L’entité d’Orange créée en 2016 pour regrouper l’offre de cybersécurité de l’opérateur connaît une croissance à deux chiffres depuis plusieurs années. Un succès qui s’explique par la multiplication des risques créés par la transformation digitale des entreprises, et par une petite dose de patriotisme en matière de cyberdéfense des grands groupes français.
Rencontre avec le DG de la filiale, Michel Van Den Berghe.
M. Van Den Berghe (Orange Cyberdefense) : "Nous sommes un peu les “casques bleus” d’Internet"
Décideurs. Quel est le rôle d’Orange Cyberdefense ?
Michel Van Den Berghe. Notre rôle est de défendre les entreprises, qui sont de plus en plus dépendantes de la transformation digitale, face aux cybermenaces. Certaines attaques peuvent parfois bloquer leur fonctionnement pendant plusieurs jours. La mutation digitale a créé de nouvelles richesses avec la data, mais elle attire aussi les criminels qui cherchent à s’en emparer. Nous travaillons par exemple avec une grande banque, pour laquelle nous avons détecté l’année dernière 27 000 alertes, c’est-à-dire des actions anormales identifiées sur le réseau. Au final, 7 200 d’entre elles se sont révélées être de vrais accidents de cybersécurité. Et plus nous étendons le champ d’investigation, plus nous découvrons de nouvelles menaces potentielles. Notre rôle est donc de lutter contre ces attaques. Nous nous considérons un peu comme les “casques bleus” d’Internet.
Quelles sont les difficultés pour prévenir les risques de cyberattaques ?
Le terrain d’opération est compliqué, c’est toute la difficulté. Les gens ne perçoivent pas forcément que le numérique entraîne des risques. Pour beaucoup, Internet et Web sont une seule et même chose. La deuxième difficulté, c’est que nous ne savons pas toujours contre qui nous nous battons. Bien sûr, certains hackers cherchent à réaliser un exploit en pénétrant un réseau sécurisé réputé. Mais, à côté d’eux, de vrais cybercriminels travaillent soit pour des États, autour de 30 %, soit pour des organisations mafieuses.
Le chiffre de 30 % est très important. Les États sont-ils de plus en plus actifs dans les cyberattaques ?
Oui, c’est en forte progression. On voit que des secteurs stratégiques, tels que l’aéronautique ou le nucléaire, sont victimes d’incidents de cybersécurité. Le but est de voler des données ou de la propriété intellectuelle. Ces attaques sont de plus en plus sophistiquées et complexes. Les hackers n’attaquent pas directement l’entreprise ciblée, mais pénètrent généralement par l’un de ses fournisseurs, sous-traitants ou prestataires.
Les attaques gagnent-elles en sophistication, ou sont-elles simplement plus nombreuses ?
Nous constatons les deux situations. Il y a toujours des cas de phishing, ou de ransomware, comme avec WannaCry. Mais de nouvelles menaces, comme NotPetya, apparaîssent et n’avaient pour seul objectif que de détruire le système informatique des cibles. Les typologies et les buts changent. Contre ces attaques, la technologie évolue aussi. Nous utilisons désormais l’intelligence artificielle contre ces menaces. La difficulté, c’est que ces attaquants l’utilisent aussi, et savent faire muter leur code pour s’adapter aux cyberdéfenses.
"Nous utilisons l’intelligence artificielle contre la cyber menace mais les attaquants l’utilisent aussi !"
Quelles sont vos méthodes pour repérer et contrer les attaques ?
Il s’agit d’une de nos principales activités. Nous travaillons pour mettre au point des IOC (Indicator of Compromise ou indice de compromission) pour détecter le plus vite possible les attaques. En tant qu’opérateur télécom, nous pouvons installer des marqueurs sur notre réseau afin de les détecter. Nous appliquons ces méthodes pour nous défendre nous-mêmes, beaucoup de hackers s’attaquent aux opérateurs télécoms.
La transformation digitale a-t-elle créé de nouvelles vulnérabilités dans les entreprises ?
