« Nous devons faire preuve de beaucoup de sang-froid et d’empathie, » admet Olivier Caleff, RSSI et Directeur cyber résilience du groupe Erium, un mentor de la cybersécurité. Après avoir construit plusieurs centres de réponse à incidents IT, il aide les équipes cyber à gagner en maturité. Membre élu au conseil d’administration du FIRST, il est également actif au CESIN et enseigne à l’EGE.
Quelles structures et organisations avez-vous côtoyées durant votre parcours professionnel ?
Olivier Caleff : Après mes études d’ingénieur télécom à l’ISEP (1985), je suis entré chez Dassault Électronique où j’ai participé aux premiers déploiements de piles protocolaires TCP/IP et Netex dans un environnement composé de réseaux hétérogènes et d’environnements Unix, VMS et mainframes IBM. À la fin des années 80, le secteur militaire s’intéresse de plus en plus aux technologies civiles et notamment aux réseaux haut débit à fibre optique (FDDI) administrés et sécurisés. En 1992, je participe à la création d’Apogée Communications où j’évolue durant deux décennies. Dès 1995 je me spécialise en traitement de vulnérabilités et gestion d’incidents, jusqu’au rachat de la société de conseils par Colt puis par Devoteam. En 2013, je rejoins l’ANSSI où je représente le CERT-FR, coordonne les relations internationales notamment lors des incidents Wannacry et NotPetya en 2017, et participe à la création du CSIRTs Network. Entré chez Sanofi en 2018, je suis chargé des aspects de cyber-résilience et rattaché au RSSI, Jean-Yves Poichotte, jusqu’aux années très denses de la crise du Covid-19. En 2022, je rejoins le groupe Erium où je traite d’aspects de cyber résilience, de gestion d’incidents et participe aux activités d’évaluation de performances et de maturité des équipes à l’aide d’outils de simulation BAS (Breach and Attack Simulation) et d’exercices cyber
Croisez-vous encore des informaticiens hermétiques aux enjeux de cybersécurité ?
Olivier Caleff : Ils sont encore trop nombreux… mais il faut comprendre pourquoi. Les mentalités ont évolué lentement depuis le périple du référentiel BS7799 en 1995 qui s’est propagé en Europe depuis le Royaume-Uni, vers les Pays-Bas, la Suisse… puis la France. Les messages circulent plus vite maintenant, en partie grâce à la communication autour des victimes d’attaques, mais dire que l’anticipation fait partie de la culture de tous serait exagéré. Les grands groupes (CAC40, internationaux…) y sont plus sensibles que les ETI et les PME. J’observe que lorsqu’un État exige une conformité réglementaire, cela devient un facteur discriminant et les entreprises s’alignent vite, comme au Japon.
Mieux qu’une norme, ce qui accélère la prise de conscience et fait progresser les organisations françaises, c’est de vivre un véritable incident, de voir un acteur de son secteur subir une crise sévère, dans la santé ou l’agro-alimentaire, ou de préparer un événement mondial comme les Jeux Olympiques de Paris 2024. On met en place des organisations en amont de la crise et on mène des exercices concrets avec le soutien de l’ARS, du CERT Santé ou de l’ANSSI. Les hôpitaux n’ont pas attendus la pandémie de Covid-19 pour apprendre à gérer des crises : le plan blanc est obligatoire pour tous les établissements de santé depuis 2004 et il est déjà bien intégré dans la culture des métiers, sa déclinaison cyber est naturelle. Cette culture de gestion de crise progresse dans d’autres secteurs, comme en témoignent les retours d’expérience partagés à l’InterCERT France ou au CESIN, et les podcasts pédagogiques de NoLimitSecu
En matière de cyber-résilience, que faut-il anticiper en particulier ?
