Olivier Hoberdon - DSI Bouygues SA : « Avec NIS 2, on ne peut plus se cacher et on ne peut plus jouer avec le feu »

Comment analyser le mouvement majeur de déploiement des solutions cyber sur le Cloud en mode as a service ?

Olivier Hoberdon - De plus en plus d'entreprises ont transféré une partie de leur SI dans le Cloud, ce qui les amène à s'intéresser aux offres de cybersécurité en mode service. C'est aussi une manière pour Bouygues SA comme de nombreuses entreprises de se recentrer sur son coeur du métier qui n'est pas d'être éditeur de solutions cyber ! C'est un moyen de gagner rapidement une posture cyber contre les menaces qui évoluent sans arrêt. Et c'est encore plus vrai avec le développement de l'intelligence artificielle générative. Concrètement, la « cyber as a service » donne accès à toutes les briques de sécurité, sans consentir d'investissement lourd comme un SIEM, et avec des mises à jour permanentes qui repoussent le risque d'obsolescence. Cela permet aussi d'assurer la scalabilité.

Cependant, quand j'échange avec mon RSSI, on recentre le sujet sur les avantages et les risques du passage sur le Cloud. Il y a beaucoup de solutions cyber sur plusieurs plateformes. L'enjeu c'est de rationaliser les choix techniques parce qu'on ne peut pas multiplier les effectifs, les compétences et le nombre de consoles à regarder. Un autre sujet, c'est l'introduction des risques en externalisant. Il faut s'assurer que la posture cyber que tu t'imposes soit la même chez ton prestataire. Ceci dit, je constate une maturité croissante des offres cyber qui couvrent tous les piliers de NIST, que ce soit pour les outils de gouvernance, de détection ou de reprise d'activité.

La question de la gouvernance des identités et des accès apparaît comme une préoccupation majeure des RSSI. Est-ce la clé de voûte d'une politique cyber ?

Oui, et encore plus maintenant avec l'ouverture du SI à nos prestataires et à toutes ces applications SaaS. Le point commun, c'est cette gouvernance des identités regroupée sous le vocable IAM. Cela devient l'élément clé de ta politique cyber. Elle aide à prévenir les violations de données, à assurer la conformité, à améliorer l'efficacité opérationnelle et à gérer les risques. Le fait de dire « je contrôle qui a accès à quoi, quand, comment et pourquoi », c'est vraiment la quadrature.

C'est ce qu'on retrouve derrière le « Zero Trust ». C'est un chapitre qui est extrêmement important, voire obligatoire, dans une bonne politique cyber. Le principe du moindre privilège, du « just in time » et des accès conditionnels, c'est ce qu'on pratique chez Bouygues SA. Il a fallu trouver un juste équilibre entre la sécurité et le confort des utilisateurs. Nous avons eu un gros travail de formation et de sensibilisation des collaborateurs, mais aussi surtout des administrateurs. Car n'oublions pas que les comptes à privilèges restent une surface d'attaque de choix ! Ceci dit, les projets d'IAM sont des projets complexes et coûteux à mener.

Cette tendance forte de l'externalisation impose-t-elle une sélection plus rigoureuse des prestataires ?

Oui. D'abord un bénéfice. Cette externalisation rapproche les fonctions DSI et RSSI. C'est une véritable danse à deux car il y a une confrontation entre performance et sécurité. Le DSI amène les contraintes liées au business et le RSSI ses contraintes cyber. C'est pour cette raison qu'il faut énormément échanger afin de grandir ensemble. Le juste équilibre, c'est le management par le risque pour développer le business en respectant les règlementations. C'est illusoire de vouloir tout protéger.

Il m'est arrivé d'avoir un « no-go » du RSSI pour une solution SaaS, parce que le fournisseur ne répondait pas à nos exigences de posture cyber. Car oui, la tendance croissante vers l'externalisation, vers le Cloud ou des solutions SaaS nécessite une sélection plus rigoureuse des prestataires en matière de cybersécurité. Pour chaque application SaaS, on a un questionnaire d'exigence annexé au contrat. C'est une étape obligatoire avant toute contractualisation, qui nous permet de connaître la posture cyber de notre prestataire. Il y a quatre points qui sont vraiment importants.

Le premier, c'est la gestion des données. On a besoin de garantir le même niveau de confidentialité, d'intégrité et de disponibilité que si on l'avait fait en interne. Le deuxième, en lien direct avec le premier, c'est la conformité réglementaire, avec par exemple la localisation des données. Le troisième point, c'est la gestion des risques, en particulier avec la sélection des prestataires. Et le dernier point, c'est la capacité à la récupération après-sinistre : comment le prestataire va gérer son PRA (plan de reprise d'activité) et minimiser les perturbations pour votre organisation.

Cette méthode permet d'engager une discussion avec le prestataire avant la contractualisation. Cela nous permet d'apprécier leur maturité cyber, leurs pratiques de sécurité, leurs investissements sur cette thématique et de clarifier les responsabilités, surtout entre les différents modèles de SaaS (de l'infrastructure - IaaS - au logiciel - SaaS - en passant par la plateforme - PaaS). C'est un point essentiel pour éviter que le divorce soit compliqué à gérer, surtout en cas de crise cyber.

