TOTAL
M. Patrick Hereng, directeur des systèmes
d'information
et télécommunications
6 mars 2014
Pour s'inscrire dans un système de protection contre les risques numériques, Total a commencé à dresser une cartographie des risques des systèmes d'information qui sera mise à jour régulièrement pour formaliser lesdits risques. Total considère qu'il existe vingt-neuf risques rattachés à neuf enjeux métiers.
En 2013, un comparatif sécurité a été réalisé avec d'autres entreprises pétrolières - BP, Chevron, Repsol, Statoil, Total, Petrobras, ENI, Aramco, Shell. Total se situe à peu près dans la moyenne de ce groupe et il a été décidé de lancer un plan d'évolution de la sécurisation du système d'information qui a été validé mi-2013. Il représente environ soixante-dix projets à réaliser sur trois ans, avec une relance éventuelle de cette action dans trois ans pour l'ensemble du groupe. Ce plan est évalué à 80 millions d'euros.
Ce plan de sécurité repose sur quatre piliers. Le premier est la sécurisation du système d'information de gestion en passant par les infrastructures des services partagés, essentiellement les télécommunications pour les mille sites de Total dans le monde reliés à des entités du groupe. Ce plan de sécurisation des infrastructures et des services partagés est en cours, il nécessite un certain nombre de projets et va prendre trois ans.
Le second pilier est la sécurité de l'information industrielle , aujourd'hui en chantier car un certain nombre d'actions sont encore à mener. Les systèmes de commande, appelés SCADA dans la terminologie des informaticiens, sont de plus en plus, à la base, construits avec des composants informatiques traditionnels. Ainsi, Transmission Control Internet Protocol ( TCP/IP ) des logiciels de Microsoft ou de Linux sont utilisés dans les SCADA . Ces systèmes sont donc de plus en plus vulnérables . La sécurisation des systèmes d'information industrielle a donc été décidée sur tous les sites de Total , que ce soient les plates-formes, les raffineries, les dépôts, pour compléter efficacement le dispositif actuel.
La sécurité des applications constitue le troisième pilier . L e système d'information de métier bénéficie de la mise en place de dispositifs de gestion d'identité, d'habilitations adaptées aux applications.
Le dernier pilier est la sensibilisation des utilisateurs pour changer leurs comportements.
Ces dispositifs dépendent de l'efficacité de la gouvernance des systèmes d'information, en particulier de la gestion de crise et de la réactivité en cas d'incidents de cybersécurité. La pratique d'exercices réguliers permet de pallier les failles. La gouvernance des systèmes d'information évolue en fonction de ce plan de sécurité des systèmes d'information. Les risques sont continuellement contrôlés et mesurés , ce qui aboutit à l'établissement d'une réelle cartographie.
Les trois priorités des systèmes d'information du groupe sont la sécurité, l'évolution de l'entreprise numérique et l'optimisation des coûts des systèmes d'information. Relever les barrières de protection pour résister aux futures attaques devient une nécessité.
Total est particulièrement sensibilisé aux risques de cybersécurité depuis la fusion en 2000 entre Total , Elf et Petrofina . Cette problématique n'est pas nouvelle mais elle a pris de l'ampleur suite à l'attaque subie par Saudi Aramco en 2012. Cette attaque ciblée, par un virus créé à dessein, indétectable par les antivirus, a entraîné la destruction de 30 000 postes de travail. Sur les disques durs attaqués ne demeurait que l'image du drapeau américain. L'origine et l'identité des attaquants restent indéterminées à ce jour. Ils avaient pour objectif de bloquer la production de Saudi Aramco qui représente 12 % de la production mondiale.
Il a fallu un certain temps à cette société pour se remettre d'aplomb en dépit d'une réaction rapide et du fait qu'il existe chez elle une coupure complète entre le système d'information de gestion et le système de production : aucun flux ne part du système d'information de gestion vers le système industriel, les flux ne progressent qu'en sens inverse. Mais il a bien failli y avoir des conséquences. En trois semaines environ, le disque dur de 30 000 postes a été remplacé pour relancer les systèmes.
