ordres du jour, comptes rendus, questions d’actionnaires

La seule qui repose sur la présence effective à TOUS les rendez-vous des sociétés cotées : assemblées générales annuelles et extraordinaires, présentations de résultats semestriels et annuels, investor days

La veille de l'HebdodesAG

La seule veille qui repose sur la présence effective à TOUS les rendez-vous de 700 sociétés cotées en France et à l'étranger : assemblées générales annuelles et extraordinaires, présentations de résultats semestriels et annuels, investor days

L'invité(e) est :

Jean-Claude Laroche, DSI de Enedis

DSI de Enedis

Pourquoi mettre aujourd’hui tant d’emphase sur le risque de cybercriminalité ?

La première chose à avoir en tête est que les cyberattaques existent, qu’elles sont à la fois plus nombreuses et plus violentes, et que la géopolitique prend de plus en plus de place. Les attaquants peuvent avoir quatre types d’objectifs :

-l’espionnage industriel, ce qui a toujours existé, d’une autre façon ;

-la cybercriminalité et les trafics illicites : par exemple le fait de crypter un compte et de rançonner la personne pour le débloquer ;

-la déstabilisation d’une entreprise : par exemple le fait d’annoncer urbi et orbi que des données personnelles ont été volées comme pour Sony il y a quelques années ; ou encore la cyberattaque contre TV5 Monde qui a entraîné l’arrêt de la diffusion des programmes de la chaîne et la publication de messages de soutien à l’Etat islamique sur les réseaux sociaux.

-le sabotage : par exemple le virus Notpeya, qui a touché notamment Saint-Gobain en 2017 ; ce sont les entreprises ukrainiennes qui étaient visées, et Saint-Gobain a été touché parce que le virus est passé par le système interne d’une de ses filiales, basée en Ukraine. Au départ, c’était une intention géopolitique contre l’Ukraine.

Pourquoi pensez-vous que la cybercriminalité doit être gérée au plus haut niveau de l’entreprise ?

Le cap franchi avec Notpeya ou avec les vols de données personnelles montre que ces cyberattaques peuvent avoir des conséquences graves pour toute l’entreprise, en termes économiques mais aussi en termes de réputation, voire même de survie. Pour TV5 Monde, par exemple, plusieurs contrats de distribution auprès d’opérateurs satellitaires ou de cablo-distributeurs ont été annulés, parce qu’ils étaient conditionnés par l’émission en continu de la chaîne. Pour Facebook, à la suite de la divulgation d’une attaque ayant compromis des millions de comptes, c’est la valorisation de l’entreprise qui a plongé.

Il ne s’agit plus d’un sujet « informatique », et le risque doit être appréhendé de façon globale, en transversal sur toutes les parties de l’entreprise.

 

Vous recommandez que les « comex » et les conseils d’administration se saisissent du sujet. Mais n’est-ce pas déjà le cas ?

Le niveau de sensibilisation est grand, et croissant, mais nous sommes encore loin d’une prise en main du sujet au plus haut niveau, dans les entreprises françaises. Il est raisonnable qu’un « comex » fasse le point sur le sujet  tous les trimestres et un Conseil d’Administration une fois par an ; ce n’est pas encore le cas. Les cyberattaques sont également très rarement prévues dans les scenarios de gestion de crise, auxquels sont entraînés les « comex ».

Le frein principal est le fait qu’il faut, pour aborder ce risque spécifique, une personne dédiée, qui bâtisse en transversal un plan cybersécurité. Ce ne peut pas être intégré dans la gestion des risques habituelle, par exemple, parce que c’est une démarche différente. Toutes les entreprises ne l’ont pas encore compris.

En quoi l’analyse du risque de cybercriminalité est-elle différente des autres analyses de risque ?

Les analyses de risque traditionnelles reposent sur l’évaluation d’une part des conséquences du risque, d’autre part de sa probabilité d’occurrence. La particularité méthodologique du risque cyber est la difficulté de déterminer sa probabilité : c’est un risque qui repose sur de la malveillance à l’égard de l’entreprise.

Pour cela, on ne peut pas faire de statistiques ; la méthode d’analyse consiste à se mettre à la place de l’attaquant potentiel, et évaluer l’état de la menace. C’est très différent de toutes les autres analyses de risque.

Vous prônez, en matière de cybersécurité, une parade inattendue pour un CIO : savoir fonctionner sans systèmes d’information.

Oui, chaque CIO doit être prêt à ce que ses systèmes d’information soient un jour « dans le noir » à cause d’une cyberattaque, et avoir les solutions concrètes pour que l’entreprise fonctionne quand même. « dans le noir », cela veut dire détruits pendant deux à trois semaines, si une brique sensible est concernée. Il y a, dans chaque système d’information, des briques très sensibles, que connaissent bien tous les CIO : les Active Directory, par exemple, qui gèrent tous les droits d’accès à tous les systèmes de l’entreprise ; ou encore les serveurs DNS, qui gèrent les noms de domaines. On ne peut raisonnablement penser que ces briques hypersensibles peuvent être protégées à 100%.

Or, la plupart des plans de lutte contre la cybercriminalité, quand ils existent, consistent à ajouter des couches de protection des systèmes d’information (par plus de prévention, plus de détection, plus de moyens de repli). C’est nécessaire, mais ce ne sera jamais suffisant. Il y aura toujours de nouveaux virus. Il faut, à mon sens, bâtir pour chaque entreprise un scénario de fonctionnement SANS systèmes d’information, au cas où celui-ci serait détruit par une cyberattaque. En mode dégradé, certes, mais permettant tout de même à l’entreprise de poursuivre son activité, le temps de reconstruire ses systèmes d’information.

Alors concrètement, quelle est la solution ?

Ce n’est pas si simple, parce qu’aujourd’hui, tout passe par les systèmes d’information, y compris les telecom, le plus souvent sous IP. Concrètement, avoir un plan B en matière de cybersécurité, cela veut dire avoir un système telecom hors SI prêt à fonctionner, avoir prévu un plateau de crise où sont présents physiquement les informaticiens chargés de réparer le système, savoir comment les contacter, où les héberger, pendant 2 à 3 semaines, savoir cloisonner ses réseaux – et avoir mis à l’abri, quelque part, loin de l’entreprise et sans aucune trace dans les systèmes d’information, les « souches » des parties les plus sensibles du système.

 

Après des débuts comme ingénieur et consultant, Jean-Claude Laroche entre en 1993 chez EDF et RTE comme ingénieur d’études. Après la direction de la CCAS d’EDF, il devient, en 2004, chef de service, et en 2008, directeur ressources et transformation (regroupant la DSI et la DRH) de la Direction de l’Optimisation et du Trading d’EDF.

 

De 2014 à 2016, il a été DSI groupe d’EDF. En 2017 il devient DSI d’Enedis. Enedis, l’ex-ERDF, est le gestionnaire du réseau de distribution de l’électricité en France avec 35 millions de clients, 1,3 million de lignes et plus de 700 000 transformateurs. La DSI est donc tournée vers le service au client.La carrière de Jean-Claude Laroche ne s’arrête pas à ces fonctions opérationnelles. Il est aussi membre du conseil d’administration du Cigref, Président de son cercle cybersécurité (depuis le mois de juillet 2016).

Ce polytechnicien, sorti de l’X en 1985, est l’auteur du livre « Le défi énergétique : de l’épuisement des ressources au développement durable ». Jean-Claude Laroche est aussi diplômé de l’ENSTA, Ecole nationale supérieure de techniques avancées, il est passé par Janson-de-Sailly et Louis-le-Grand.