La cybersécurité est un enjeu majeur pour les entreprises de toutes tailles : les attaques se multiplient et les attaquants sont de plus en plus performants.
Lors de la cyber attaque de janvier 2020, le cabinet EH&A avait accompagné la direction générale de Bouygues Construction pour comprendre les enjeux de cette crise et s’y préparer.
Nous n’étions pas dans le cœur du réacteur opérationnel IT, notre mission était stratégique mais à la lumière de la multiplication des cyber-attaques et leurs difficultés croissantes, nous avons souhaité recueillir et partager la vision du responsable de la sécurité des systèmes d’information (RSSI) de l’époque, Thomas DEGARDIN, qui a gentiment accepté de nous répondre.
« J’ai trois grandes missions sur cette activité, avec une première mission de synergie entre les six métiers du groupe Bouygues, qui sont très différents. Mon but est d’animer les différentes instances au sein de cette communauté cyber, trouver des chantiers communs ou encore aider mes collègues RSSI à prendre du recul. J’ai occupé cette fonction [RSSI n.d.l.r.] pendant 5 ans au sein de Bouygues Construction et je peux, grâce à cela, les aider à voir ce qu’il se passe ailleurs. Ma deuxième mission est d’animer la communauté “BYTECH Cyber”, qui rassemble environ 300 collaborateurs de Bouygues travaillant sur des sujets de cybersécurité en coordonnant les temps forts de cette communauté. Enfin, la troisième mission est de représenter le Groupe dans les différentes instances ou assemblées parlant de cybersécurité, que ce soit côté assurances, ou dans différentes communautés d’intérêts autour de ces sujets. »
« Il existe depuis longtemps un comité sécurité informatique Groupe qui réunit tous les RSSI tous les mois. C’est un lieu qui nous permet d’échanger et d’identifier des chantiers transverses. Chaque RSSI est investi et très compétent dans son métier, il avance sur sa feuille de route et ses risques sont très différents de ceux des autres. J’agis comme entremetteur entre les différents métiers. Si un métier travaille sur un sujet et qu’un autre se pose des questions dessus, je les mets en relation. Si le sujet intéresse plusieurs RSSI, une démarche Groupe peut être mise en place. »
« Fort heureusement, depuis ma prise de fonction en début d’année, nous n’avons pas connu de crise majeure au sein du Groupe donc ça ne s’est pas révélé [rire n.d.l.r.]! Mais pour faire le parallèle avec ce que j’ai vécu en janvier 2020, quand vous êtes RSSI d’un Métier, quand vous êtes au pilotage d’une crise à réfléchir à comment contenir la cyberattaque, comment reconstruire ou redémarrer sans prendre trop de risques, vous êtes déjà tellement absorbé par ces sujets qu’il est compliqué de sortir de l’activité urgente pour aller communiquer et échanger avec le reste du Groupe ou avec l’extérieur. C’est là où j’interviens en tant que coordinateur. Je suis un peu un aide de camp pour le RSSI en cas de crise. Je récupère les informations pour les diffuser au sein du Groupe, notamment en partageant les indicateurs, en faisant des points de situation (état des lieux). L’objectif est de donner de l’air au RSSI et lui permettre de se concentrer sur la gestion de la crise. Je suis un soutien, au service du RSSI Métier en temps de crise : mon rôle n’est pas de diriger la cellule de crise mais de le soutenir et l’assister.»
« Bouygues Construction a été touché par une cyberattaque de type “cryptolocker” dans la nuit du 29 au 30 janvier 2020. A l’époque, Bouygues Construction, c’était un peu plus de 60 000 collaborateurs, 30 000 postes de travail et 3000 serveurs. La première décision a été de couper l’alimentation électrique du système d’information, pour enrayer la propagation du virus. Imaginez un réseau monde, plusieurs centaines d’applications majeures: tout cela à l’arrêt. Les équipes qui travaillaient sur ces systèmes ne pouvaient plus rien faire, ne pouvaient plus se connecter aux unités finances, traiter les fiches de salaires. On bascule alors en mode crise. On est fin du mois et il y a une priorité donnée par le COMEX : payer les salaires des collaborateurs.
Une cellule de crise opérationnelle côté DSI se monte, avec une codirection, pour tenir 24/7 car au début de la crise, c’est du non-stop. Se crée également une cellule décisionnelle au niveau comité de management de Bouygues Construction avec des interactions fréquentes entre les deux. Le rôle de la cellule décisionnelle était de donner les priorités de redémarrage pour que l’entreprise surmonte cette difficulté et elle laissait la cellule opérationnelle s’occuper des problématiques techniques.
Au niveau équipe, la DSI avait été formée à la méthodologie AGILE, on s’est donc organisé en “streams”, avec des streams leaders qui n’étaient pas forcément des experts techniques mais qui avaient les sachants autour d’eux. La grande difficulté est l’ampleur de cette crise. Quand on commence, on ne sait pas trop ce qui nous tombe dessus. Au début, on est dans le flou, la première difficulté est de savoir ce qu’il se passe. Les autres difficultés apparaissent au fur et à mesure.