Cet incident a marqué Total et, de manière générale, toute la profession pétrolière. De user friendly, ils sont brutalement devenus security first . Il existe donc désormais des contraintes pour les utilisateurs. Total échange avec d'autres sociétés sur les aspects de sécurité. En effet, pour bien résister, il est nécessaire de s'appuyer sur un réseau qui transmet l'information, notamment celle sur l'occurrence d'incidents .
La souveraineté en matière de données numériques se joue des frontières mais elle a du sens par rapport aux fournisseurs de services et d'équipements, en particulier par rapport aux menaces de type étatique. Il est important que la France dispose d'une filière de bon niveau pour fournir à la fois des services dans les nuages qui soient des services qualifiés, « vendus sur étagère », accessibles via Internet, à des prix compétitifs. Pour les autres fournisseurs dans le nuage numérique, ou cloud , on ne sait où sont stockées les données de tels services. Ce peut être en Europe, aux États-Unis d'Amérique ou ailleurs...
Dans le nuage, il y a plusieurs types de services : infrastructures à la demande ( IaaS ), logiciels à la demande ( SaaS ), ou plates-formes à la demande ( PaaS ). Ces services peuvent se situer dans des nuages publics ou dans une infrastructure spécifique construite par un opérateur, c'est-à-dire un nuage privé.
Total considère que les données à stocker dans le nuage public ne peuvent être que des données peu confidentielles , sauf, si dans le cadre du plan sécurité, des données ont bénéficié de moyens de chiffrement complémentaires leur permettant d'y être stockées. Aujourd'hui, le recours aux nuages publics est modéré et est assortie d'un dispositif particulier en matière de sécurité. En effet, Total a établi un régime de classification des données en quatre catégories : jusqu'au niveau 2, il est possible d'utiliser le nuage mais, au-delà de 2, pour des raisons de sécurité, il est interdit de recourir au nuage.
Quand on utilise le nuage, une analyse spécifique de risque associé est effectuée en fonction de la classification des données et des types d'applications souhaitées. Aujourd'hui, le SaaS ( Software as a Service ), configuration dans laquelle le logiciel est installé dans le nuage est le service le plus utilisé par Total qui a les moyens de se construire lui-même les infrastructures et les plates-formes. C'est l'applicatif qui pousse à aller dans le nuage ; certaines applications ne se trouvent que dans le nuage public et nulle part ailleurs. Si vous ne voulez pas l'utiliser, vous ne pourrez profiter de l'application.
Sous la pression des entreprises, certains éditeurs peuvent mettre des applications à disposition dans un nuage privé mais l'industrie informatique, au vu du poids des investissements effectués, incite à l'utilisation d'un nuage où elles mettent des applications, que ce soit dans le nuage public ou dans le nuage privé. Total est aujourd'hui réservé face aux nuages et considère surtout le degré de confidentialité des données. Encore une fois, pour éviter les risques, il faut utiliser des moyens de chiffrement.
En raison du peu de confiance accordée au stockage de données dans les nuages, à part pour un certain nombre d'applications dans le SaaS dont la sécurité n'est pas à craindre, Total possède ses propres centres de stockage de données ( data centers ). Ces centres sont, en fait, loués mais sont considérés comme appartenant à Total .
Total est en phase avec les préconisations de l'ANSSI et de la CNIL , surtout avec les règles d'hygiène informatique prises en compte dans le référentiel de sécurité de Total qui porte sur l'ensemble du périmètre du groupe. Les règles de ce référentiel doivent être respectées et donnent lieu à des audits réguliers des règles informatiques préconisées par l'action mise en oeuvre. Il faut mieux gérer les droits d'accès, les droits d'administration, les mots de passe pour être capable de les changer rapidement, pour éviter que les pirates trouvent facilement ce type d'informations.
