[Interview] Comment EDF, cet opérateur "supercritique", organise sa cyberdéfense
L’hiver s’annonce particulièrement sous tension dans le domaine de l’énergie. Il reste ainsi des incertitudes sur la production électrique alors que les approvisionnements en gaz sont tendus après la fermeture des vannes russes. Autant d’infrastructures vitales, déjà sous pression, qui pourraient donc devenir des cibles tentantes pour des attaques informatiques. Le point avec Olivier Ligneul, le directeur de la cybersécurité d’EDF, qui détaille à L’Usine Digitale son analyse de la menace et l’organisation de défense du premier électricien de France et d’Europe.
![[Interview] Comment EDF, cet opérateur](/mediatheque/2/9/1/001393192_896x598_c.jpg)
L'Usine Digitale : L’hiver s’annonce sous tension pour les énergéticiens. Anticipez-vous une augmentation de la cybermenace, au vu de la poursuite du conflit entre la Russie et l’Ukraine ?
Olivier Ligneul : Cette question d’un changement de la nature de la menace n’est pas nouvelle, elle a déjà été posée l’hiver dernier. Et il y avait eu des publications plus anciennes avertissant des risques sur l’environnement énergétique. Nous nous sommes déjà interrogés sur la question des répercussions suite à la guerre en Ukraine. Mais en un an, nous n’avons pas constaté d’évolution significative des incidents. Nous avons observé une légère augmentation, cependant elle s’inscrit dans la tendance des dernières années et ne semble pas liée au conflit.
Est-ce qu’il va se passer quelque chose cet hiver ?
On peut simplement dire que nous nous repositionnerons si le contexte évolue. Nous sommes un opérateur supercritique. La veille et l’analyse de la menace font partie de nos activités.
Au-delà du conflit militaire, quelles sont les évolutions que vous remarquez chez les acteurs malveillants ?
Nous voyons des acteurs qui se professionnalisent, avec par exemple des logiciels malveillants bien développés, sans bug. Ces acteurs se spécialisent aussi par secteurs, avec des groupes qui attaquent par exemple l’énergie. Ceux-là, nous les regardons de très près. Nous échangeons avec la sous-direction opérationnelle de l’Anssi.
Globalement, nous distinguons quatre types de menaces : les attaques par rançongiciel, l’espionnage – nous sommes une entreprise de haut niveau d’intérêt -, les tentatives de sabotage visant l’outil industriel et la protection contre le vol de données. Notre travail, c’est de déployer des instruments de défense en profondeur et pouvoir réagir en cas d’attaque qui deviendrait sérieuse.
Plus globalement, quelles sont les grandes tendances que vous observez en matière d’enjeux cyber ?
De manière générale, nous avons une meilleure connaissance des attaquants, de leurs motivations et de leurs cibles, c’est un enjeu important. Comme Guillaume Poupard l’a mentionné, je pense qu’il faut également réussir à passer d’une dimension nationale, bien établie, à un travail à l’échelle de l’Europe. Il faut s’inscrire dans une dynamique européenne.
Mais il faut également établir de la cohérence entre les différentes réglementations. Vous avez la loi de programmation militaire, la directive européenne NIS2, mais aussi le code des réseaux, le Cyber resilience act européen et d’autres réglementations sectorielles. Enfin, on manque de ressources humaines. Il faut que nous arrivions à intéresser les jeunes et à féminiser notre profession. Et à tous les niveaux: des personnels qualifiés à moins qualifiés, pour éviter de demander à un ingénieur de faire des tâches qui relèvent d’un technicien.
Comment votre organisation en matière de cyberdéfense évolue-t-elle ?
Nous avons centralisé et réinternalisé il y a deux ans notre centre opérationnel de sécurité (SOC,) c’est une opération qui est en train d’être terminée. Historiquement, nous avions un SOC hybride, en partie interne et externe. Mais à chaque renouvellement de marché, il fallait passer par une longue phase d’apprentissage des processus métiers avec les personnels du nouveau prestataire.
Mais une fois formés, ces derniers avaient des compétences recherchées qui leur permettaient d’être embauchés ailleurs ! Nous avons donc fait le choix de l’internalisation, en créant une filière cyber et un comité cyber pour les ressources humaines, de manière à pouvoir offrir des perspectives de carrière à nos collaborateurs.
Outre ce SOC, nous avons également créé un centre de réponses à incidents (Cert) il y a un an et demi. Il s’agit d’avoir une meilleure capacité d’analyse de la menace, mais aussi de développer nos capacités de réaction. Nous avons embauché des personnes venant de l’Anssi et du ministère des Armées qui avaient une expérience dans les environnements critiques. Nous avons par exemple créé une cellule de cyber threat intelligence avec deux ingénieurs dédiés. Le Cert est localisé à Rennes : c’est un bassin d’emploi très intéressant, un vivier de compétences pérennes qui est en cours de création. Il y aura donc des capacités à créer des passerelles entre les différents acteurs cyber.
En matière de gouvernance, comment vos experts travaillent-ils ensemble ?
Nous avons une coordination de plus en plus robuste entre les différentes chaînes impliquées, les responsables de la sécurité des systèmes d’information (RSSI) de projets, de directions et des sous-structures. Ce réseau fonctionnait bien mais il restait cloisonné sur chaque branche. Nous nous sommes donc attelés à travailler sur la transversalité et à une meilleure coordination de la mise en œuvre des axes cyber du groupe. EDF compte environ 300 experts, des RSSI et des ingénieurs analystes. Ce chiffre nous situe dans la moyenne des entreprises critiques.
Nous avons enfin travaillé sur la résilience. Il s’agit de la défense en profondeur, mais aussi des capacités en matière de sauvegarde ou de résistance aux rançongiciels. Maintenant, nous renforçons nos capacités par métier. Il s’agit de pouvoir continuer l’activité en cas d’une attaque synonyme d’un déploiement temporaire d’un système d’information. Concrètement, il s’agit de pouvoir travailler avec un système de messagerie différent ou de poursuivre une activité de production ou de distribution avec une application plus minimaliste que celle habituellement employée et capable de prendre le relais.
Comment travaillez-vous sur votre cybersécurité avec vos sous-traitants ?
Depuis deux ans, nous avons renforcé nos exigences contractuelles dans nos procédures d’achat. Pour les produits et services liés au système d’information, il n’y a pas eu de changement. Mais nous avons étendu nos exigences aux domaines qui embarquent des systèmes d’information. Pour certains fournisseurs, ce n’était pas évident, il a fallu faire de la pédagogie pour qu’ils comprennent qu’ils pouvaient devenir une cible. Il s'agit par exemple de la gestion technique du chauffage : un attaquant pourrait rentrer par la climatisation.
C’est un sujet pour nous car depuis trois ans, notre posture prévoit une protection par l’isolation en cas d’attaque d’un environnement proche. On coupe les liens, tout en discutant de façon transparente et en apportant notre aide. Nous avons par exemple intégré Altran dans notre processus de gestion de crise cyber quand ils se sont fait attaquer en janvier 2019.
Et avec les autres acteurs de l’énergie, existe-t-il des coopérations ?
Nous échangeons des informations avec les Cert d’Engie et de Total. Nous faisons également beaucoup de benchmark au sein de l’inter-CERT. Et nous sommes présents au niveau européen au conseil d’administration de l’European cyber security organisation (Esco). Cela permet de toucher plus facilement tous les acteurs.
SUR LE MÊME SUJET
[Interview] Comment EDF, cet opérateur "supercritique", organise sa cyberdéfense
Tous les champs sont obligatoires
0Commentaire
Réagir