![\"\"](\"https:\/\/www.eha-consulting.com\/wp-content\/uploads\/2023\/12\/thomas-d.jpg\")
<\/figure>\n<\/div>\n\n\n- Aujourd\u2019hui vous \u00eates Coordinateur Cybers\u00e9curit\u00e9 du groupe Bouygues, quelles sont vos missions lors d\u2019une crise cyber ?<\/strong><\/li><\/ul>\n\n\n\n
\u00ab J\u2019ai trois grandes missions sur cette activit\u00e9, avec une premi\u00e8re mission de synergie entre les six m\u00e9tiers du groupe Bouygues, qui sont tr\u00e8s diff\u00e9rents. Mon but est d\u2019animer les diff\u00e9rentes instances au sein de cette communaut\u00e9 cyber, trouver des chantiers communs ou encore aider mes coll\u00e8gues RSSI \u00e0 prendre du recul. J\u2019ai occup\u00e9 cette fonction <\/em>[<\/em>RSSI n.d.l.r.<\/em>]<\/em> pendant 5 ans au sein de Bouygues Construction et je peux, gr\u00e2ce \u00e0 cela, les aider \u00e0 voir ce qu\u2019il se passe ailleurs. Ma deuxi\u00e8me mission est d\u2019animer la communaut\u00e9 \u201cBYTECH Cyber\u201d, qui rassemble environ 300 collaborateurs de Bouygues travaillant sur des sujets de cybers\u00e9curit\u00e9 en coordonnant les temps forts de cette communaut\u00e9. Enfin, la troisi\u00e8me mission est de repr\u00e9senter le Groupe dans les diff\u00e9rentes instances ou assembl\u00e9es parlant de cybers\u00e9curit\u00e9, que ce soit c\u00f4t\u00e9 assurances, ou dans diff\u00e9rentes communaut\u00e9s d\u2019int\u00e9r\u00eats autour de ces sujets. \u00bb<\/em><\/p>\n\n\n\n
- Vous parlez de synergie entre les diff\u00e9rents m\u00e9tiers du Groupe, comment faites-vous pour cr\u00e9er des ponts entre les diff\u00e9rentes fonctions ?<\/strong><\/li><\/ul>\n\n\n\n
\u00ab Il existe depuis longtemps un comit\u00e9 s\u00e9curit\u00e9 informatique Groupe qui r\u00e9unit tous les RSSI tous les mois. C\u2019est un lieu qui nous permet d\u2019\u00e9changer et d\u2019identifier des chantiers transverses. Chaque RSSI est investi et tr\u00e8s comp\u00e9tent dans son m\u00e9tier, il avance sur sa feuille de route et ses risques sont tr\u00e8s diff\u00e9rents de ceux des autres. J\u2019agis comme entremetteur entre les diff\u00e9rents m\u00e9tiers. Si un m\u00e9tier travaille sur un sujet et qu\u2019un autre se pose des questions dessus, je les mets en relation. Si le sujet int\u00e9resse plusieurs RSSI, une d\u00e9marche Groupe peut \u00eatre mise en place. \u00bb<\/em><\/p>\n\n\n\n
- En cas de crise cyber, quelles sont vos missions ?<\/strong><\/li><\/ul>\n\n\n\n
\u00ab Fort heureusement, depuis ma prise de fonction en d\u00e9but d\u2019ann\u00e9e, nous n\u2019avons pas connu de crise majeure au sein du Groupe donc \u00e7a ne s\u2019est pas r\u00e9v\u00e9l\u00e9 <\/em>[<\/em>rire n.d.l.r.<\/em>]!<\/em> Mais pour faire le parall\u00e8le avec ce que j\u2019ai v\u00e9cu en janvier 2020, quand vous \u00eates RSSI d\u2019un M\u00e9tier, quand vous \u00eates au pilotage d\u2019une crise \u00e0 r\u00e9fl\u00e9chir \u00e0 comment contenir la cyberattaque, comment reconstruire ou red\u00e9marrer sans prendre trop de risques, vous \u00eates d\u00e9j\u00e0 tellement absorb\u00e9 par ces sujets qu\u2019il est compliqu\u00e9 de sortir de l\u2019activit\u00e9 urgente pour aller communiquer et \u00e9changer avec le reste du Groupe ou avec