Pour les choix de matériel et de fournisseurs, Total s'appuie sur les référencements de l'ANSSI lorsqu'ils existent. L'interaction avec l'ANSSI est fréquente. Total est pleinement en phase aussi avec les préconisations sur la sécurisation des systèmes industriels. En général, les gens sont peu sensibilisés à la problématique de sécurité et croient qu'il n'y a pas de problème alors que, en commençant à travailler avec les spécialistes de la sécurité, ils prennent conscience de l'existence et de l'acuité de ces problèmes.
En ce qui concerne la CNIL , la directive européenne de 1995 a repris la loi française informatique et libertés ; les déclarations exigibles sont effectuées pour encadrer les échanges de données personnelles. Suite aux recommandations de la CNIL, des Binding Corporate Rules (BCR) , règles qui définissent la politique de Total en matière de sécurité, ont été établies et viennent d'être validées par les régulateurs européens. La protection des données personnelles est appliquée à l'ensemble du système de gestion.
Ce que dit la CNIL est repris dans quasiment tous les pays du monde même si la réglementation des États n'est pas forcément homogène . La protection de données personnelles est une préoccupation importante à avoir car, lorsqu'il y a un problème de sécurité, c'est l'image de marque de l'entreprise qui peut être atteinte. Cela n'est bon ni pour l'entreprise ni pour ses clients. Aujourd'hui, les préoccupations émises par la CNIL sont de bon sens.
Le référentiel de sécurité s'applique également aux filiales et aux sous-traitants auxquels un plan d'assurance sécurité est imposé. Les activités de Total en tant qu'opérateur d'importance vitale ne représentent qu'une petite partie (raffineries, quelques dépôts, les pipes lines , etc.) de ses activités mais le plan global de sécurité est appliqué à l'ensemble des activités.
Jusqu'à présent, Total n'a pas subi d'attaque massive mais est régulièrement attaqué par des virus ou des chevaux de Troie . C'est pourquoi, il était important de lancer très vite le centre opérationnel de sécurité , dispositif permettant d'avoir une analyse précise de ce qui se passe dans le réseau. Ce dispositif est en partie sous-traité à Thales . Tout ce qui laisse une trace sur le réseau peut être retrouvé car stocké et donc ensuite analysé. C'est ainsi qu'une attaque par des chevaux de Troie sur l'activité « gaz » de Total a été détectée ; ils n'avaient pas encore été activés mais quelques postes avaient déjà été affectés. Ils ont été nettoyés avant d'avoir servi à envoyer de l'information. Des attaques en déni de service ont touché certains sites Internet de Total qui ont été bloqués pendant quelques heures mais il n'y a pas eu d'attaque massive pour l'instant. Plutôt que de savoir si elle aura lieu, il s'agit plutôt de se demander quand elle surviendra. C'est la raison pour laquelle Total veille quotidiennement à ses barrières de sécurité.
La protection des données en qualité d'opérateur d'importance vitale suppose d'imposer aux sous-traitants d'élaborer un plan de sécurité, contrôlé régulièrement, reprenant les règles et les préconisations décidées.
Les utilisateurs doivent être informés et également sensibilisés . Par comparaison, il ne suffit pas d'apprendre que la cigarette est mauvaise pour la santé pour que les comportements changent de ce seul fait. Les actions de sensibilisation vont être intensifiées notamment face au phishing - campagne par courriel permettant d'activer des malwares . Il est possible de sensibiliser en faisant du faux phishing , c'est-à-dire en s'envoyant des courriels pour voir qui va répondre et, ensuite, préciser aux personnes qui ont répondu qu'il ne faut pas répondre à ce genre de message. Ces attaques sont souvent bien conçues. Ainsi, Saudi Aramco a commencé à être attaqué, à se faire pirater du fait d'un phishing qui renvoyait à un site Internet auquel les employés communiquaient leur mot de passe croyant s'adresser aux informaticiens internes. Il y a toujours des personnes qui réagissent car ces attaques sont mieux en mieux réalisées.
