transfer édition 02 | 2020

Non à la mafia numérique

Identifier rapidement les piratages et réagir au plus vite

Axpo est la plus grande productrice d’énergies renouvelables. Avec plus de 5'000 employés, elle développe dans plus de 30 pays d’Europe, d’Asie et des États-Unis des solutions innovantes autour de l’énergie en s’appuyant sur des technologies de pointe. Comment une entreprise d’une telle taille se protège-t-elle efficacement contre les cyber-piratages ? Chief Information Security Officer Daniel Gerber nous présente le modèle que l’Axpo suit.

Monsieur ­Gerber, quels sont les défis actuels liés aux dangers en cours pour un CISO, soit le chef de la sécurité des informations ?

Daniel Gerber : De nombreuses entreprises croient encore que le secteur des technologies opérationnelle (OT) n’est pas une cible de la cyber-criminalité. Au niveau informatique, soit l’informatique bureautique et commerciale, les piratages ont lieu plus souvent et donc les acteurs de ces secteurs ont plus conscience des dangers. Les incidents comme le Blackout de 2015 en Ukraine, aident de plus en plus les CISCO à argumenter en faveur des mesures de protection dans le secteur des technologies opérationnelles. Les pirates préparent leur travail pendant plusieurs mois, du réseau administratif, soit le secteur informatique, jusqu’aux technologies de conduite en réseau, puis déclenchent une coupure de courant. Trois fournisseurs d’électricité et 225'000 clients ont été touchés. En tant que Chief Information Security Officer, on est responsable de préparer l’entreprise à de tels scénarios.

« On ne pirate que ce qui est mal protégé. Les pirates ne s’intéressent pas à ce que c’est. »

Daniel Gerber, Chief Information Security Officer (CISO), Axpo

Et comment fait-on ?

La première règle de base est de strictement séparer les réseaux en différentes zones, aussi appelé dans notre jargon « Defense-in-Depth-Strategy », soit une défense en profondeur. Avec une stratégie de cyber-sécurité, nous protégeons entre autres les moyens qui servent à exécuter des processus critiques. Cette stratégie de cyber-sécurité accepte l’absence de protection complète contre les cyber-risques. Au lieu de cela, on a pleine conscience de ses failles et on développe des mesures et des stratégies en fonction : identifier sa propre exposition face aux cyber-risques pour se protéger au mieux, identifier les failles de sécurité afin de réagir en fonction et retourner très vite à un fonctionnement normal.

Les entreprises souhaitent se mettre en réseau afin de travailler plus efficacement. La coopération entre les équipes doit donc être simple. Une chose que l’on met en place et entraîne inévitablement des écarts à cette stratégie « Defense-in-Depth ». La prévention classique, soit de construire un mur autour de soi et se verrouiller à double tour – se perd ici en partie. La maintenance préventive aujourd’hui très appréciée sur les centrales et les réseaux, nous oblige à nous ouvrir. Sans des mesures de protection complémentaires, il faut compter ici sur une plus forte probabilité d’un piratage. C’est pourquoi, je peux dire que la stricte séparation des réseaux IT et OT est nécessaire, de même qu’une meilleure mise en réseau de l’IT et l’OT.

Comment les pirates procèdent-ils ?

Les pirates suivent de nos jours un plan commercial. La cyber-criminalité pèse désormais des millions voire des milliards d’euros. Elle n’attaque le plus souvent pas de manière ciblée un approvisionnement en eau. Elle agit dès qu’elle trouve une entreprise qui présente des failles extérieures. Dès que les pirates ont matière à faire chanter l’entreprise et donc peuvent récupérer de l’argent, ils le font. C’est en fait le même principe commercial que la mafia : si tu me paie une taxe, je ne te fais rien. Sinon, je détruis l'entreprise.

L’époque des pieds-de-biche appartient au passé, les pirates sont devenus beaucoup plus subtiles et patients. Les utilitaires dont ils se servent, sont hautement automatisés. Nous retrouvons ici deux stratégies que nous devons prendre en compte : ‹ Nord-sud › et ‹ Est-ouest ›. La tactique ‹ Nord-sud › correspond au piratage classique. Le pirate frappe à la porte d’Internet et se profile tout le long du système informatique jusqu’à atteindre les technologies opérationnelles, puis coupe le courant par exemple dans un ouvrage auxiliaire insuffisamment protégé. Un autre scénario est la tactique ouest-est : cette dernière est cyber-physique. Un pirate se rend sur place dans la centrale ou dans un de ses ouvrages auxiliaires, puis tente de s’infiltrer dans les autres secteurs à l’aide de son équipement apporté.

Disposez-vous d’un modèle efficace contre cela ?

