Olivier Ligneul, directeur cybersécurité du Groupe EDF : «L'IA est un incontournable en cybersécurité »

L'intelligence artificielle devient inéluctable dans de nombreux métiers. En cybersécurité, est-ce un assistant loyal ou un maître dangereux ?

Olivier Ligneul - L'IA est un incontournable à plus d'un titre, en cybersécurité. C'est, d'une part, une technologie qui va être utilisée massivement par nos métiers, pour un certain nombre de finalités dont on ne connaît pas tous les développements. De ce point de vue là, on doit donc s'y intéresser. On doit vérifier les dangers, comment la présenter et comment, éventuellement, participer à sa régulation. Mais également, l'IA devient un outil formidable ou extrêmement dangereux pour les acteurs de la cybersécurité. Elle m'apporte déjà beaucoup de valeur ajoutée pour pouvoir faire notre travail, pour pouvoir démultiplier. Entre les mains d'attaquants, cet outil devient également très dangereux, lorsqu'il est exploité à des fins belliqueuses. L'automatisation existait déjà, mais l'IA permet de virtualiser toute une armée de malveillances. Un tout petit nombre d'individus peut ainsi coordonner des attaques d'envergure, sur lesquelles nous devons, pour le moins, nous interroger.

Des exemples de biais ou d'hallucinations en cybersécurité ?

Il ne faut pas faire croire que l'IA fera des choses qu'elle ne sera jamais capable de faire. Nous n'aurons pas l'IA des films 2001 l'Odyssée de l'espace, Terminator et Skynet. Ceci étant dit, l'IA permet tout de même à son utilisateur d'avoir une sorte de conscience augmentée. Elle peut aussi devenir un outil très intéressant d'acculturation et de protection des patrimoines sensibles pour un RSSI.

Voyez-vous des perspectives d'améliorations dans vos environnements ?

Oui et pas seulement avec l'IA. Pour une meilleure intégration de la sécurité, je note que les automatisations, les mécanismes et moyens de gouvernance autour de l'IT et de l'OT [technologies d'exploitation] sont en train de se structurer. On attire l'attention des directeurs techniques et des directeurs organisationnels sur le pilotage sécurisé de leurs activités. De ce point de vue, cela ouvre davantage la communauté des RSSI à un ensemble d'acteurs du numérique et des objets connectés. On peut ainsi créer des ponts entre eux.

Faut-il redoubler de prudence face aux dépendances multiples entre systèmes IoT, systèmes industriels et systèmes informatiques ?

À mon avis, il faut surtout s'adapter aux contextes d'emploi. C'est l'approche que nous retenons au groupe EDF. Le contexte d'emploi d'une OT n'est pas celui d'une IT. La finalité d'un système industriel c'est de continuer à produire de manière constante. Les enjeux de l'IT sont plutôt la confidentialité, la massification, la standardisation et l'ouverture vers l'externe où certains mondes sont dangereux. On est plutôt assez convergent au sein du groupe EDF, où nous évoquons régulièrement la question, notamment avec les automaticiens. On constate un début de convergence technologique. Il y aura des contextes d'emploi différents, pendant un bon moment, mais du point de vue de la technologie et des acteurs, il est assez probable que cela converge.

La cybersécurité est-elle embarquée dès la conception des dernières centrales nucléaires ?

À l'époque où l'on a construit les premières centrales nucléaires, il n'y avait pas encore de cybersécurité by design. D'ailleurs, il n'y avait même pas d'IT ; on était plutôt dans l'électronique. Depuis, le monde a changé. À présent, la préoccupation de la cybersécurité est prise en compte, dans l'ensemble de nos ouvrages, dès la conception. Nos autorités ont légiféré et sont très intégrées dans les réflexions et dans les validations sur les différents éléments retenus en lien avec la cybersécurité. De la même manière, sur l'ensemble de nos travaux de construction et chantiers, on intègre aussi la cybersécurité dès qu'il y a un peu de numérique.

Les équipes EDF participent-elles à des cas d'usage ou aux projets de recherche cyber ?

Oui, notre entité de R&D compte 2 000 chercheurs, dont une cinquantaine d'ingénieurs en cybersécurité travaillant sur les méthodes formelles permettant de valider l'exécution d'algorithmes, sur les problématiques d'homomorphisme, ou sur la sécurité quantique. On se tient informé des évolutions technologiques et des résultats de la recherche académique. Un de nos centres de R&D a d'ailleurs été bâti à Saclay pour faciliter les collaborations avec d'autres centres de recherche, y compris dans le domaine de l'IA.

Pouvez-vous résumer votre parcours professionnel et vos responsabilités ?

Après un diplôme d'ingénieur, j'ai évolué dans le monde des télécoms jusqu'à la fin des années 1990. Je travaillais alors autour des infrastructures réseaux et des datacenters. Plus récemment, j'ai travaillé autour de la cybersécurité, dans le cadre de mon intégration à l'ANSSI, fin 2009 dès la création de l'agence. Puis, pendant sept ans, d'abord en tant que responsable des activités de conseils et assistance, où j'ai accompagné plusieurs ministères. Après une forte cyberattaque, j'ai intégré le Secrétariat général des ministères économiques et financiers, jusqu'en 2015. À cette date, j'ai rejoint le groupe EDF où, comme directeur de la cybersécurité, je m'occupe de la cybersécurité de toutes les filiales et divisions du groupe, industrielles et IT.

Des missions associatives en complément ?

J'ai progressivement participé aux activités de l'écosystème cybersécurité. J'ai contribué à la création de TOSIT (« The Open Source I Trust »), une association qui regroupe de grandes entreprises et des ministères pour sécuriser les différents environnements open source. Au sein du Cesin, ce club de plus de 1 000 RSSI, je me concentre sur l'animation de la communauté des grandes entreprises et administrations. Enfin, président du club EBIOS qui promeut la méthode d'analyse de risques éditée par l'ANSSI, j'accompagne les évolutions de cette méthode.

Photo : © DR