Olivier Caleff : On parle beaucoup du danger des rançongiciels, de leurs victimes et impacts. C’est un exemple frappant, mais un système d’information ou de communication peut tomber pour d’autres raisons physiques ou humaines : fibre optique coupée, incendie, intervention de maintenance ou mise à jour qui dégénère. Dans le cas d’une cyber-attaque on pensera d’abord à la reconstruction de l’Active Directory, et la vérification des sauvegardes. Il faut surtout penser à la survie de l’entreprise, pendant la crise, avec peu ou même sans moyens informatiques, puis à la reconstruction massive d’un parc de machines. On se trouve alors confronté à des problématiques de volumétrie et surtout de temporalité : on sait (généralement) combien de temps est nécessaire pour réinstaller un ordinateur ou un serveur quand on a tous les éléments et l’infrastructure. Mais combien de temps faudra-t-il pour reconstituer 100 ou 1 000 PC quand l’infrastructure est tombée depuis plusieurs jours ? Si on n’a pas pris de mesures conservatoires, que l’on n’a pas anticipé, se relever sera laborieux, lent et consommateur d’énergie. Il est aussi nécessaire de définir les priorités avec tous les métiers en amont de la crise. Ce sont eux qui doivent définir le séquencement des redémarrages du plan à préparer, que le service informatique va mettre en œuvre, et non l’inverse.
Fin 2018, l’Institut Montaigne a publié un rapport très instructif intitulé « Cybermenace : avis de tempête » dont la lecture est aussi agréable qu’instructive, qui émet des recommandations et souligne l’organisation.
En amont, il est nécessaire de disposer des inventaires et des cartographies : je ne parle pas que de CMDB. Encore une fois, la vision métiers est primordiale et les annuaires de crise, comme ceux des mallettes de crise des années 80 sont toujours d’actualité.
Il y a d’autres points à anticiper, qui touchent à la logistique, aux ressources humaines, au juridique et, bien entendu, à la communication (interne, externe, technique, de secours) – une véritable clé de voûte.
Un bilan doit être fait et des leçons tirées après le redémarrage car la prochaine crise guette et il ne s’agit pas de reproduire les mêmes erreurs. On refait le match pour trouver des coupables parfois. Désigner l’entraîneur est alors tentant, mais peu constructif. Je préfère identifier les pierres d’achoppement, les procédures manquantes, les éléments qui ont fait défaut, mais aussi ce qui a bien fonctionné. Tout cela servira à construire un plan d’amélioration et de renforcement. En toile de fond, l’aspect financier permet d’allouer des moyens et de mettre en œuvre le plan.
Pourquoi avoir créé un incubateur de CSIRTs ?
Olivier Caleff : L’objectif est de mettre le pied à l’étrier des équipes jeunes ou en devenir des centres de réponse aux incidents cyber, dans les entreprises et les CSIRTs des territoires. Divers profils peuvent construire ensemble une équipe tournée vers la résilience, pour fournir de la visibilité aux décideurs, avec un outillage technique, un référentiel juridique, des renseignements sur les menaces. Grâce à l’incubateur créé avec Haude Costa et Vincent Nguyen, nous œuvrons pour que de telles équipes coordonnent leurs activités et s’organisent autour d’un plan d’action pour gagner en maturité. Pour cela, nous nous appuyons sur deux outils reconnus : la RFC-2350 de l’IETF (Expectations for Computer Security Incident Response), et le modèle SIM3 (Security Incident Management Maturity Model).
Pouvez-vous préciser quelques efforts concrets résultant de votre engagement associatif ?
Olivier Caleff : Au CESIN, je co-anime le LAB Vulnérabilités et Incidents avec une veille quotidienne à destination des membres RSSI que je partage également avec l’ECSO (European Cyber Security Organisation) au niveau européen, ainsi qu’un groupe de travail sur la Cyber Crise et les Fiches Réflexe. Idem avec l’InterCERT-France, l’association française des CSIRTs qui compte plus d’une centaine de membres à ce jour, avec deux actions engagées en 2023 et qui trouvent leur aboutissement en 2024. D’abord la publication de 10 Fiches Réflexes, certaines diffusées avant les J.O. de Paris, et la conception de modèles de playbooks pour le traitement d’incidents à paraître. Je suis très impliqué dans les programmes de formations de l’InterCERT France, à la TF-CSIRT en Europe avec les modules Transits, et au FIRST au niveau mondial. J’ai participé à la définition du CSIRT Framework, le cadriciel de référence pour les CSIRTs défini par le groupe de travail du FIRST, largement repris dans la communauté. Enfin, je contribue à l’évolution et à la diffusion de SIM3, le modèle de maturité des CSIRTs conçu dans le cadre de l’OpenCSIRT Foundation. Enfin, mon engagement associatif se traduit par ma participation au Conseil d’Administration du FIRST et à ma réélection en juin 2024 avec pour nouveau périmètre le « Community Engagement » qui intègre les SIG (« Special Interest Group »), des groupes de travail au cœur du partage et des bonnes pratiques de la communauté.