Oui, ne serait-ce qu’en se connectant à Internet, les entreprises ont considérablement augmenté leur surface d’attaque. De nouvelles menaces ont également été créées par les nouveaux besoins de mobilité des employés. Ils veulent désormais travailler de partout, et cela soulève des risques de shadow IT (communication hors de la DSI). Cela arrive lorsqu’un employé télécharge quelque chose sur son poste de travail alors qu’il n’est pas connecté au réseau de l’entreprise, mais de chez lui, ou dans un lieu public. La DSI ne le sait pas dans ce cas-là. Il s’agit d’une tendance que nous observons de plus en plus, car la barrière entre vie personnelle et vie professionnelle a tendance à se réduire. À cela s’ajoute également le développement de l’IoT, qui crée de nouvelles failles possibles. C’est de plus en plus le cas dans l’industrie.
Existe-t-il des ERP plus ou moins vulnérables aux attaques ?
Les vulnérabilités sont de plus en plus fortes avec l’essor du cloud, car les vendeurs s’adressent de plus en plus directement aux métiers, et moins aux DSI, en leur assurant que les solutions qu’ils proposent sont sûres en matière de cybersécurité. Alors que les systèmes d’information sont souvent vieillots, fragiles, comme les logiciels de gestion des identités, ce qui augmente le risque de piratage. Il faut aussi souligner que le Cloud act [la nouvelle loi sécuritaire des Etats-Unis, Ndlr] est aussi une menace, et les entreprises s’en inquiètent déjà. Certaines ont déjà décidé de ne pas tout laisser dans le cloud. D’autres choisissent différentes solutions, plutôt que de se retirer du cloud ou encore utilisent des outils CASB (Cloud access security broker). C’est une sorte de firewall virtuel, qui leur permet de gérer l’accès à leurs données dans le cloud.
"Les vulnérabilités sont de plus en plus fortes avec l'essor du cloud"
Le Cloud act fait donc peser un risque de cybersécurité sur les entreprises ?
Oui. Et en réponse, nous voulons nous positionner comme tiers de confiance entre le cloud et les entreprises, en proposant des outils capables de surveiller des mouvements de données au sein des applications. Ces solutions mettent en œuvre “l’intelligence augmentée”. Cela permet de repérer une aiguille dans une botte de foin.
Que vous demandent vos clients ?
Nous estimons que la grande prise de conscience sur les risques du numérique n’est pas encore arrivée. Mais les entreprises commencent à mettre en place des solutions, car celles-ci sont devenues obligatoires, notamment avec le RGPD. La loi de programmation militaire y a aussi contribué. Et la directive NIS, l’équivalent de la loi de programmation militaire au niveau européen, a également permis de sensibiliser ces acteurs. Nous voyons également arriver le cyber ranking, où des agences notent les risques cyber. Les assurances commencent à utiliser ces outils. Mais ce qui pousse le marché, c’est la régulation.
Les ESN sont-elles désormais vos concurrents ou vos partenaires ?
Il y a effectivement un changement d’acteurs en cours sur le domaine de la cybersécurité, avec l’arrivée de nouveaux protagonistes comme Sogeti par exemple. Nous nous positionnons sur des solutions très qualitatives, comme le montre notre utilisation de l’IA. Nous insistons beaucoup sur notre capacité à détecter les attaques en amont. Pour y parvenir, nous nous appuyons sur nos différents CERT (Computer Emergency Response Team), comme cela a été le cas avec NotPetya. C’est le CERT d’un autre opérateur qui nous a averti. Le réseau de CERT commence à se structurer. La bonne nouvelle, c’est qu’il y a de moins en moins de concurrence entre les entreprises à propos de la cybersécurité, et pas seulement entre les opérateurs. Dans le secteur de la banque, les CERT commencent à se connecter entre eux. Nous avons nous-mêmes répertoriés près de 500 000 malwares, cela nous permet de réagir plus vite lorsque l’un d’entre eux est identifié sur les réseaux. L’une de mes missions consiste à augmenter la connaissance de mon réseau de malwares. Aujourd’hui, notre ambition est clairement de devenir l’acteur européen de la cybersécurité, pour concurrencer les acteurs américains.
Florent Detroy
