Nous suivre Industrie Techno

Stanislas de Maupeou, Thales : « La sécurité n’est pas une fin en soi »

Stanislas de Maupeou, Thales : « La sécurité n’est pas une fin en soi »

© DR

Quelle méthode adopter pour résoudre efficacement une cyberattaque ? Lors d'un atelier organisé à l'occasion de la 15e édition des Assises de la Sécurité, qui se tiennent à Monaco jusqu'au 2 octobre, Stanislas de Maupeou, directeur-conseil cybersécurité chez Thales, a partagé ses bonnes pratiques et sa vision en la matière. Industrie & Technologies en profite pour revenir sur les dernières annonces du groupe. Interview. 

Industrie & Technologies : Pourquoi lors d'un incident de sécurité faut-il se mettre à la place de l'attaquant ?

Stanislas de Maupeou : Si vous ne comprenez pas le niveau de complexité de l’attaque, la façon dont l’attaquant procède, vous allez apporter des solutions qui ne répondent pas au problème. Ce serait comme si un médecin apportait des médicaments sans réaliser de diagnostic. On a tendance à vouloir corriger la partie de l’attaque visible en oubliant qu’elle ne peut être qu’un des éléments. C’est, en fait, confondre la cause et les conséquences.  Cela peut, par exemple, conduire à changer tous les mots de passe dans une équipe alors que l’attaquant en fait partie.

I&T : Vous conseillez par ailleurs une approche furtive lors de l’investigation…

S.d.M : Oui car si l’attaquant se rend compte que vous avez identifié certaines de ses traces il va muter, en se taisant pendant plusieurs jours ou en changeant ses horaires de connexion par exemple. Il faut donc chiffrer les indicateurs de compromission. C’est une véritable chasse. Il nous est arrivé d’observer en temps réel un changement de comportement de l’attaquant.

I&T : Pourquoi la cartographie du SI est un élément clé ?

S.d.M : D'après mon retour d’expériences, les incidents de sécurité sont révélateurs d’un manque de maîtrise du système d’information. Une cartographie permet de visualiser où sont les entrées et les sorties et donc d’identifier les chemins qu’a pu emprunter l’attaquant. Si je veux pouvoir mettre des barrières, il faut que je puisse être sûr des chemins d’attaque possibles. L’outil de la décision c’est la cartographie.

I&T : Pour vous, la sécurité n’est pas une finalité en soi. Pourquoi ?

S.d.M : Non, la sécurité n’est pas une finalité. La finalité de mon SI, c’est d’apporter les moyens de réaliser les activités commerciales de l’entreprise. Dans cette optique, la sécurité apporte la confiance, la garantie que le système fonctionne correctement, qu’il est intègre et confidentiel. La finalité c’est que l’information circule dans de bonnes conditions. Nous, les hommes de la sécurité nous n’avons pas tous les tenants d’un incident. La décision doit venir du top management et pas des experts de la DSI. Ces derniers apportent des éléments de décision, d’arbitrage au vu de leur prisme sécurité, un prisme qui reste toutefois incomplet. D’après moi, quand on met la sécurité au premier plan cela conduit à des échecs.

I&T : Le métier de RSSI se rapproche donc de celui de risk-manager ?

S.d.M : Dans les grandes entreprises vous avez des gestionnaires de risques de pollution, d’accidents. Ce sont des personnes qui gèrent des budgets très significatifs, et qui sont totalement dissociées de l’aspect de informatique. Or aujourd’hui, l’informatique devient plus prégnante pour l’entreprise. C’est lié à l’importance du système d’information pour la vie de l’entreprise. Le risque informatique ne doit donc plus uniquement être perçu d’un point de vue "geek". Une perte d’activité pendant deux heures sur un système d’information de réservations hôtelières est une véritable catastrophe. Ce n’est plus l’attaque en elle-même qui intéresse, mais les conséquences pour l’activité.

I&T : Comment Thales s’inscrit dans la dynamique « agir ensemble » présentée par Guillaume Poupard en ouverture des Assises ?