Notre modèle s’appelle « Axpo Adaptive Cyber Security Framework ». Nous nous appuyons ici sur l’infrastructure Gartner Adaptive Security Infrastructure et nous nous orientons sur le Framework NIST. Ces deux principes sont très proches. Chez Gartner, les bases sont un peu limitées et chez NIST, ce sont les prévisions. Notre cadre s’appuie sur cinq piliers : les bases, la prévision, la prévention, la détection et la réaction. Nous mettons en outre en place une surveillance permanente de la sécurité, des personnes, des processus et des technologies.

Depuis l’année commerciale 2014/2015, nous poursuivons notre stratégie de sécurité informatique 1.0, qui se base avant tout sur la prévision et les mesures préventives de protection, lesquelles sont continuellement optimisées.

La prévention dépend fortement des personnes. Notre personnel suit régulièrement des formations. Les employés apprennent l’ABC de la cyber-criminalité, les choses à faire et à ne pas faire. Ce sont les fondations – ‹ Personnes, processus et technologies ›, exactement dans cet ordre. Une tentative de phishing est dirigée vers une personne et non vers une machine. C’est pourquoi à nos yeux, les personnes sont la clé de la réussite. Nous organisons aussi des séances de piratage en direct et embauchons des ‹ White Hat Hacker › afin de mieux concrétiser un sujet relativement abstrait. Ces évènements ouvrent une toute nouvelle prise de conscience. Il est en outre essentiel de communiquer dans un langage non technocrate, mais accessible au plus grand nombre.

Pendant l’année commerciale 2018/2019 nous avons lancé la stratégie de cyber-sécurité 2.0. Cette dernière s’appuie avant tout sur les piliers de la détection et de la réaction. Nous visons l’objectif de détecter un piratage en amont grâce à la ‹ Cyber Kill Chain ›, et de l’étouffer à l’état de germe. Aussi bien au niveau de l’informatique commerciale et bureautique que de celle des processus, nous avons sectorisé chaque couche et placé des ‹ alarmes › dans chaque zone. Dans de tels réseaux segmentés, les pirates doivent se préparer et graviter les secteurs les uns après les autres. Dès que nous savons où l’alarme s’est déclenchée, nous pouvons réagir de manière ciblée.

Pour la détection, nous collectons en outre les fichiers journaux issus de différentes sources comme les pare-feux, les emails et les serveurs, puis nous les sauvegardons de manière centralisée afin d’identifier des modèles. Cela est identique par exemple aux méthodes des sociétés offrant des cartes de crédit, afin de détecter les transactions frauduleuses et les arrêter.

« La cyber-criminalité amena la méthode de la mafia dans Internet : si tu me paie une taxe, je ne te fais rien. Sinon, je détruis l'entreprise. »

Les petites entreprises ne disposent pas de tels moyens. Que recommandez-vous pour ces dernières ?

Une simple prévention au travers d’un pare-feu et d’un anti-virus est tout aussi insuffisante pour les petites entreprises. Une chose que l’État a clairement défini au travers de son standard TIC minimum qui s’adresse aussi bien aux PME qu’aux grandes entreprises. Il recommande aussi des mesures de détection.

La première recommandation ­vraiment indispensable est pour moi, d’installer les patchs de sécurité et ce avant tout sur les systèmes exposés à Internet. Près de 90 % des piratages passent au travers des failles logicielles car les systèmes n’ont pas été actualisés à temps. L’installation précoce de tels patchs est absolument indispensable. Sur les systèmes où cela est impossible, je recommande de les sortir de la cyber-zone minée au travers d’une sectorisation pertinente. Je recommande en outre aux petites entreprises de s’abonner par exemple au fil d’actualités Heise Security Feed (www.heise.de/security/alerts) ainsi que de faire régulièrement vérifier la sécurité par une tierce personne. Il vaut mieux optimiser de tels processus que d’investir dans de gros systèmes d’alarme. Lorsque l’interaction entre les hommes et les processus ne fonctionne pas, le meilleur des systèmes d’alarme échouera aussi.

Et qu’est-ce qui se dessine chez vous par la suite ? Êtes-vous désormais vraiment en sécurité ?

La stratégie de cyber-sécurité 2.0 nous amène vers un nouveau niveau de maturité dans le domaine de la cyber-sécurité. Nous avons été évalués lors d’un test de la société Ernst & Young comme au-dessus de la moyenne européenne des entreprises énergétiques. Notre objectif reste cependant clairement d’aboutir au niveau des « Meilleures pratiques » et entrer ainsi dans le TOP 5 des grandes entreprises suisses. Nous ne souhaitons pas rester simplement à mi chemin. Nous visons la cime du sommet. Un point c’est tout.

Merci beaucoup pour cet entretien.

Crédit photo: iStock/ands456, iStock/in-future, iStock/Kritchanut