Olivier Ligneul (EDF) revient sur les leçons cyber après deux années de crises
publié le par Fabrice Deblock
Le Directeur Cybersécurité du Groupe EDF nous livre son analyse sur les principaux points du rapport DBIR (Data Breach Investigations Report) 2022 de Verizon et nous fait part de ce qui a changé depuis deux ans dans sa stratégie de défense anti-cybercriminalité.
>> Cette interview est réalisée dans le cadre du petit déjeuner Alliancy et Verizon « Cybersécurité des entreprises : Comment s’adapter en intégrant les enseignements de deux années de crises ? », du 6 juillet 2022 au Campus Cyber. Retour sur les leçons cyber évoquées durant cette matinée.
L’édition 2022 du rapport DBIR de Verizon met en avant une progression de 13 points des ransomwares par rapport à 2021, soit plus que pendant les cinq années précédentes cumulées. Ils sont maintenant à 25 %. Le constat est-il similaire de votre côté ?
Olivier Ligneul : Je rejoins le constat d’une explosion des attaques par ransomware. Ces attaques sont désormais menées de manière systématique et elles ciblent plutôt les entités de petite et moyenne taille, y compris dans les grands groupes. Ces attaques sont très industrialisées et nous faisons face, d’une manière récurrente et permanente, à de nouveaux cycles d’attaque. Elles visent les entités de taille moyenne, car les mécanismes de protection y sont moins importants que dans les grosses structures centralisées critiques. Et cela attire moins l’attention d’acteurs étatiques ou d’acteurs liés aux aspects critiques des entreprises.
Toujours selon le rapport de Verizon, la chaîne d’approvisionnement (supply chain) a été responsable de 62 % des incidents d’intrusion dans les systèmes cette année. Quelle est votre réaction sur ce point ?
O.L. : Nous avons constaté une légère augmentation, mais sans que cela n’explose, de l’implication de la supply chain dans les incidents, sachant que le niveau était déjà très élevé. Nos écosystèmes, que ce soient les relations de rang 1 ou de rang 2 (les relations de nos relations), se font toujours autant attaquer. Cela nous impacte fortement, car nos procédures prévoient de couper tous les liens avec un partenaire victime d’une attaque, afin de nous préserver, le temps qu’il rétablisse la situation.
Dans le secteur de l’énergie qui est le nôtre, nous commençons à nous organiser par rapport aux attaques « supply chain », car c’est un phénomène que nous subissons depuis trois ou quatre ans. Quand une structure de notre supply chain est attaquée, et quand elle est commune à plusieurs acteurs de l’énergie (Engie, TotalEnergies ou EDF), l’un de nous trois va au contact du partenaire touché, réalise avec lui un état des lieux et l’accompagne dans la prise de décisions permettant la remédiation, tout en tenant au courant les autres de la situation. Cela démultiplie nos capacités de réaction et optimise nos capacités opérationnelles.
Depuis deux ans, qu’avez-vous modifié dans votre stratégie de cyberdéfense ?
O.L. : Depuis deux ans, nous avons doublé le nombre de ressources opérationnelles internes au groupe consacrées à la cybersécurité. Cela vient du constat que les ressources dont nous disposions ne suffisaient pas et que le sujet est trop stratégique pour qu’il soit autant externalisé.
Nous avons donc réinternalisé l’ensemble des ressources dédiées à la gestion de notre SOC. Les seules ressources qui restent externalisées aujourd’hui concernent, d’une part, le maintien en conditions opérationnelles des outils du SOC (nous ne sommes pas éditeur de logiciels, ni de produits de sécurité) et, d’autre part, tout ce qui touche aux activités de premier niveau. Ce dernier point est d’autant plus justifié que nous sommes en train de déployer un SOAR (Security Orchestration, Automation and Response, NDLR) qui est maintenant opérationnel et commence à prouver son efficacité.
Quelles autres mesures avez-vous prises ?
O.L. : Concernant notre SOC, nous avons augmenté de manière drastique le nombre d’exercices, de manière à bien tester nos différentes infrastructures internes. Nous avons aussi très fortement augmenté le nombre d’acteurs qui intègrent les différentes applications et solutions du groupe, d’une manière plus importante en termes de volume et de rapidité. Cela nous permet de bénéficier d’une meilleure réactivité, au regard d’un flux de plus en plus important d’applications et d’infrastructures que nous souhaitons surveiller.
Du côté de notre VOC (Vulnerability Operation Center, NDLR), nous avons industrialisé la recherche de vulnérabilités et notre capacité à remédier. Cela représente des dizaines de milliers de composants à patcher.