Est-ce que NIS 2 va contribuer à élever le niveau de compétences des prestations cyber ?

Je pense que oui. NIS 2 devrait contribuer à élever le niveau de compétences des prestations cyber, en imposant des standards plus élevés et plus homogènes, et en favorisant l'échange de bonnes pratiques et de retours d'expérience. Une entreprise attaquée partagera avec l'agence les caractéristiques techniques de l'incident (les indicateurs de compromission ou IoC) et le partage avec les autres entreprises permettra que chacun se protège.

Avec NIS 2, on ne peut plus se cacher et on ne peut plus jouer avec le feu. D'autre part, la directive va imposer une formation et une responsabilisation des dirigeants : cela fait prendre conscience que la cybersécurité n'est plus seulement un sujet d'expert technique, mais bien une thématique d'entreprise à considérer. Cette démarche renforcera l'hygiène sécurité de tous nos prestataires. Parce que nous sommes tous interconnectés, ou au moins interdépendants, ce sont des écosystèmes entiers qui vont progresser. Dans un monde de plus en plus digital, aucune entreprise peut dire ne pas être concernée par cette cyber résilience.

On perçoit une préoccupation forte des RSSI face à l'émergence rapide de l'IA générative. Certains y voient une recrudescence de risques, d'autres y voient un terrain d'opportunités. Quelle est votre perception ?

C'est vraiment une forte préoccupation parce qu'il y a une augmentation des risques, mais aussi des opportunités. C'est souvent pareil... Le verre à moitié plein, à moitié vide. Bien que cette technologie stimule la création de contenu et améliore les processus métier, elle peut également être utilisée à des fins malveillantes (manipulation, falsification, désinformation). L'IA générative peut créer du contenu réaliste voire très réaliste, ce qui peut être utilisé pour des attaques de phishing ou d'ingénierie sociale. Cela peut affecter la réputation de l'entreprise et la confidentialité des données. Nous avons besoin de sensibiliser les collaborateurs à ces enjeux, à la fois éthiques et juridiques.

Comme beaucoup d'entreprises, nous avons adopté une charte sur l'utilisation responsable de l'IA. Parce qu'on ne veut pas et que l'on ne peut pas l'interdire, il faut qu'on se l'approprie et qu'on la comprenne. Et c'est aussi vrai du côté de la défense cyber, c'est un fabuleux sujet parce que la cyber a produit une quantité astronomique de données. Donc c'est un terrain vraiment très fertile pour développer des modèles comportementaux (par exemple la détection des voyages impossibles, des tentatives de connections à des heures inhabituelles).

Je vois que toutes les solutions, ou presque, qu'on nous propose sur le marché s'appuient beaucoup sur les modèles comportementaux. Je trouve que c'est bénéfique parce que ces sujets-là, il y a encore trois ans, on ne les voyait pas aussi finement. C'est une opportunité car on repère davantage de signaux faibles avec le SOC couplé avec de l'IA. Cela permet de faire un « hunting » plus fin, de faire des corrélations plus sophistiquées entre plusieurs indicateurs et de gagner en vélocité. Mais ce n'est pas magique, on a encore besoin de l'humain. Nos collaborateurs restent notre meilleur rempart contre les attaques.

Sur le marché, tous les éditeurs cyber prétendent avoir intégré de l'IA générative dans leurs solutions. Comment jugez-vous cela ?

Pour certains, c'est du PowerPoint... du marketing. C'est quand même malheureux de dire que si je n'ai pas mis le logo IA, finalement, ma solution n'est pas bonne. Donc, attention à cela. Encore une fois, ça ne remplacera jamais une compétence d'un RSSI ou la compétence d'un analyste. L'IA générative, les attaquants l'ont aussi.

Le recrutement de talents et leur fidélisation restent des préoccupations majeures des RSSI. Comment abordez-vous cette problématique chez Bouygues ?

Le recrutement et la fidélisation des talents en cybersécurité sont en effet des défis majeurs pour le Groupe dans un paysage où la demande de compétences en sécurité informatique dépasse largement l'offre disponible. Tout comme la data, nous sommes sur des métiers pénuriques. Au sein du Groupe, nous avons une communauté IT et Digital BYTECH qui réunit plus de 3 500 collaborateurs. Parmi cette communauté, depuis deux ans, nous avons une communauté dédiée BYTECH Cyber qui est composée de plus 250 collaborateurs cyber avec une dimension internationale.

Afin de faire connaître la richesse de nos métiers, nous participons à des événements spécifiques comme « Women and Cyber » en mars, ou plus récemment l'« European Cyber Cup » lors du FIC. Des rencontres avec des écoles spécialisées (par exemple École 2600) sont aussi organisées. Chaque année, nous organisons un CTF interne permettant à l'ensemble des membres de la communauté d'échanger, de partager, de connaître les filiales du Groupe et de favoriser les mobilités internes. Enfin, chaque métier du Groupe développe des parcours de formation continue et certifiante sur la thématique cyber.

Propos recueillis par Philippe Leroy