l\u2019ext\u00e9rieur. C\u2019est l\u00e0 o\u00f9 j\u2019interviens en tant que coordinateur. Je suis un peu un aide de camp pour le RSSI en cas de crise. Je r\u00e9cup\u00e8re les informations pour les diffuser au sein du Groupe, notamment en partageant les indicateurs, en faisant des points de situation (\u00e9tat des lieux). L\u2019objectif est de donner de l\u2019air au RSSI et lui permettre de se concentrer sur la gestion de la crise. Je suis un soutien, au service du RSSI M\u00e9tier en temps de crise : mon r\u00f4le n\u2019est pas de diriger la cellule de crise mais de le soutenir et l\u2019assister.\u00bb<\/em><\/p>\n\n\n\n
- En janvier 2020, lorsque vous \u00e9tiez chez Bouygues Construction, l\u2019entreprise a \u00e9t\u00e9 la cible d\u2019une cyberattaque majeure. Pouvez-vous nous en parler ?<\/strong><\/li><\/ul>\n\n\n\n
\u00ab Bouygues Construction a \u00e9t\u00e9 touch\u00e9 par une cyberattaque de type \u201ccryptolocker\u201d dans la nuit du 29 au 30 janvier 2020. A l\u2019\u00e9poque, Bouygues Construction, c\u2019\u00e9tait un peu plus de 60 000 collaborateurs, 30 000 postes de travail et 3000 serveurs. La premi\u00e8re d\u00e9cision a \u00e9t\u00e9 de couper l\u2019alimentation \u00e9lectrique du syst\u00e8me d\u2019information, pour enrayer la propagation du virus. Imaginez un r\u00e9seau monde, plusieurs centaines d\u2019applications majeures: tout cela \u00e0 l\u2019arr\u00eat. Les \u00e9quipes qui travaillaient sur ces syst\u00e8mes ne pouvaient plus rien faire, ne pouvaient plus se connecter aux unit\u00e9s finances, traiter les fiches de salaires. On bascule alors en mode crise. On est fin du mois et il y a une priorit\u00e9 donn\u00e9e par le COMEX : payer les salaires des collaborateurs.<\/em><\/p>\n\n\n\n
Une cellule de crise op\u00e9rationnelle c\u00f4t\u00e9 DSI se monte, avec une codirection, pour tenir 24\/7 car au d\u00e9but de la crise, c\u2019est du non-stop. Se cr\u00e9e \u00e9galement une cellule d\u00e9cisionnelle au niveau comit\u00e9 de management de Bouygues Construction avec des interactions fr\u00e9quentes entre les deux. Le r\u00f4le de la cellule d\u00e9cisionnelle \u00e9tait de donner les priorit\u00e9s de red\u00e9marrage pour que l\u2019entreprise surmonte cette difficult\u00e9 et elle laissait la cellule op\u00e9rationnelle s\u2019occuper des probl\u00e9matiques techniques. <\/em><\/p>\n\n\n\n
Au niveau \u00e9quipe, la DSI avait \u00e9t\u00e9 form\u00e9e \u00e0 la m\u00e9thodologie AGILE, on s\u2019est donc organis\u00e9 en \u201cstreams\u201d, avec des streams leaders qui n\u2019\u00e9taient pas forc\u00e9ment des experts techniques mais qui avaient les sachants autour d\u2019eux. La grande difficult\u00e9 est l\u2019ampleur de cette crise. Quand on commence, on ne sait pas trop ce qui nous tombe dessus. Au d\u00e9but, on est dans le flou, la premi\u00e8re difficult\u00e9 est de savoir ce qu\u2019il se passe. Les autres difficult\u00e9s apparaissent au fur et \u00e0 mesure.<\/em><\/p>\n\n\n\n
Il y a eu, de plus, une concomitance des crises. 6-7 semaines apr\u00e8s le d\u00e9marrage de cette crise informatique, la pand\u00e9mie du COVID-19 a d\u00e9but\u00e9. Il a fallu travailler \u00e0 la r\u00e9solution de la crise tout en \u00e9tant confin\u00e9s. Cela a ajout\u00e9 des cellules de crise dans la crise.\u00a0\u00bb<\/em><\/p>\n\n\n\n