S.d.M : Notre force d’intervention rapide pour traiter un incident nécessite absolument de la coopération, entre l’éditeur, l’autorité de tutelle, et le centre de veille sur les vulnérabilités par exemple. Cette démarche va dans le même sens « qu’agir ensemble ». Par ailleurs, Thales s’inscrit dans les processus de certification menés par l’Anssi. Thales fait partie des PASSI (prestataire d’audit de la sécurité des systèmes d’information) et nous faisons partie de la phase pilote des qualifications PRIS (prestataire de réaction à incident de sécurité) et PDIS (prestataire de détection d’incidents de sécurité). L’Anssi va donc tester ces deux référentiels avec nous et l’adapter en fonction des retours. C’est une forme de partenariat public-privé. Cela signifie : on a compris les enjeux et nous allons investir pour apporter des solutions techniques. Un exemple concret : nous partageons avec l’Anssi des indicateurs de compromission qu’on a pu collecter au travers de nos investigations. Plus globalement, je rêve de la maturité qu’il y a dans le domaine de la sûreté aérienne. L’information est propagée à tous. Aujourd’hui, nous n’avons pas encore ce niveau d’échanges. Or plus on partage, plus l’écosystème gagnera en efficacité dans la protection.

I&T : Pouvez-vous nous parler de la sonde Cybels Sensor ?

S.d.M : C’est une sonde de détection d'intrusion que nous avons développée en mode service. Elle est déjà déployée auprès de grands comptes industriels. C’est son exploitation qui la rend intéressante. Elle embarque un certain nombre de marqueurs, fruit de nos expériences d’investigation. Elle comprend une logique de détection sur la base de signatures d’attaque, couplée à une analyse comportementale capable de détecter des événements anormaux. Elle est également dotée d’une capacité de captation des données pour l’investigation rapide. Elle a été choisie comme sonde souveraine. Cette version, dédiée aux OIV, embarquera alors des informations de nature sensible fournies par les autorités souveraines. Ces marqueurs désignent l’ensemble des éléments observables qui correspondent au comportement de l’attaquant. Cela peut être une adresse IP, une traçe laissée dans un fichier, une clé de registre laissée par l’attaquant. La première version de cette sonde souveraine sera disponible début 2016, nous sommes encore au stade du prototypage.

I&T : Thales vient également de présenter la diode ELIPS-SD. De quoi s’agit-il ?

S.d.M : La sécurité du monde industriel est l’une des grandes préoccupations de l’Etat. Le monde industriel qui fonctionnait sur des protocoles dédiés s’ouvre de plus en plus aux protocoles IP et se retrouve donc exposé à des vulnérabilité des protocoles Internet. Dans ce contexte, Thales a développé la diode ELIPS-SD, qui garantie la diffusion de l’information dans un sens unique pour les protocoles du monde industriel. Cela permet de réaliser des interconnexions sans qu’il y ait de fuites d'un monde vers un autre de manière à ce qu’il ne soit pas possible de conduire une attaque depuis le monde bureautique vers le monde industriel. Dans une logique de collaboration experts IT et automaticiens, cette diode a été développée en partenariat avec Schneider Electric, qui en est aujourd’hui le premier intégrateur industriel.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Au Sido, les start-up misent sur l'IA pour séduire l'industrie

Au Sido, les start-up misent sur l'IA pour séduire l'industrie

Les start-up n'ont pas manqué le rendez-vous du salon international des objets connectés (Sido) de Lyon pour présenter leur[…]

Longévité des batteries, Microsoft IA, laser ultra-puissant… les innovations qui (re)donnent le sourire

Longévité des batteries, Microsoft IA, laser ultra-puissant… les innovations qui (re)donnent le sourire

Microsoft IA, cybersécurité IBM, ralenti vidéo… les meilleures innovations de la semaine

Microsoft IA, cybersécurité IBM, ralenti vidéo… les meilleures innovations de la semaine

La première Ecole IA Microsoft de Lyon

La première Ecole IA Microsoft de Lyon

Plus d'articles