Cybersécurité

Entretien avec le Général Tisseyre, Ancien Commandant de la Cyberdéfense des Armées


David Commarmond
Vendredi 8 Novembre 2024


Lorsqu’on aborde la question du profil type de l’ingénieur aujourd’hui, notamment dans un domaine aussi complexe que la cybersécurité, il est clair pour moi que la vision « traditionnelle » de l’ingénieur – focalisé presque exclusivement sur la technologie – est désormais insuffisante. Le monde évolue vers des défis qui exigent une vision bien plus large et intégrée, et cela se reflète dans les compétences que doivent acquérir les ingénieurs « modernes ».



DC Q1: Comment avez-vous vécu le mois de la cybersécurité ?

Entretien avec le Général Tisseyre, Ancien Commandant de la Cyberdéfense des Armées
DT : Le mois d’octobre, dédié depuis plusieurs années à la cybersécurité, a été particulièrement intense pour moi, bien que mes activités soient restées « discrètes ». En effet, en transition professionnelle vers le secteur privé depuis mon départ du ministère des Armées le 1er septembre, je n’ai, logiquement, pas eu l’occasion d’intervenir publiquement en tant que directeur des systèmes d’information ou de la cybersécurité comme je le faisais auparavant lors de tables rondes. Toutefois, j’ai pu participer à plusieurs événements consacrés à la cyber et à un projet de podcast qui sera diffusé très prochainement afin de partager mon expérience.
J’ai consacré une partie de mon temps à renforcer mon réseau dans le secteur de la cybersécurité. Ces rencontres régulières avec des acteurs clés du domaine me permettent de me tenir informée des dernières avancées et de « rester dans le coup ».
 
Ce mois de transition a également été l’occasion de poser les nouvelles bases de mon activité professionnelle dans le domaine du conseil en cybersécurité mais aussi de la formation et du partage d’expérience..

DC Q2: Quel est le portrait type d’un ingénieur en cybersécurité aujourd’hui ?

DT : Lorsqu’on aborde la question du profil type de l’ingénieur aujourd’hui, notamment dans un domaine aussi complexe que la cybersécurité, il est clair pour moi que la vision « traditionnelle » de l’ingénieur – focalisé presque exclusivement sur la technologie – est désormais insuffisante. Le monde évolue vers des défis qui exigent une vision bien plus large et intégrée, et cela se reflète dans les compétences que doivent acquérir les ingénieurs « modernes ».
 
  • Il doit pouvoir articuler des compétences technologiques avec des connaissances géopolitiques, juridiques, normatives et humaines. En effet, la technologie est un pilier essentiel, mais elle ne suffit plus pour appréhender pleinement les enjeux actuels.
  • Un ingénieur doit aujourd’hui comprendre les rapports de force mondiaux et les motivations des acteurs qui se disputent le cyberespace. La cybersécurité, par exemple, se joue souvent dans un contexte international où la compréhension des stratégies des États et des grandes entreprises est cruciale.
  • Dans un espace où les frontières sont parfois floues, la connaissance des réglementations et du droit appliqué au cyberespace est essentielle. Un ingénieur moderne doit comprendre ce cadre pour garantir la conformité de ses actions et la sécurité des systèmes.
  • L’ingénieur doit être conscient de l’impact de ses actions sur les autres, organisations ou individus. Dans un domaine où les risques pour la vie privée et la sécurité personnelle sont élevés, cette dimension humaine est indispensable pour anticiper et gérer les conséquences des usages numériques.
  • La cybersécurité, comme beaucoup d’autres domaines techniques, repose sur une collaboration étroite entre experts de différentes spécialités. La capacité de travailler en équipe et de transmettre des informations complexes de manière claire et concise est devenue un atout majeur.
 
Les audits conduisent à la rédaction de rapports qui évaluent le niveau de sécurité selon des critères techniques, humains et organisationnels. Les audits impliquent une réflexion poussée et compréhension fine du système évalué. Les contrôles sont des « audits minimalistes » qui vérifient surtout la conformité par rapport à une norme / un règlement selon des critères moins élaborés (par exemple, y a-t-il un antivirus, y a-t-il des sauvegardes...)."

 



DC Q3 : les audits, les contrôles sont essentiels en matière de cybersécurité. Pouvez-vous en parler ? Quels sont les limites ?

Entretien avec le Général Tisseyre, Ancien Commandant de la Cyberdéfense des Armées
DT : Oui, les audits et les contrôles jouent un rôle central en cybersécurité. Ils sont des outils indispensables pour établir un état des lieux de la sécurité d'un système d'information, identifier les vulnérabilités, vérifier la conformité aux normes, sensibiliser les équipes aux enjeux et, enfin, mettre en place un plan d’action adapté. Cependant, je constate aussi que ces audits et contrôles, bien qu’essentiels, ont des limites qu’il est crucial de prendre en compte pour éviter une fausse impression de sécurité.
 
D’une part, les audits ne peuvent pas couvrir de façon exhaustive tous les risques. Les réglementations et les normes évoluent constamment, tout comme les technologies et les usages, et la vitesse de ces changements rend difficile la prévision de toutes les menaces potentielles. Par exemple, les attaquants exploitent des vulnérabilités dites "zero-day" – c’est-à-dire des failles non encore connues ou publiées au moment de l’audit – échappant ainsi à toute prévision.
 