Par ailleurs, dans les avions, dans les trains, empruntés par beaucoup de personnels de Total , il leur est conseillé d'utiliser un écran qui limite le champ visuel et de faire attention à ne pas être lu par le voisin. De plus, beaucoup d'informations confidentielles peuvent être volées en cas de perte ou de vol d'un PC . Il faut aussi sensibiliser à cela. Aujourd'hui, par exemple, il est facile d'utiliser Dropbox , c'est pratique mais ce n'est pas du tout sûr ; il faut expliquer le risque qu'il y a à utiliser ce genre de solution. Total construit actuellement une solution équivalente mais sécurisée. Un dispositif de sécurisation peut être efficace mais des comportements inconséquents sont susceptibles de ruiner ce dispositif.
La séparation entre la vie privée et la vie d'entreprise est de plus en plus floue du fait d'outils qui permettent d'accéder aux divers systèmes quel que soit le lieu ou le moment. Ainsi, l'accès aux données de l'entreprise peut s'effectuer au moyen d'un téléphone privé mais cette utilisation est déconseillée en raison des risques de sécurité associés. Il est très difficile de contrôler ce qu'il y a sur le téléphone de la personne. De fait, Total donne des téléphones professionnels que les employés peuvent utiliser accessoirement à des fins personnelles : ce qui permet d'appliquer la politique de sécurité de l'entreprise. La politique sur le problème des dispositifs à domicile ( home devices ) est également appliquée pour les prestataires. Il est parfois demandé aux prestataires de venir avec leur PC et un accès virtuel leur est accordé. Leur accès aux données se trouve, de fait, limité.
Dans la politique de Total , sur les postes de travail, tout chargement de logiciel non professionnel est interdit . Les droits d'administration sont réservés. Le changement de logiciel spécifique doit être autorisé.
Total a des échanges réguliers avec d'autres entreprises françaises ( Michelin , Areva , Safran , Société Générale , etc.) à travers diverses structures (le CLUSIF, le CIGREF, etc.) et beaucoup d'échanges aussi avec quelques autres entreprises du secteur pétrolier pour être en phase avec le marché.
Les antivirus sont nécessaires mais absolument pas suffisants. Des mesures complémentaires doivent être prises face aux menaces actuelles, d'où la nécessité de mettre en place un centre de sécurité opérationnel d'autant que les antivirus ne sont pas tous capables d'arrêter tous les virus qui existent. Même si certains virus sont connus, ils mutent. Il n'est pas aisé de les identifier.
Les fournisseurs d'antivirus ne connaissent pas forcément l'ensemble des virus. Et il faut donc favoriser une sorte de biodiversité d'antivirus pour ne pas utiliser une seule solution antivirus pour traiter un problème.
Aux États-Unis d'Amérique, la législation oblige les éditeurs à déclarer les failles de leurs produits dont profitent souvent les pirates . Si, par exemple, Microsoft déclare une faille, elle risque alors d'être exploitée par des pirates car, entre le moment où la faille est déclarée et l'élaboration d'une solution de parade, une attaque peut être menée. L'antivirus ne peut être actif que lorsque le virus est connu mais si le pirate crée un virus pour profiter d'une faille, il y a un moment où ce virus a une capacité de nuisance.
S'il y a des failles dans des logiciels applicatifs comme Internet Explorer , il faut mettre à jour les logiciels pour pouvoir résister aux attaques . En effet, les antivirus ne dispensent pas d'apporter des correctifs au logiciel. Le temps de déploiement des solutions sur l'ensemble du périmètre doit être réduit. Sur ses sites, dans cent trente pays, le programme utilisé par Total prend encore trop de temps. Il faudrait cependant pouvoir procéder à une modification en moins de vingt-quatre heures, comme le fait maintenant Saudi Aramco .
