Rémi Grivel (vice-président Clusir Rhône-Alpes) : « C'est compliqué d'ouvrir et de sécuriser au maximum le SI »

LMI. Rémi Grivel vous êtes vice président du Clusir Rhône-Alpes, quel est son périmètre d'activité ?

Rémi Grivel. Le Clusir Rhône-Alpes est une association qui va rassembler différents membres, DSI, RSSI, des DPO aussi sur tout le territoire Auvergne Rhône-Alpes. On dépend du Clusif, association parisienne sur qui va couvrir tous les aspects de la sécurité et autour des normes ISO. On a des liens historiques avec la Gendarmerie et différents services de l'Etat en protection des données et de la sécu. Au sein du Clusir il y a 3 clubs. Le club de la sécurité des SI qui réunit l'ensemble des membres sur des thèmes qu'ils souhaitent aborder, différents en fonction des années, ce qui se fait dans l'état de l'art de manière a se protéger et travailler collectivement autour des ransomwares etc, C'est assez large. Un deuxième club lié à l'intelligence collective, comment je protège, gère et structure les infos confidentielles et comprendre comment on doit les utiliser, avec un vraie culture autour des infos confidentielles que l'on doit protéger. C'est important d'avoir de vrais débats autour de ça. Et puis il y a le club ethical hacking  qui a pour objectif de comprendre comment un hacker va attaquer, mettre en place les techniques pour protéger des failles qui sont utilisées dans le SI. C'est un club avec de la mise en pratique pour former les RSSI, les ingénieurs sécu pour mettre en place le bonnes méthodes de protection. Ces clubs sont complémentaires et se réunissent tous les mois, en présentiel, et depuis le début de l'année en visio pour toucher les régions, et départements équidistants.  Ce que l'on voit avec ce confinement pour passer des contenus en ligne, mais dès que l'on pourra on fera du présentiel et de la visio.

Et en termes de membres et d'évolution ?

Il y a environ, 150-200 membres au niveau de l'ensemble des RSSI et DSI, il y a un a deux membres par structure.

Ce contexte de crise sanitaire couplé à la multiplication des cyberattaques donne du fil a retordre au rssi : comment les membres du Clusir Rhône-Alpes vivent ils cette situation ?

Ce que l'on voit quand on échange, c'est que le club n'a pas vocation à  avoir des démos produits commerciales. Le but ce sont de présenter des démos non commerciales de l'état de l'art de la sécurité c'est un point important. Entre les DSI, les RSSI et nous il y a de vrais échanges et la collaboration n'est pas perturbée par un dialogue pour positionner une solution ou quelque chose, c'est la philosophie du Clusir. Ils échangent beaucoup sur ce qui leur arrive. Un des éléments de la crise sanitaire c'est la multiplication des attaques et l'obligation de faire en sorte que les gens continuent de travailler, ouvrir les SI, dans le but de permettre facilement le télétravail mais jamais faire de compromis avec la sécurité. La grande difficulté des RSSI, c'est que dirigeants ont envie que leur production fonctionne et tourne. C'est compliqué d'ouvrir et de sécuriser au maximum, c'est un boulot pas simple, multiple et multifacettes. Cela va des outils aux pratiques d'hygiène que les collaborateurs n'ont pas forcément quand ils sont chez eux. On a vécu des situations pas simples, pour nous le principal c'est échanger et donner des méthodes pour mieux préparer et faire en sorte que l'organisation réponde correctement.

Quelle évolution avez-vous constaté entre 1er confinement et celui-ci  ? Y-a-t-il eu prise de conscience de ce qui s'est passé, du recul et de l'adaptation des RSSI ou c'est toujours encore le plan B et le nez dans le guidon par rapport à la sécurisation ?

Le sentiment c'est que pour ce deuxième confinement, les gens sont déjà bien mieux préparés, très clairement, même si personne le voulait les RSSI sont très contents que les gens restent en entreprises et gardent le télétravail. Ils ont bien pris leur place. Il y a une préparation beaucoup plus présente, c'est en tout cas ce que l'on voit dans les échanges au niveau du club. Cela ne veut pas dire que tout est parfait et prêt, mais sur la partie sécurité du SI, les projets peuvent se faire rapidement, d'autres sont plus longs, et tout n'est pas abouti. Tout n'est pas simple et dépend des thématiques.

Quelles sont les cybermenaces les plus impritantes et virulentes du miment parmi les récentes comme Emotet, Ryuk... 

Ce sont celles que vous avez évoquées. Il y aussi un peu de tout dans les attaques, des échanges aussi sur du chantage qui peut se faire avec de la récupération de données de différentes structures. C'est multiple et c'est d'ailleurs ca qui fait que c'est complexe a gérer. On on avait vu une vrai augmentation du nombre de menaces dans le premier confinement, on semble dire que ça repart. On le voit avec des grands groupes qui se font récupérer leurs données via beaucoup du phishing et des robots, ça continue plein pot avec le confinement. Plus les gens sont à distance et éloignés de chez eux, plus c'est facile de les avoir. Iil faut sensibiliser et expliquer : RSSI et DPO ont un vrai rôle de sensibilisation et d'alerte à renvoyer dans leur organisation. Pourquoi pas des meetings en visio ? On peut voir des méthode pour sensibiliser les gens comme des petits jeux pour montrer comment il peuvent se faire récupérer leurs données, les sensibiliser, et faire en sorte qu'ils soient plus attentifs. Souvent on a beau mettre des protections importantes, globalement la porte d'entrée et l''attaque la plus basique, le maillon faible, reste l'humain. Il faut sensibiliser, c'est un boulot difficile et encore plus difficile quand ils ne sont pas sur site.

