LMI MAG 3 Juin 2020 - Flipbook - Page 9
La sensibilisation a aussi porté sur les outils collaboratifs déjà présents dans l'entreprise. Nous avons eu du
succès, puisque les collaborateurs se sont rapidement
approprié les fonctions collaboratives. Des adaptations
furent menées, mais ont été relativement marginales et
instruites pour faciliter un retour à la normale. Il n'y a
pas eu d'acquisitions de nouvelles solutions, cela a été
essentiellement une adaptation des outils existants.
PML : Nous n’avons pas souhaité, sur la base d'une
analyse de risques, bloquer d'outils de visioconférence.
Chacun doit pouvoir travailler de manière interopérable
avec des partenaires. Il faut permettre à tous de travailler, en fonction des enjeux de sécurité. Je pense que des
mesures trop coercitives pourraient être dans certains
cas contre-productives, et mener à des tentatives de
contournement de sécurité ou à des risques de shadow IT.
En revanche, nous avons préféré accompagner les utilisateurs dans l'usage de ces outils de visioconférence, par
exemple pour utiliser des identifiants autres que ceux
employés pour se connecter à leurs systèmes d'information professionnels encore activer des fonctions de
salle d'attente. Ce sont des actions très concrètes que
les utilisateurs se sont appropriés. Nous avons aussi fait
des rappels. En effet, certains usages restent exclus de
ce type de plateformes grand public tel que l'échange
de données sensibles.
Avez-vous eu recours à des technologies
de détection des cybermenaces proactive,
du deep learning dans ce contexte ?
PML : Nous ne sommes pas forcément dans une logique
de deep learning sur l'ensemble du périmètre. Nous
sommes plutôt sur des systèmes utilisant des solutions
algorithmiques pour des analyses beaucoup plus fines,
au-delà du simple antivirus. Mais la question n'est pas
tant celle du volume des données à acquérir que de savoir
quoi et où regarder. L'enjeu est aussi d'avoir des cycles
très courts entre l'acquisition d'indicateurs de malveillance et l'adaptation de mesures de protection avec la
plus grande réactivité possible.
Quels problèmes de sécurité inattendus avezvous dû affronter et quel bilan en tirez-vous ?
PML : D'après mon expérience, les crises surviennent
rarement au moment où l'on s'y attend le plus. Il ne
s'agit pas pour nous de devenir cyber vigilants du fait
d’un contexte crisogène, mais au contraire de maintenir
des ressources au plus haut niveau et sur la durée. Nous
n’avons pas noté une augmentation significative d'indi-
© Bruno Levy/divergences-images
Avez-vous évité certains outils de
visioconférence ? Si oui, lesquels et pourquoi ?
« Aujourd’hui, nous surveillons 10 000 sites Web malveillants
qui ont été créés dans le contexte Covid et qui peuvent capter
des identifiants ou être utilisés à des fins de phishing. »
cateurs de menaces, mais plutôt un changement de tendances avec un volume quasi constant. Ce basculement
provient essentiellement du nombre important de sites
Web ou d’actions malveillantes liées au Covid avec des
campagnes de plus en plus ciblées. C'est pour cela que
nous sommes vigilants. Aujourd’hui, nous surveillons
10 000 sites Web malveillants qui ont été créés dans le
contexte Covid et qui peuvent capter des identifiants ou
être utilisés à des fins de phishing.
Comment gérez-vous la phase de déconfinement
et les terminaux qui vont être reconnectés au SI ?
Avez-vous mis en place une stratégie
cyber associée ?
PML : Pour la RATP, le déconfinement ne signifie pas
un retour massif mais très progressif au travail sur les
sites tertiaires. Que la connexion se fasse à distance ou
sur place, nos procédures prévoient que les équipements
doivent répondre à une configuration stricte de sécurité
SUITE
DE L’ENTRETIEN
9