Quels traits de caractère doivent réunir les RSSI dorénavant ?
Olivier Caleff : La vie du RSSI n’est pas rose. Le stress fait partie de son quotidien. Nous devons traiter les événements avec lucidité, malgré la panique ou la sidération des victimes. Comme le font les services d’urgence du SAMU ou des pompiers, nous devons appliquer des procédures et suivre des méthodologies (le protocole 6C), rassurer des professionnels en panique, surpris par l’ampleur et les dégâts provoqués par une crise cyber. Nous devons faire preuve de beaucoup de sang-froid et d’empathie.
Comment percevez-vous le raz de marée de l’IA en cybersécurité ?
Olivier Caleff : Je fais partie des nombreux circonspects. Nous observons un fort décalage entre la réalité du terrain et le contenu des annonces marketing présentant l’offre cyber à base d’IA comme une solution miracle. Je perçois surtout un gros risque de fuite en avant poussé par le vent de la nouveauté. On ne peut pas encore tout résoudre par l’IA. Il existe d’ailleurs plusieurs IA, dont l’efficacité passe par un minimum d’apprentissage dans un contexte donné. On retrouve parfois la folie des SIEM avec des règles génériques et les déceptions qui ont suivies.
On constate notamment dans le groupe de travail du FIRST que l’IA peut faire gagner du temps lorsque l’on maîtrise déjà son environnement ou que l’automatisation est une réalité. Aujourd’hui ces playbooks sont spécifiques, demain ils seront au format CACAO Security Playbooks ; ils pourront alors démultiplier la capacité de traitement des CSIRTs. Les opérationnels actuels s’affranchiront de tâches répétitives et apporteront davantage de valeur ajoutée. Les plus matures peuvent déjà corréler avec de la CTI (Cyber Threat Intelligence) et sont capables de lancer des méthodes correctives. Cela devrait se démocratiser dans les deux ans.
Mais en face, les groupes d’attaquants utilisent déjà l’IA pour bâtir des leurres et sollicitations de plus en plus crédibles. Ils piègent leurs victimes avec des messasges parfois très évolués, abusent ceux qui ne sont pas attentifs. Le nombre de faux profils crédibles sur LinkedIn est en augmentation. Les phases d’approches peuvent être sous-traitées à des sortes de robots qui attirent les victimes sous couvert de sollicitation de votre avis contre rétribution. Rien de nouveau pour ceux qui traitent de l’intelligence économique avec les pseudo conférences et les fausses études d’experts. Il s’agit de soutirer de l’information pour mieux attaquer votre organisation. Tout ce qui brille n’est pas de l’or.
Depuis l’ouverture des accès aux moteurs d’IA générative, les profils de soi-disant experts augmentent sur LinkedIn et d’autres réseaux sociaux. Sous couvert d’information pertinentes, ces profils gagent en popularité jusqu’au moment où ils déverseront leur fiel.
Un message encourageant pour conclure ?
Olivier Caleff : Bien sûr ! Les associations professionnelles et communautés sectorielles sont là pour ne pas déprimer seul dans son coin. Que l’on soit RSSI, membre d’un CSIRT, d’un SOC ou autre, il y a forcément un endroit physique ou virtuel où partager. Quand on parle d’intelligence collective, on cite souvent un proverbe africain : « Seul on va plus vite, ensemble on va plus loin ». Aller plus loin est une réalité depuis longtemps, à l’échelle de l’industrie informatique et sécurité. Rien qu’en France, nous avons la chance de pouvoir accueillir des RSSI avec le CESIN depuis 2012, des CSIRTs depuis les débuts de l’InterCERT au milieu des années 2000. Nous avons le CLUSIF créé en 1982 avec une quinzaine de CLUSIR en régions, CIX-A depuis 2019, le groupe SUR créé en 1987 et l’OSSIR en 1996.
Dans un groupe de parole un participant évoquait la difficulté psychologique liée à une attaque réussie et des séquelles psychologiques affectant certains membres de l’équipe. L’événement est vécu comme un traumatisme. Dans le programme d’incubateur de l’InterCERT France un module est consacré aux aspects humains RPS.