Confronté comme tous à une augmentation des attaques, le distributeur national d’électricité prend désormais en compte la sécurité dès la conception des applications. Il mise également sur l’humain pour mieux contrer les menaces.

Entretien avec :
Jean-Claude Laroche, DSI d’Enedis, administrateur, vice-président et président du cercle cybersécurité du Cigref
et
Bernard Cardebat, directeur cybersécurité chez Enedis.

Pouvez-vous rappeler les spécificités de votre activité ? À quels types de contraintes devez-vous faire face ? En particulier, connaissez-vous des pics d’activité ?

Jean-Claude Laroche : Notre mission, distribuer l’électricité sur tout le territoire, nous impose d’assurer le raccordement et l’accès des utilisateurs aux réseaux dans des conditions objectives, transparentes et non discriminatoires. En d’autres mots, d’opérer nos réseaux en assurant une neutralité auprès de nos 40 millions de clients, quel que soit leur fournisseur d’électricité.
Sur le terrain, ces missions se concrétisent par le raccordement, la mise en service, le dépannage, le comptage, le changement de fournisseur et la résiliation. Nous proposons également des services complémentaires comme la modification de puissance, ou encore le déplacement de matériel.
Ces missions se traduisent par des flux conséquents. Des centaines de milliers de télé-opérations transitent quotidiennement sur les réseaux.
Si ces contraintes sont fortes, notre activité informatique n’est pas, ou à la marge, saisonnière. Les crises climatiques ont peu d’impact sur le SI. Plus généralement, les variations liées aux crises en tout genre restent minimes par rapport au niveau d’activité global.

Où en êtes-vous de la transformation de votre système d’information ? Quel usage faites-vous du cloud et d’autres technologies récentes ?

JCL : Aujourd’hui, la transformation de notre système d’information est déjà largement avancée. L’époque du legacy est derrière nous.
La raison majeure de cette évolution tient à la mise en place de Linky et des compteurs communicants avec les entreprises et les collectivités. Environ 30 millions de Linky ont déjà été installés sur un total d’environ 35 millions attendus au terme du déploiement en masse, et les compteurs communicants pour le marché d’affaires le sont en totalité.
Ce déploiement a impacté la majeure partie des briques de notre système d’information. Pour le relevé bien sûr, mais aussi pour les interactions avec les acteurs du marché de l’énergie, les collectivités et plus généralement l’ensemble de nos clients. Cela a également impacté les processus internes et les logiciels qui les assistent, par exemple, pour les déplacements de nos techniciens.
Côté cloud, nos missions nous imposent d’héberger une grande partie de nos infrastructures. Cela dit, nous utilisons le cloud public quand cela est possible, pour des applications et des données peu critiques. Le cloud public représente autour de 10 % de notre SI.
Autre évolution en cours, nous déployons massivement des objets connectés, et pas seulement des compteurs ! Par exemple, des capteurs pour détecter des inondations dans des locaux techniques… La plupart de ces dispositifs sont dédiés à la seule remontée d’information.

Vous collectez notamment les données de consommation de vos clients. Quelle utilisation en faites-vous ?

JCL : Ces données ne sont bien sûr remontées dans notre système d’information que lorsque les clients nous l’autorisent expressément, et ce sont clairement des données personnelles, donc soumises au RGPD. Nous ne les transmettons pas à d’autres partenaires, et toute éventuelle utilisation autre que celles qui nous sont utiles à l’exploitation du réseau électrique est soumise à un consentement éclairé. Ces données peuvent simplement être agrégées et faire l’objet d’une publication dans le cadre de l’open data, ce que nous faisons sur notre site data.enedis.fr, qui est ouvert à tous.

La surface d’attaque de votre SI, notamment le nombre de liens avec vos partenaires, vous expose-t-il particulièrement ? Avez-vous constaté une hausse significative des attaques en 2020 ?

Bernard Cardebat : Comme toutes les organisations, nous sommes confrontés à des tentatives d’attaques nombreuses, et l’année 2020 a vu leur nombre croître très fortement. Cette augmentation a également été particulièrement subie chez nos interlocuteurs numériques : clients, fournisseurs et parties prenantes de notre écosystème au sens large.
Pour préserver toute notre capacité à délivrer les services essentiels de la distribution électrique et assumer pleinement notre mission de service public, nous sommes amenés, par précaution, à bloquer un certain nombre de flux numériques à destination et en réception de nos partenaires qui sont victimes de cyberattaques, et ce jusqu’à leur retour à une situation normale. Dernier exemple malheureux, cela a été le cas fin janvier avec les services de la ville d’Angers.
À noter qu’un changement culturel profond, et positif, est en cours. La plupart des organisations qui sont attaquées aujourd’hui le signalent publiquement et dans des délais relativement rapides. Ce qui aide à mieux comprendre, prévenir et mettre en place des contre-mesures pour bloquer ces agressions.

Comment est organisé votre SI pour contrer ces menaces ?