<\/p>\n\n\n
\n![\"\"](\"https:\/\/www.eha-consulting.com\/wp-content\/uploads\/2023\/12\/itw-td-1024x746.png\")
<\/figure>\n<\/div>\n\n\n<\/p>\n\n\n\n
- Face \u00e0 ce type de crise, quelle est selon vous la strat\u00e9gie \u00e0 adopter\u00a0?<\/strong><\/li><\/ul>\n\n\n\n
\u00ab Je ne vais pas vous donner une strat\u00e9gie magique parce qu\u2019il n\u2019y en a pas. \u00c7a serait trop simple, on l\u2019aurait tous et on serait tous sauv\u00e9s.<\/em><\/p>\n\n\n\n
Le point qui me semble primordial c\u2019est d\u2019enclencher des investigations, du forensic. Si la situation devait se repr\u00e9senter, nous referions sans h\u00e9siter ces analyses.<\/em><\/p>\n\n\n\n
Si on ne sait pas ce qu\u2019il s\u2019est pass\u00e9, c\u2019est extr\u00eamement compliqu\u00e9 voire impossible de red\u00e9marrer en toute confiance. Ne pas conduire ces investigations, c\u2019est comme jouer \u00e0 la roulette russe, prendre des d\u00e9cisions et croiser les doigts. \u00c7a ne fonctionne pas. Il faut se faire aider.<\/em><\/p>\n\n\n\n
Mais vous savez, je pense que l\u2019on peut se pr\u00e9parer \u00e0 tous les plans, ce sera toujours le plan+1 qui fonctionnera. Certains experts auront un avis, d\u2019autres diront l\u2019inverse. Chaque attaque est diff\u00e9rente mais il faut savoir ce qu\u2019il se passe pr\u00e9cis\u00e9ment pour pouvoir agir en cons\u00e9quence. A mesure que la crise se poursuit, l\u2019enqu\u00eate am\u00e8ne de nouveaux \u00e9l\u00e9ments qui permettent d\u2019ajuster les actions, on s\u2019adapte au fur et \u00e0 mesure. La strat\u00e9gie repose donc sur l\u2019enqu\u00eate. L\u2019\u00e9change d\u2019informations entre les cellules est la cl\u00e9.<\/em><\/p>\n\n\n\n
En ce qui concerne la communication de crise, si l\u2019entreprise ne communique pas, les hackers le feront. Ils ont des services de communication eux aussi. Si vous ne parlez pas en premier, il faudra traiter la parole de la partie adverse. Cela prend plus de temps de d\u00e9montrer qu\u2019un hacker communique des informations incorrectes que d\u2019annoncer en premier, ce que vous savez, ou ce que vous ne savez pas. Vous avez le droit de dire \u00ab pour l\u2019instant on ne sait pas \u00bb. \u00bb<\/em><\/p>\n\n\n\n
- Face \u00e0 ce type de crise, quelle est selon vous la strat\u00e9gie \u00e0 adopter\u00a0?<\/strong><\/li><\/ul>\n\n\n\n
- En janvier 2020, lorsque vous \u00e9tiez chez Bouygues Construction, l\u2019entreprise a \u00e9t\u00e9 la cible d\u2019une cyberattaque majeure. Pouvez-vous nous en parler ?<\/strong><\/li><\/ul>\n\n\n\n
- En cas de crise cyber, quelles sont vos missions ?<\/strong><\/li><\/ul>\n\n\n\n
- Vous parlez de synergie entre les diff\u00e9rents m\u00e9tiers du Groupe, comment faites-vous pour cr\u00e9er des ponts entre les diff\u00e9rentes fonctions ?<\/strong><\/li><\/ul>\n\n\n\n
![\"\"](\"https:\/\/www.eha-consulting.com\/wp-content\/uploads\/2023\/12\/itw-td-2.png\")
<\/figure>\n<\/div>\n\n\n![\"\"](\"https:\/\/www.eha-consulting.com\/wp-content\/uploads\/2023\/12\/itw-td-1.png\")
<\/figure>\n<\/div><\/div>\n<\/div>\n<\/div>\n<\/div><\/div>\n\n\n\n