La digitalisation de l’industrie, gage de productivité, n’est pas sans accroître l’exposition aux cybermenaces : rançongiciels, vols de données, prises de contrôle, voire sabotages. Aux manettes de la stratégie de cybersécurité du groupe Suez, Antoine Ancel s’ingénie à réduire ces risques.
- Nouvelles menaces, nouveau métier
Le RSSI était autrefois vu comme le gardien numérique d’une entreprise, un expert technique travaillant en coulisse pour colmater les brèches propices aux intrusions et mettre à jour les systèmes de protection. Depuis, le métier a beaucoup évolué. Antoine Ancel se décrit comme un chef d’orchestre : « Le champ que doit couvrir le RSSI est devenu très vaste et il faut travailler de façon transversale. » Dans l’industrie, le numérique s’invite désormais partout, des services administratifs, financiers et commerciaux aux outils de production, de plus en plus digitalisés. Il s’agit donc de sécuriser l’IT (les données et outils de communication) mais aussi l’OT (la technologie opérationnelle, en particulier les machines). Deux mondes qui n’évoluent pas à la même vitesse, ne se sécurisent pas de la même façon, mais sont de plus en plus interconnectés.
- Une protection à penser à tous les niveaux
Antoine Ancel est entouré d’une équipe pluridisciplinaire pour pouvoir travailler avec tous les services. Il s’agit par exemple de faire du security by design en accompagnant les équipes d’étude et développement pour que leurs logiciels soient dévulnérabilisés, c’est-à-dire qu’il n’y ait aucun mécanisme d’attaque possible sur le code source. Il s’agit encore d’établir différentes exigences contractuelles, en travaillant conjointement avec les directions juridique et des achats, pour éviter que des sous-traitants insuffisamment protégés ne deviennent source d’attaques (supply chain attack). Il s’agit également de veiller, avec les équipes du cloud et des data centers, à « ne pas mettre tous les œufs dans le même panier » – à savoir que les serveurs sensibles ne soient pas tous réunis au même endroit.
S’ajoute une problématique majeure : l’obsolescence du matériel. « Je ne crois pas qu’il y ait un industriel qui n’ait encore, en quelque endroits, de vieux systèmes Windows ou même DOS… », glisse Antoine Ancel. Un talon d’Achille face auquel le RSSI a deux possibilités : isoler les systèmes sensibles (ils ne seront pas connectés à internet) quitte à prévoir l’intervention d’un agent pour déplacer des données, ou mettre en télémaintenance tout en garantissant que la chaîne de liaison soit ultra sécurisée – donc complexe et coûteuse.
- Localiser les points chauds
« Nous ne pouvons pas couvrir tous les risques, et ce, tant d’un point de vue économique que rationnel », reconnaît Antoine Ancel. Il s’agit donc de cibler les systèmes les plus critiques en s’appuyant sur des analyses de risque. « Sur la base d’une grille des différents scénarios de menaces tels qu’une usurpation d’identité, une fuite de données, une indisponibilité de matériel… énumère-t-il, nous mesurons les impacts que cela aurait tant en termes financiers, d’image, que d’arrêt de la production. » Lors d’une cyberattaque, l’entreprise peut en effet être touchée à plusieurs niveaux et le RSSI joue avant tout le rôle de « déclencheur de crise », lançant un process de gestion qui se structurera à l’échelle du groupe.
Si le RSSI diligente ces analyses de risque, ce n’est pas lui qui choisit le niveau de protection à appliquer. Il apporte la méthode permettant d’identifier ce qui doit faire l’objet d’une protection standard ou renforcée. Puis il fait des recommandations sur les mesures à appliquer pour arriver à un risque résiduel acceptable par les directions métiers. Autant de briques à assembler pour ériger un mur de protection cyber, « comme un jeu de LEGO », image-t-il. Pour convaincre de conférer à ce dernier la bonne hauteur, il doit déployer des compétences techniques mais aussi communicationnelles. Un exercice qui, dans l’OT, « n’est pas évident, concède Antoine Ancel, même si les directeurs techniques industriels commencent à avoir la bonne maturité sur ces sujets ».
- La cyber, une culture en partage
Organiser des campagnes de sensibilisation et de formation afin d’améliorer l’acculturation sur ces sujets fait justement partie des missions du RSSI. La cybersécurité étant en constante évolution, lui-même doit réaliser une veille soutenue tant sur les évolutions technologiques que réglementaires. Il s’agit par exemple d’anticiper la façon dont la France et les autres pays vont transposer la nouvelle version de la directive européenne de cybersécurité NIS. Si le RSSI peut compter sur son équipe pluridisciplinaire, il y consacre également du temps et ne manque pas de participer aux nombreux événements dédiés. « Le monde de la cyber est très communautaire », note-t-il. On s’y serre les coudes, et l’on fait front commun face aux hackers.
- Pour aller plus loin :
En plus de ses missions scientifiques et techniques, l’Astee (Association des professionnels de l’eau et des déchets) œuvre à valoriser les métiers de l’eau et des déchets depuis plus d’une dizaine d’année notamment à travers plusieurs actions à destination des jeunes, étudiants et professionnels. C’est également à ce titre, que l’année dernière, l’Astee a participé à la rédaction du Guide Métiers – Moderniser les réseaux d’eau publié par Emploi Environnement.
Ce portrait d’expert a suscité votre intérêt ? Retrouvez le en intégralité aux côtés d’autres contenus scientifiques et techniques dans notre revue TSM (Techniques Sciences Méthodes).
Auteurs :
Yoann Frontout
Mathilde Silvert
Astee