BC : En complément des schémas, pratiques et moyens techniques usuels mis en place dans les grandes entreprises, nous avons développé deux approches spécifiques.
La première est de prendre en compte la sécurité de bout en bout, à la maille de chaque projet. Ce qui implique que tout nouveau projet IT comprend classiquement les facteurs coûts, délais, qualité, mais s’engage également à atteindre les objectifs de sécurité identifiés lors des phases de spécifications et de conception. La même approche est appliquée en production.
De manière plus originale, nous considérons que l’humain peut devenir le maillon fort. Il faut rappeler que la très grande majorité des attaques visent la messagerie. Nos 38 000 salariés ont donc été sensibilisés au « phishing ». Un bouton dans leur messagerie Outlook leur permet, au moindre doute, de faire suivre les courriels suspects au CERT-Enedis, pour analyse et traitement éventuel. En 2020, environ 8 000 alertes ont été remontées. Le taux de faux positifs ne dépassait pas les 20 %. Un indice de la maturité des utilisateurs.

JCL : J’y ajouterai le critère « maintenabilité dans la durée » pour tout nouveau projet SI. La compétence majeure d’une DSI est aujourd’hui d’intégrer tous ces critères dans une logique d’assembleur. Dans cette approche, il est nécessaire de prendre en compte, dans la conception d’un système, qu’il va être agressé. En ce qui concerne le salarié, nous considérons effectivement qu’il est une aide et pas un problème. Outre la messagerie, certains de nos processus conservent des étapes humaines. Les interventions humaines sont indispensables notamment lorsque nos travaux engagent la sécurité de nos salariés ou de tiers. Ces phases humaines renforcent la sécurité.

Quelles mesures avez-vous prises pour assurer la résilience de votre SI ? Quels sont vos plus grands challenges en termes de cybersécurité ?

JCL :  Notre résilience passe d’abord par un certain cloisonnement de nos réseaux, qui nous permet par exemple d’assurer nos missions de base même lorsqu’une partie de notre système d’information est à l’arrêt. Lorsque nous coupons nos liens informatiques avec un partenaire victime d’une cyberattaque, nous conservons les informations nous permettant de restaurer des relations normales dès que les liens sont réactivés. Quand la confiance est rétablie et le lien restauré, des opérations complémentaires de mises à jour sont bien sûr nécessaires, mais nous les maîtrisons. Côté système d’information interne, nous sommes confrontés à un problème de plus en plus massif : les vulnérabilités des solutions provenant des éditeurs, qui sont publiées quotidiennement. Le nombre de failles à corriger explose.
En 2020, nous avons dû faire face à 2 500 vulnérabilités dans notre SI, sur environ 400 technologies de 150 éditeurs. Le traitement de ces vulnérabilités mobilise aujourd’hui des équipes entières. Ces volumes en croissance posent la question de la responsabilité des éditeurs.

BC : Sur le plan technologique, nous développons une approche hybride. Les outils des leaders du marché sont utilisés, mais nous mettons également en place des solutions innovantes. Celles-ci sont fournies soit directement par des start-up spécialisées, soit via nos grands prestataires qui disposent de partenariats technologiques.

De quelle manière interagissez-vous avec l’Anssi et les diverses organisations qui gravitent autour du domaine de la cybersécurité ? Cela renforce-t-il votre sérénité face aux cyber-menaces ?

BC : En tant qu’opérateur de services essentiels, nous avons bien sûr des relations régulières avec l’Anssi. Au-delà du processus réglementaire, nos relations avec l’agence sont très bonnes et les liens ont encore été resserrés dès le démarrage du programme Linky. Ce programme bénéficie actuellement de plus de 30 visas de sécurité délivrés par l’agence.
Nous participons activement aux campagnes de recherches d’indicateurs de compromission coordonnées par l’Anssi.
Par ailleurs, les relations avec d’autres entreprises ou organisations se renforcent sur des sujets d’intérêt commun. Même s’ils restent encore surtout basés sur les relations interpersonnelles, les échanges d’information s’intensifient.
Le Cert.fr publie de plus en plus rapidement les informations techniques utiles.
Le Cesin, avec ses 700 membres aujourd’hui, contribue à la fois à dynamiser les échanges entre les RSSI d’organisations de toute taille et de toute nature, et à une meilleure efficacité individuelle et collective au sein de la communauté cyber.

JCL : Ces avancées et tous les dispositifs que nous mettons en place ne nous prémunissent pas contre l’augmentation des attaques. Les efforts de la DSI ont beau être considérables, je ne peux pas affirmer qu’il n’existe pas un risque.
Il faut rester humble en particulier en matière de cybersécurité. La piste la plus prometteuse est de mutualiser les efforts, en particulier au niveau sectoriel.


Propos recueilles par Patrick Brebion / Photos de Sébastien Mathé.

Parcours de Jean-Claude Laroche

Depuis 2017 : DSI d’Enedis, administrateur, vice-président et président du cercle cybersécurité du Cigref
  2014-2016 : DSI d’EDF
  2008-2014 : Directeur Ressources et Transformation, EDF 
  2004-2008 : Chef de service obligations d’achat, EDF
  2001-2003 : DG d’un organisme social
  1993-2001 : Ingénieur d’études EDF et RTE
  1987-1993 : Ingénieur de synthèse, puis consultant

Formation
Polytechnique
Ensta ParisTech

 

Parcours de Bernard Cardebat

Depuis 2018 : Directeur cybersécurité chez Enedis 
  2007-2018 : Superviseur audit interne, ISO puis RSSI Groupe et AQSSI chez Areva
  2002-2007 : Directeur business line Sécurité et secteur Défense chez Euriware
  1993-2002 : Chef de bureau Sécurité des SI au ministère des Armées

Formation
Management des SI (ministère de la Défense)
Master en intelligence économique (École de Guerre Économique)
Auditeur de l’Institut National des Hautes Études de la Sécurité et de la Justice