Ensuite, le facteur humain est difficilement quantifiable, même si abordé dans périmètre des audits . Or, l’erreur humaine représente l’un des risques majeurs en matière de cybersécurité. Aucun audit ne peut garantir qu’un employé ne cliquera pas sur un lien malveillant ou ne commettra pas une erreur conduisant à une fuite d’information. Il est donc essentiel de compléter l’audit par des actions de sensibilisation régulières et adaptées aux comportements à risque.
 
De plus, les audits et contrôles offrent une image figée dans le temps . La cybersécurité doit évoluer au rythme des nouvelles menaces ; ainsi, un audit réalisé à un moment donné peut vite devenir obsolète. Afin de maintenir un niveau de sécurité élevé, il est recommandé d'effectuer ces évaluations de manière fréquente. Cela permet de s’assurer que les mesures de sécurité restent efficaces face aux évolutions rapides du paysage des cyber-menaces.
 
Enfin, l’objectivité des audits peut parfois poser problème s’ils sont exclusivement réalisés en interne et par des équipes rattachées à la direction des systèmes d’informations. Il faut éviter d’être trop « juge et partie ». Faire appel à des auditeurs externes est souvent une solution judicieuse pour garantir une évaluation impartiale du niveau de la sécurité.
 
Les audits et contrôles apportent beaucoup d’éléments mais ils ne répondent pas à tout et ne garantissent pas qu’une attaque ne pourra pas être réalisée avec succès. Ils ne sont qu’une partie d'une stratégie globale de gestion des risques, laquelle inclut aussi :
 
  • Une veille technologique et une analyse continue des menaces, pour anticiper de nouvelles formes d’attaque.
  • Des actions de sensibilisation régulières à l'intention des collaborateurs, afin qu’ils adoptent les bonnes pratiques de sécurité.
  • Des tests d’intrusion réalisés par des équipes internes ou externes, voire sous la forme de « bug bounty ».
  • La mise en place de dispositifs de sécurité dynamiques , tels que la surveillance des flux réseau, la détection d'intrusions et des procédures de réponse aux incidents.
  • Le développement d'une culture de la sécurité au sein de l’entreprise, pour que chaque employé comprenne l’importance de la cybersécurité dans ses activités quotidiennes.

DC: Q4. Vous avez parlé du profil des ingénieurs en cybersécurité et de l'importance d'une vision élargie. Comment cette vision se traduit-elle concrètement dans la réalisation des audits et des contrôles de sécurité ?

DT : La vision élargie des ingénieurs en cybersécurité se traduit concrètement dans la réalisation des audits et des contrôles de sécurité par une approche plus globale et plus contextuelle (quels sont les « événements redoutés » par les métiers). Cela Permet de rédiger des rapports plus complets et plus pertinents, les rapports de sécurité ne doivent pas se limiter aujourd’hui à une liste de vulnérabilités techniques, il faut intégrer aussi celles liées à l’humain, aux organisations et aux processus. Ils doivent prendre en compte les facteurs géopolitiques, juridiques et humains. Les recommandations formulées doivent être adaptées au contexte de l'entreprise et à ses objectifs stratégiques.

DC Q5 : Les assurances se lancent dans la cybersécurité, que pensez vous de ces acteurs ?

DT : C’est un sujet complexe qui concerne avant tout le secteur privé, et non l’Armée car l’État ne s’assure pas. Mais cela peut être inspirant dans la dynamique positive que cela induit.
 
  • Audits préalables : Les assureurs, avant de proposer une couverture contre les cyber-risques, réalisent des audits pour évaluer le niveau de protection des systèmes d'information de l'entreprise. Cela permet de déterminer le niveau de risque et d'adapter les primes d'assurance en conséquence.
  • Évolution des pratiques : Au début, certains assureurs ont accepté de couvrir les cyber-risques sans avoir une vision claire de l'impact potentiel et des coûts associés. Face à l'augmentation des cyberattaques et des demandes d'indemnisation, ils ont dû revoir leurs pratiques et mettre en place des audits plus rigoureux.
  • Dilemme de l'assurance et du paiement des rançons : La question du paiement des rançons est un dilemme important pour les entreprises victimes de cyberattaques. Payer la rançon peut sembler être la solution la plus rapide pour récupérer ses données et préserver sa réputation, mais cela alimente le business des cybercriminels et encourage de nouvelles attaques. C’est donc à proscrire. Les assureurs ont un rôle pédagogique à jouer dans ce débat en incitant les entreprises à mettre en place des mesures de prévention et en les accompagnant dans la gestion des crises.
 
La question de l'objectivité des audits et de la nécessité d'une évaluation indépendante pour garantir la fiabilité des résultats est essentielle. C’est pourquoi il est essentiel de séparer la fonction DSI (Direction des Systèmes d'Information) de la fonction de gestion des risques et de la cybersécurité, afin d'éviter les conflits d'intérêts. Quand cela n’est pas possible, par exemple du fait de la taille réduite de l’organisme et du manque de spécialistes numérique / cyber, alors il faut mettre en place des processus sécurisant l’impartialité de l’auditeur et l’évaluation de ses performance, par exemple directement par le directeur général et non uniquement par le directeur des SI.