« La question n’est plus de savoir si nous pouvons tomber mais comment surmonter un tel événement »
![Image Une vulnérabilité identifiée dans la [billetterie du PSG]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-breach-faille-2024-885x690.jpg)
![Image Un forum russophone sur Kaspersky victime d’un [vol de données]](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-ransomware-ranconlogiciel-885x690.jpg)
Thierry Trouvé, Directeur général de GRTgaz détaille les initiatives que le gestionnaire de réseau de transport de gaz français met en place pour protéger ses systèmes industriels (OT) des principaux risques auxquels il est confronté, qu’ils soient traditionnels ou « cyber ».
Les systèmes industriels utilisent aujourd’hui abondamment les technologies de l’information alors qu’ils n’ont pas été conçus pour faire face aux menaces qu’elles introduisent. Comment intégrez-vous ces systèmes dans votre réflexion sur la sécurité des SI de l’entreprise ?
C’est une question essentielle car, dans le domaine industriel, nous avons une dette technique importante, avec des équipements d’une génération plus ancienne, donc plus vulnérables que les autres aux cybermenaces. Ces équipements sont composés d’un système de commande centralisé (notre dispatching national) et, sur le terrain, de stations de compression et d’interconnexion ainsi que de points de comptage…
Pour répondre à votre question, je vais tout d’abord vous décevoir : je ne peux premièrement pas tout vous dire et, deuxièmement, nous n’avons pas trouvé la recette miracle permettant, avec un investissement limité, de résoudre entièrement cette problématique.
Cela étant, nous appliquons un certain nombre de principes, au premier rang desquels se trouve la séparation la plus stricte possible entre la partie OT et IT. En parallèle , nous nous nous efforçons de résorber notre dette technique. Grâce à une approche par les risques, nous nous employons par exemple à mettre à jour les systèmes d’exploitation ou les logiciels sur les équipements les plus sensibles. Ce sont des recettes relativement classiques que nous appliquons aux endroits où les risques sont les plus importants et, bien évidemment, dans le cadre bien précis de la Loi de programmation militaire.
Quels autres principes appliquez-vous ?
Nous pratiquons de plus en plus une défense en profondeur, fondée sur le cloisonnement et le contrôle des accès (notamment à privilèges). Nous portons également une attention de plus en plus importante à la sous-traitance, c’est un combat qui ne fait que démarrer. L’attaque de Solarwinds illustre parfaitement la nécessité de veiller à ce que les sous-traitants d’une entreprise soient au même niveau de sécurité que leur client.
Vous venez de mentionner l’étanchéité très forte entre OT et IT. Sur quelles technologies repose votre OT ?
Les technologies que nous utilisons sont relativement standards : nous disposons d’un système SCADA (Système de contrôle et d’acquisition de données en temps réel) qui surveille et pilote notre système gazier et qui est hébergé sous notre contrôle. Nous disposons également de réseaux dédiés. Cet ensemble-là est complètement étanche par rapport à l’IT.
Quels sont les principaux types de menaces auxquels vous êtes exposés ?
Les menaces auxquelles nous sommes confrontés sont celles auxquelles toutes les entreprises sont exposées aujourd’hui et qui défraient la chronique chaque semaine : délinquance financière, cyber banditisme, etc. Mais en tant qu’opérateur d’une infrastructure stratégique pour la nation, nous sommes aussi potentiellement exposés à des menaces de type étatique. Nous ne sommes donc, en théorie, épargnés par aucun type de menace.
Quelle place accordez-vous à vos capacités de résilience ?
Nous leur accordons une place centrale car, malgré tous nos efforts, nous nous disons qu’un jour, nous pourrons être directement impactés par une attaque. Le risque zéro n’existe pas. Nous nous intéressons donc très fortement, dans les analyses de risque que nous menons, à notre capacité de résilience.
Quelles seront les conséquences, à la fois numériques et physiques, d’une attaque ? A quel point nous empêchera-t-elle de délivrer notre service ? En combien de temps serons-nous de nouveau opérationnels, même avec un système à moitié à plat ? Telles sont nos priorités aujourd’hui.
Il y a encore quelques années, nous avions la faiblesse de penser qu’en mettant en place suffisamment de dispositifs de sécurité essentiellement périmétriques, nous étions à l’abri des principales menaces. Aujourd’hui, cette posture me semble clairement trop optimiste. La question n’est plus de savoir si nous pouvons tomber, mais quand cet événement surviendra et comment nous le surmonterons avec le minimum de conséquences.
Comment gérez-vous les objets connectés au sein de votre OT ?
Il faut distinguer les objets connectés du commerce, qui sont souvent de vraies « passoires » en termes de sécurité, et l’IoT de type industriel davantage « sur mesure » que nous privilégions et pour lequel nous sommes dans une démarche systématique de « Security by design ».
Quand nous utilisons des solutions du marché, plus standards, nous veillons à ce qu’elles ne touchent pas à des fonctions trop sensibles. Nous faisons donc en sorte que l’étanchéité du système soit respectée ou que les fonctions concernées ne soient pas vitales.
Comment sensibilisez-vous votre personnel aux enjeux de sécurité, le facteur humain étant, on le sait, très important dans ce domaine ?
Nous mettons à disposition de nos collaborateurs des modules d’e-learning, nous organisons des animations, des démonstrations, des webinars, le « mois de la cyber »… Nous pratiquons également des exercices de phishing, pour voir comment les salariés réagissent en situation réelle, puis en leur faisant un feedback s’ils mordent à l’hameçon. Sur 3 000 salariés, il y en a toujours qui se font piéger par nos tests.
Nous avons pris le sujet de la cybersécurité à bras le corps, il est géré au niveau du Comex, je m’intéresse fortement à cette thématique et m’y implique personnellement.
Par ailleurs, depuis quelques temps, nous avons commencé à réaliser des exercices de crise cyber, qui viennent compléter les exercices de crise traditionnels que tout industriel pratique régulièrement. Lors de ces exercices, la cellule de crise nationale est fortement impliquée. C’est très intéressant car cela fait toucher du doigt de manière très concrète des sujets cyber qui pouvaient être jusque-là appréhendés avec difficulté par certains.
En conclusion, quelles sont les bonnes pratiques à appliquer, celles que vous recommanderiez ?
Les similitudes d’approche sont nombreuses entre le domaine de la sécurité et celui de la cybersécurité. Certaines recettes valables pour la sécurité traditionnelle s’appliquent donc au domaine de la cybersécurité : l’implication du management, la réalisation d’exercices et ce que nous appelons la visite de sécurité.
La visite de sécurité consiste, pour un manager, à rendre visite à un collaborateur qui est en train de réaliser une opération particulière. Il l’observe puis lui fait un débrief de ce qu’il a vu, dans un esprit constructif et bienveillant. Depuis l’an dernier, nous avons ajouté le thème de la cybersécurité aux visites de sécurité. Ce sont des occasions de dialogue et d’échanges très instructifs qui participent à notre amélioration continue dans ce domaine.