Le système de supervision de sécurité est fondamental. Les sondes sont essentielles pour permettre d'apprécier en temps réel ce qui se passe sur le réseau. En plus des antivirus, il est nécessaire d'utiliser des pare-feu qui permettent de bloquer un certain nombre d'attaques ou d'accès. Il est à noter que les pare-feu de nouvelles générations peuvent filtrer les couches applicatives et pas uniquement les couches de base.
Il y a régulièrement des attaques sous forme de chevaux de Troie .
Les effectifs pour parer aux attaques sont organisés en deux niveaux. D'une part, une filière de responsables des systèmes d'information déployée au niveau groupe, au niveau branche, au niveau local qui a pour mission d'appliquer le référentiel de sécurité. Cela représente 250 personnes au niveau du groupe. Par ailleurs, une filière opérationnelle , rattachée aux équipes de production informatique, met en oeuvre et exploite les outils de sécurité. Elle est alors intégrée dans les opérations et il est donc difficile de dénombrer exactement les personnes qui travaillent spécifiquement à la sécurité.
En cas de crise, des cellules de crise sont activées au sein du groupe et, en cas d'événement de grande ampleur, une équipe d'intervention rapide est réservée, en permanence, chez Thales . Dans la gestion des crises informatiques, la réactivité est un élément extrêmement important de la solution. Ainsi, Saudi Aramco aurait pu bloquer l'attaque si elle avait coupé Internet plus vite ; cela s'est joué à cinq heures près. En effet, il faut réagir en quelques heures face à une attaque pour limiter les impacts.
Les personnes en charge du référentiel ont pour mission de traiter la problématique de sécurité qui suppose d'abord d'être organisé face à la crise en mettant en place un dispositif de crise informatique et de vérifier son efficacité à l'aide d'exercices réguliers.
Les solutions de sécurisation s'intègrent dans le cadre juridique européen ou international mais dans certains pays, comme la Russie, le Pakistan ou la Chine, et pour certains équipements, des autorisations d'exportation sont nécessaires. Certains matériels ne peuvent être implantés dans certains pays, du fait de l'opposition des Américains.
Si la réglementation sur les données personnelles existe, les dispositions d'application de la loi de programmation militaire sont attendues pour mettre en conformité le plan actuel, fondé sur de la prospective, avec les dispositions applicables.
Le fait que les noms de domaines soient attribués par une association américaine ne pose pas de problème particulier à Total . Les domaines intéressants ont été réservés : le Total.com , le .total .
Pour améliorer la sécurité des entreprises face au numérique, à l'image de Total , il convient de dresser une cartographie des risques, de mettre en place les outils de protection (le centre opérationnel de sécurité, les équipements de protection, etc.), de protéger les installations industrielles, de renforcer la sécurité des applications, de sensibiliser les utilisateurs, de se préparer en termes de gestion de crise et de posséder une cartographie des risques actifs, régulièrement réévaluée, qui permette de gérer les risques.
Il faut également développer des possibilités d' utiliser le nuage de manière sécurisée - pour la mobilité en particulier - afin de pouvoir rester compétitif. Il n'est pas possible de renoncer totalement à utiliser le nuage. Un dispositif est en cours de conception dénommé cloud broker (fournisseur de nuage) qui va permettre de faire de l'authentification, de crypter les données. Le niveau de sécurité sera alors plus important.
Le nombre d'objets connectés augmente sans cesse et il en est prévu 50 milliards en 2020. Aujourd'hui, chez Total , il y a des dispositifs de surveillance installés dans des turbines sur les plates-formes pétrolières ; ces capteurs mesurent en continu de nombreux paramètres - la température, la vitesse de rotation - et ces informations sont analysées à partir de technologies de big data pour déterminer des débuts de pannes ; cela évite d'être victime d'une rupture de turbines obligeant à arrêter la production d'une plate-forme.