS et on se réfère au RGPD et autres normes de sécurité ».
Fabrice Cartron, RSSI du Groupe Cahors. (crédit : LMI)
Parmi les autres témoignages, également ceux de Sébastien Rabaud, RSSI d'Actia et Jacques Sudres, animateur du Club 27001 Occitanie qui ont apporté leur regards croisés sur les moyens d'adresser les enjeux cyber sous l'angle du traitement des risques avec l'ISO 27001. « Le télétravail a eu un impact sur notre sécurité et nous avons quand même obtenu la certification malgré ces risques là », a indiqué Sébastien Rabaud. « Avec la crise Covid, nous avons été amené à avoir plus de personnel à distance et adapter nos moyens et notre sécurité. Le fait que l'on soit dans cette démarche a facilité les choses pour intégrer les aspects cybersécurité dès le début de la crise ». Les bons messages de sensibilisation ont aussi été émis pour ne pas tomber dans les pièges d'attaquants potentiels. « L'axe de sensibilisation est une exigence de la norme ISO 27001 en la mettant on bon niveau. On ne peut plus faire de las sécurité en sécurisant des postes de travail et serveurs, un des leviers principaux est de s'attaquer aux utilisateurs ». Chez Actia, la 27001 a été ajouté aux côtés d'autres déclinaisons ISO comme la 9001 et systèmes de management préexistant qui ont facilité son déploiement.
Sébastien Rabaud, RSSI d'Actia intègre la sensibilisation comme pierre angulaire de sa stratégie cyber la Cybermatinée Sécurité du 14 avril 2021. (crédit : LMI)
Plus généralement, la culture associée à l'ISO facilite la mise en place de la 27001 qui peut servir de bonne pratique à suivre sans pour autant aller jusqu'à la certification. « On peut s'appuyer sur la norme pour savoir ce qui va bien au sein de dans l'entreprise et se certifier, s'il y a des exigences de la part des clients ou seulement du contexte marché se certifier, sur un périmètre réduit et l'étendre ensuite », a de son côté indiqué Jacques Sudres, animateur du Club 27001 Toulouse. « La mise en place d'un système de management permet d'avoir des échanges avec les métiers et l'ensemble des parties prenantes et au niveau de la direction générale. La norme ISO 27001 prévoit à la fois des mesures techniques mais aussi organisationnelles prenant en compte un panorama 360 degrés de l'ensemble des actifs de l'entreprise ».
Accéder au replay gratuit à cette adresse
Jacques Sudres, animateur du Club 27001 Toulouse, est intervenu dans le cadre du retour d'expérience ISO 27001 mais aussi impacts de la crise sanitaire et enjeux cyber associés avec le télétravail. (crédit : LMI)