Cette fin d'année a été marquée par la cyberattaque importantes et virulentes, comme contre Sopra Steria : quelles remontées des membres avez vous en termes d'inquiétudes au Clusir Rhône-Alpes ?

Couper les ponts. Il faut que la DSI et les gens mettent en place des mesures et contre mesures pour éviter que ça se propage. Il faut le faire car à un moment ou un autre si cela remonte sur les partenaires ou autre il faut circonscrire tout de suite. L'inquiétude c'est de se prendre des attaques par bots surtout pour des organisations plus importantes. Les inquiétudes sont multiples, il y en en a pas plus pas moins avec ce deuxième confinement. Les membres sont en alerte par rapport à ce qui se passe. Il y en a qui en profite pour attaquer, faire du ransomware, chantage et cela ne s'arrête pas, c'est un business qui marche bien.

Les attaques par rebond font partie de vos discussions et travaux ? Avez-vous des remontées sur les membres qui ont été surpris ou pas par l'attaque contre Sopra Steria ?

On a évoqué forcément cela? C'est difficile dans un SI tout interconnecté d'avoir une vraie vision globale : plus c'est interconnectéé, plus c'est dangereux. Ce sujet est central dans les SI complexes, maintenant ce n'est pas un sujet que l'on a plus évoqué que d'autres particulièrement car il faudrait un cas pratique ou voir ce qui s'est passé et que l'on n'a pas forcément eu de personnes qui témoignent par rapport à ça. Des gens touchés directement par rapport à des rebonds ? Pas à ma connaissance mais touchés par des attaques forcément.

Au-delà des actions à prendre pour les RSI en back up et senbsibilisation, pour armer cette résilience que faut-il faire et quelles issues les RSSI n'auraient pas encore explorées ?

Sur la résilience, la capacité de protéger, il y a toutes les choses de base qui font partie de l'hygiène comme la sensibilisation et après tout va dépendre sur la partie cyber de la taille de l'organisation et comment elle est organisée. Organiser veut dire le prévoir, avec des gens qui s'en occupe de manièreà ce que cette philosophie de la sécurité rayonne partout. Tout le monde doit dans son travail, sa façon de développer, à la communication, etc. doit avoir cette vision et cette alerte là de façon a faire les choses dans les règles de l'art de la sécurité. Les RSSI doivent piloter ces comités sécurité de manière a mettre en palce les processus pour se protéger mais à la fois de réagir le plus vite possible. Toute cette organisation qui dot diffuser la sécurité est essentiel. Plus les équipes sont formées, plus on va avoir une sécurité et une méthode de fonctionnement qui permet a la société de fonctionner même en temps d'attaque. L'apprche sécurité doit être la même que l'approche qualité, pour permettre à une entreprise d'être résiliente et capable de rebondir quoi qui se passe. On se rend compte qu'il y a plein de sécurité mais qu'il y a un manque de connexion humaine. Il y a un système bien calé, un RSSI et tout le monde qui bosse, mais pendant ce temps  quelqu'un se fait piquer son portable.... on a beau prévoir, tant que toute l'organisation n'est pas dans le même mode de securité, on n'est pas complètement protég. Tous ces éléments et organisation font que l'on est capable de réagir et de se protéger, ce qui est difficile encore plus dans les petites structures qui n'ont pas les moyens. Dans les très grosses multifacettes et interconnectées c'est compliqué aussi, même si elles sont des moyens. Cela nécessite organisation et processus qui rejoignent es enjeux du club IE dont je parlais tout à l'heure.

Sur quels travaux, commissions s'attendre du Clusir Rhône-Alpes dans les prochains mois ?

Des événements interclubs que l'on veut organiser avec différentes associations pour avoir un reseau et échanger, c'est toujours très enrichissant. Après l'objectif aussi c'est d'élagir nos réunions, très présentielles sur Lyon. On avait lancé des Clusir plus locaux mais qui n'ont pas perduré car il faut une communication  importante pour proposer et répondre aux thèmes, quand pas assez de membres on s'épuise. On pense quand même que finalement avec les outils de visio que l'on a pu utiliser grâce au confinement on va pouvoir faire ces réunions à la fois en présentiel et en visio. On pense pouvoir rassembler les sites plus éloignés que Lyon : on gardera toujours une partie présentiel car on voit qu'avec uniquement les visio c'est difficile de créer du lien et  d'arriver à échanger avec confiance c'est un point essentiel. La confiance ne se communique pas, elle se créé en comprenant ce que les gens font ensemble, cela reste de l'humain, cela reste de l'échange, commencer un vrai dialogue parce qu'ils se connaissent et ont des connaissances et compétences qui leur permettent d'évoluer et de s'enrichir mutuellement. C'est important ces rencontres présentielles parce qu'en visio ce n'est pas certain que cela dure. Il faut les deux pour ramener les gens et qu'il y en ai pas sur le bas côté et permettre une qualité d'échange qui est extrêmement importante et indépendante de tout lobbying commercial qui donne une vraie force aux échanges.