« La cyber sécurité est un domaine qui évolue très vite »
Comment crée-t-on un service numérique résilient et robuste ? Comment la SNCF appréhende-t-elle la notion même de cybersécurité depuis plus de 20 ans maintenant ? A l’occasion du mois européen de la cybersécurité, Gilles Berthelot, Directeur sécurité numérique du Groupe SNCF répond à nos questions.
Publié le
Par La Redaction
Quelle est l'histoire de la cybersécurité chez SNCF ? À quel moment s'est-elle vraiment mise en place et comment ? Au lancement de la plateforme de e-commerce Voyages-SNCF au début des années 2000 ?
Gilles Berthelot : Dès qu’on a introduit du numérique, on a également dû traiter le risque numérique. Tant qu’il était remplaçable par des processus manuels, cela restait un risque acceptable. Aujourd’hui, comme on a poussé le curseur du numérique très haut pour optimiser le fonctionnement de nos systèmes, le risque a grandi. Je pense que d’un point de vue historique, à partir du moment où on a ouvert les services numériques à l’extérieur de l’entreprise – cela commence effectivement par voyages-SNCF.com qui offre un service en ligne – on a complètement modifié la surface d’exposition de nos systèmes numériques.
Quand on parle de cybersécurité chez SNCF, on parle de quoi ?
Quand on parle de cybersécurité chez SNCF, on parle vraiment de la capacité que l’on a à proposer un service numérique robuste et de confiance, résilient tant par des protections techniques que par des protections organisationnelles, et surtout des actes responsables au niveau humain. Depuis longtemps, la cybersécurité n’est plus une problématique d’experts ni une problématique purement technique, c’est bien aujourd’hui un risque d’entreprise où non seulement c’est l’affaire de tous, mais c’est aussi l’affaire de chacun. Au-delà de la muraille technique que l’on met en place, il faut aussi une grande vigilance humaine. C’est donc une démarche collective qui s’appuie certes sur un réseau d’expertise, mais avec des courroies de transmission jusqu’au plus profond des organisations. Autant sur les systèmes centraux, l’impulsion et les expertises que l’on peut mettre permettent de créer un cadre technique favorisant le respect d’un certain nombre de normes, autant pour tout ce qui est comportemental, il faut jouer sur la fibre humaine managériale et individuelle.
Comment s’organise la cybersécurité aujourd’hui ? Est-ce qu’elle est pensée ‘by design’ ?
Oui, il faut absolument appréhender ce risque dès le départ. C’est tout le sens de notre accompagnement des projets en intégrant la cybersécurité dès leur création. Aujourd’hui, il faut produire un SI robuste nativement résilient, sans oublier que dans le temps, il pourra subir des agressions ou des avaries qu’il faudra aussi pouvoir réparer. L’accompagnement des projets passe donc par la sensibilisation de tous les créateurs du système numérique, que sont les DSI, leurs développeurs et leurs exploitants, mais aussi une sensibilisation des métiers qui doivent appréhender le risque cyber comme intrinsèque à leur démarche de digitalisation de leur activité. Il y a ainsi deux niveaux de contrôle.
Un premier où les responsables cybersécurité des activités des DSI ont la charge de vérifier que les projets naissent bien en sécurité. Et un second avec des contrôles externes, à travers la red team par exemple, une équipe de hackers éthiques créée en janvier 2020, au niveau de la DG numérique et une mission de l’audit de la cybersécurité des SI au niveau de la direction de l’audit interne, qui vient contrôler la bonne prise en compte des mesures de cybersécurité dans la conception des systèmes.
Depuis que nous avons ces équipes dédiées, nous avons remarqué une nette amélioration de la prise en compte des constats. Si la red team réussit à exfiltrer des données personnelles ou des données d’authentification, le constat est là, et donc la réaction est immédiate. L’arsenal de protection évolue lui au gré de la menace. Nous savons qu’il est difficile d’anticiper et d’empêcher tous les risques, donc il nous faut aussi des moyens de détection et de réaction très rapides permettant d’endiguer ou de contenir l’attaque, afin d’éviter une propagation généralisée au système du groupe.
On entend souvent que l'on peut avoir le meilleur système de protection au monde, tant que l'humain sera susceptible d'ouvrir une brèche dans le système une cybersécurité parfaite sera impossible à mettre en place. C'est toujours le cas aujourd'hui ?
Je vais plutôt aller à l’encontre de ce discours assez courant qui veut que le problème soit entre la chaise et le clavier. Nos remparts techniques peuvent être faillibles à un moment ou un autre donc la vigilance des utilisateurs, elle, va être à la fois le premier et le dernier rempart à une attaque. Par conséquent, il faut voir l’humain comme un atout dans la cybersécurité et non forcément un handicap, à partir du moment où il est sensibilisé au risque cyber dans ses usages numériques. Nous multiplions donc les canaux et les supports de sensibilisation pour maîtriser les fonctionnalités mais aussi les risques du numérique.
Quel est le risque numérique principal pour une entreprise comme SNCF ?
Le risque principal tient certainement dans la destruction plus ou moins globale de son système numérique, puisqu’aujourd’hui le système numérique irrigue toutes les activités du groupe. Donc, une attaque majeure destructive de son SI nécessiterait un long temps de remise en état qui pourrait remettre en cause la continuité de l’exercice de sa mission principale de transport ferroviaire.
Est-ce que la SNCF est une entreprise très exposée ?
Oui, c’est une entreprise très exposée, à double titre, parce qu’elle a une activité en ligne très visible, mais aussi parce que l’entreprise consomme des services sur internet, elle peut donc être contaminée par des échanges avec des sites qui eux-mêmes ont été attaqués. La SNCF est une cible comme toutes les autres grandes entreprises ; les motivations sont classiques soit l’appât du gain avec les ransomwares, soit l’intelligence économique avec l’espionnage industriel, soit enfin l’activisme avec la volonté de nuire à une organisation publique française et à son image.
Faisons un peu de projection : à quoi pourrait ressembler la cybersécurité de demain ?
La cybersécurité est un domaine qui évolue très vite, car nous sommes poussés par l’intensité et par l’innovation de la menace. Nous sommes ainsi sans arrêt obligés d’adapter nos protections et nos défenses, tant sur le plan technique que sur le plan humain. On parle beaucoup de solution embarquant de l’intelligence artificielle pour détecter des menaces et protéger automatiquement le système sans intervention humaine. Nous travaillons donc sur ces réponses automatisées aux détections de menaces, pour permettre de réagir plus vite quels que soient l’heure, le lieu ou l’origine. Mais du côté des hackers, l’IA est là aussi utilisée, nous allons par conséquent avoir une lutte assez serrée entre les innovations de défense et celles de l’attaque. On en revient toujours à la fameuse histoire de la lance et du bouclier.
Crédit photo : Bruno Lévy