Quant à notre CERT, dont les effectifs ont triplé en trois ans, il a augmenté le nombre de missions qu’il porte. Il mène de plus en plus de missions de CTI (Cyber Threat Intelligence, NDLR), ce qui permet de mieux contextualiser les événements ou l’exposition au risque par rapport à des publications de vulnérabilités critiques, de threat hunting et de réponses à incident en lien avec nos petites et moyennes structures.
Quelles leçons urgentes tirer en France des chocs cyber provoqués par les nouvelles formes de conflits auxquels nous assistons ?
O.L. : Le conflit en Ukraine et la crise sanitaire, ont généré en Europe de nombreuses réflexions quant au thème de la souveraineté. À ce titre-là, nous devons commencer à nous interroger sur ce qui doit être protégé, notamment de l’espionnage, dans un contexte géopolitique où différents acteurs renforcent leur souveraineté. En complément des agressions « visibles », car souvent médiatisées, relatives aux attaques de type ransomware, il faut également se pencher sur la protection du patrimoine et des processus clefs de l’entreprise face à des tentatives d’actions d’espionnages qui su multiplient.
XEn poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies essentiels au fonctionnement du site, ceux nous permettant d'améliorer votre expérience, de mesurer l’audience de notre site et de vous proposer un contenu plus adapté. Vous avez la possibilité de personnaliser l'utilisation de ces cookies. Mais la désactivation de certains de ces cookies peut avoir un effet sur votre expérience de navigation. En savoir plusPersonnaliser mes choixJe refuse toutJ'ACCEPTE TOUT
Politique de confidentialité
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Les cookies nécessaires sont absolument essentiels au bon fonctionnement du site Web. Ces cookies assurent les fonctionnalités de base et les fonctions de sécurité du site Web, de manière anonyme.
Les cookies fonctionnels aident à exécuter certaines fonctionnalités telles que le partage du contenu du site Web sur les plates-formes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités tierces.
Cookie
Durée
Description
mautic_device_id
1 year
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour soutenir nos activités de marketing.
Ce cookie permet de connaître l’appareil avec lequel le visiteur accède au site. Expiration du cookie au bout d’un an.
mautic_referer_id
30 minutes
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie permet de connaître l’origine du visiteur.
mtc_id
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID au visiteur du site web dans le but de le reconnaître. Expiration du cookie à la fin de la session
mtc_sid
session
Ce sont des cookies tiers utilisés par Mautic qui nous permettent d’utiliser le service Mautic. Nous utilisons Mautic pour améliorer notre compréhension des attentes de nos lecteurs, leurs proposées des contenus et événements les plus pertinents, soutenir nos activités de marketing en suivant leur navigation sur le site, collecter de l’information sur leurs préférences et gérer les formulaires présent sur le site.
Ce cookie donne un ID à la session du visiteur du site, afin de la reconnaître. Expiration du cookie à la fin de la session
Les cookies de performance recueillent des informations sur l'utilisation de nos sites web afin d'améliorer leur attractivité, leur contenu et leur fonctionnalité. Ces cookies nous aident, par exemple, à déterminer quelles pages secondaires de notre site sont visitées et quel type de contenu intéresse nos lecteurs.
Cookie
Durée
Description
YSC
session
Ce cookie est un cookie de Youtube qui enregistre un identifiant unique pour conserver des statistiques sur les vidéos de YouTube que l'utilisateur a vues.
_first_pageview
10 minutes
Ce cookie de session est créé lors du premier affichage de page pour chaque visite. Sa finalité est de permettre de n'afficher certains éléments du code que lors du premier affichage de la page, et rendre le site ainsi plus rapide.
_gat
1 minute
Ce cookie est un cookie de Google Analytics permettant de limiter la cadence des requêtes. Il est valide pendant 24 heures après la date de la session.
Les cookies analytiques sont utilisés pour comprendre comment les visiteurs interagissent avec le site Web. Ces cookies aident à fournir des informations sur les mesures du nombre de visiteurs, du taux de rebond, de la source du trafic, etc.
Les cookies publicitaires sont utilisés pour proposer au visiteurs des publicités personnalisées selon votre parcours sur notre site.
Cookie
Durée
Description
IDE
1 year 24 days
Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID
6 months
This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE
5 months 27 days
This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
Cookie
Durée
Description
ARRAffinitySameSite
session
No description
attribution_user_id
1 year
No description
cg_uuid
1 year
Sets a unique ID for the visitor, that allows third party advertisers to target the visitor with relevant advertisement. This pairing service is provided by third party advertisement hubs, which facilitates real-time bidding for advertisers.
Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