Il y a eu, de plus, une concomitance des crises. 6-7 semaines après le démarrage de cette crise informatique, la pandémie du COVID-19 a débuté. Il a fallu travailler à la résolution de la crise tout en étant confinés. Cela a ajouté des cellules de crise dans la crise. »
« Je ne vais pas vous donner une stratégie magique parce qu’il n’y en a pas. Ça serait trop simple, on l’aurait tous et on serait tous sauvés.
Le point qui me semble primordial c’est d’enclencher des investigations, du forensic. Si la situation devait se représenter, nous referions sans hésiter ces analyses.
Si on ne sait pas ce qu’il s’est passé, c’est extrêmement compliqué voire impossible de redémarrer en toute confiance. Ne pas conduire ces investigations, c’est comme jouer à la roulette russe, prendre des décisions et croiser les doigts. Ça ne fonctionne pas. Il faut se faire aider.
Mais vous savez, je pense que l’on peut se préparer à tous les plans, ce sera toujours le plan+1 qui fonctionnera. Certains experts auront un avis, d’autres diront l’inverse. Chaque attaque est différente mais il faut savoir ce qu’il se passe précisément pour pouvoir agir en conséquence. A mesure que la crise se poursuit, l’enquête amène de nouveaux éléments qui permettent d’ajuster les actions, on s’adapte au fur et à mesure. La stratégie repose donc sur l’enquête. L’échange d’informations entre les cellules est la clé.
En ce qui concerne la communication de crise, si l’entreprise ne communique pas, les hackers le feront. Ils ont des services de communication eux aussi. Si vous ne parlez pas en premier, il faudra traiter la parole de la partie adverse. Cela prend plus de temps de démontrer qu’un hacker communique des informations incorrectes que d’annoncer en premier, ce que vous savez, ou ce que vous ne savez pas. Vous avez le droit de dire « pour l’instant on ne sait pas ». »
« Tout à fait. Les trois mots souvent martelés par le DSI étaient : plus jamais ça. Plus jamais une crise avec une telle ampleur. Il est important de se reconstruire, de réorganiser. Cela a été une vraie prise de conscience et pas seulement du Groupe mais de moi aussi. La crise est une dose d’humilité XXL. Depuis cette crise, le sujet cyber a été saisi par la direction générale de façon encore plus précise, avec des suivis réguliers dans tous les Métiers du Groupe. »
« Effectivement, il y a dans un premier temps l’évolution technologique. Il y a 20 ans j’avais un firewall et un antivirus. Le monde technique a bien évolué mais c’est finalement le rapport avec la menace qui a changé. C’est une course gendarme-voleur. Ce qui a changé, ce sont les attaquants, qui étaient peut-être à une époque, des adolescents en sweat à capuche dans un garage et qui sont maintenant de vraies organisations cybercriminelles très bien organisées avec des processus de recrutement, qui vont chercher les meilleurs, qui sont parfois spécialisées. Nous n’avons plus trois personnes en face de nous qui tentent de nous attaquer mais de vraies structures. Ils investissent du temps et de l’argent sur leurs attaques et doivent maximiser les résultats. Il faut vraiment prendre en compte cette évolution de la menace. De plus, l’approche traditionnelle qui consiste à se protéger tout seul ne suffit plus, il faut prendre en compte les fournisseurs et être dans une coopération étendue de toute la chaîne de production.»
« Il faut s’y préparer car ça arrivera. Il ne faut pas la mettre de côté en se disant que c’est dangereux, les attaquants s’en serviront. Sur des cas plus sensibles, il y a toujours besoin de l’intelligence humaine mais l’IA viendra sûrement aider. Je ne peux pas encore vous dire ce qu’elle va nous apporter mais je pense qu’il est important d’établir des limites sur ce que les collaborateurs peuvent faire ou ne pas faire avec. Comment embrasser cette révolution est notre questionnement actuel. Demain, elle viendra très certainement aider la prise de décision, il faudra l’évaluer à ce moment-là. Il ne faut pas l’interdire, il faut définir les règles du jeu. C’est un changement dans notre façon de faire, il faut accompagner ce changement qui est presque sociétal. »
« Pour conclure, si l’on venait me demander comment gérer une crise, je dirais « ne reste pas tout seul ». Il faut s’entourer, aller chercher des renforts, de l’aide, des bonnes pratiques. Il ne faut pas hésiter : des gens sont prêts à aider, ils sont bienveillants. Il faut prendre soin des collaborateurs qui mènent un vrai combat. Il ne faut pas sous-estimer l’impact qu’une crise peut avoir sur le psychologique, ça laisse des marques. Il ne faut pas le négliger.
Nous avons été aidés, à tous niveaux. C’est intéressant d’avoir des gens qui ont l’expertise de la gestion de crise avec de bonnes pratiques vues ailleurs qui peuvent être transposées. La gestion de crise est un système qui n’existe pas, qu’il faut créer. Il faut donc être accompagné pendant, mais aussi en amont, pour se préparer, s’entraîner, se tester, pour avoir les premiers reflexes. C’est comme la marche, le plus dur est de faire le premier pas, après ça fonctionne, mais si on ne le fait pas, on tombe et on se fait mal. »
