single

     

Les notions de cyber-résilience de proximité RSSI et métiers chez Enedis

image_digital-strategy_article_corps_499
Jean-Marc Do Livramento revient sur les notions de cyber résilience, de proximité entre RSSI et métiers, et de sécurisation des usages liés aux technologies IoT.
ITW : Jean-Marc Do Livramento, Responsable schéma directeur / architecture et sécurité télécom chez Enedis

QUEL EST VOTRE PERIMETRE CHEZ ENEDIS ?

J'assure la partie sécurité des télécommunications. Cela concerne aussi bien les télécoms utilisées par les collaborateurs que les télécoms de comptage pour remonter les index de compteurs électriques ou les télécoms industrielles qui permettent de piloter le réseau électrique.

COMMENT DEVELOPPEZ-VOUS VOTRE "CYBER RESILIENCE" ?

Nous multiplions les moyens de communication. Lorsque la liaison télécom nominale entre deux sites du réseau électrique tombe en panne, qu'elle qu'en soit la cause, un lien télécom de secours sans mode commun (technologie différente et acteur différent) est automatiquement activé. Par ailleurs, un plan de continuité d'activité fait que chacune des salles de contrôle du réseau électrique réparties dans toute la France est toujours en mesure d'être backupée par les salles de contrôle les plus proches dans la région. Nous avons par ailleurs segmenté nos réseaux de sorte qu'à partir d'un point donné il ne soit pas possible de porter atteinte à une partie significative de notre activité.

POUR AFFINER CETTE CONNAISSANCE DES ACTIFS CRITIQUES, EN PASSEZ-VOUS PAR LES METIERS ?

En effet et cela se fait d'ailleurs assez simplement. Avec l'évolution des technologies, nous avons été amenés à créer une activité Telecom unique en regroupant les entités télécoms réparties au sein de chaque métier. Nous l'avons rattachée à la direction technique du réseau électrique et non à la DSI, comme cela se fait souvent, car il s'agissait de notre client le plus sensible. Cette proximité organisationnelle se double d'une proximité géographique puisque nous sommes au même étage ; cela nous conduit à échanger très fréquemment et de manière naturelle.

ENEDIS S'INTERESSE A L'IOT. LES ENJEUX DE CYBERSECURITE SONT-ILS PRIS EN COMPTE ?

Lorsque des métiers ont commencé à s'intéresser à l'IoT, leur premier réflexe a été de se tourner vers nous pour nous demander de comparer et d'évaluer les technologies télécom concernées : les réseaux Sigfox et LoRa par rapport aux réseaux cellulaires classiques, notamment. Or comme chez nous, les télécoms et la sécurité fonctionnent ensemble, notre comparaison des technologies IoT avec les technologies de type 3G ou 4G a porté sur les fonctionnalités et la performance mais aussi sur la sécurité et ses critères classiques : disponibilité, intégrité, confidentialité, traçabilité. Après cette 1ère phase d'évaluation, s'en est suivie une phase d'expérimentations ou nous avons raccordé des objets. Ici aussi, dans l'architecture télécom mise en place, les enjeux de sécurité ont été intégrés.

QUELS SONT LES DEFIS PROPRES A LA SECURITE DES IOT ?

Si l'on s'intéresse aux technologies qui font le buzz, Sigfox, LoRa et demain la 5G IoT, on comprend qu'elles se fondent sur la promesse d'un déploiement simple et peu coûteux. Or, il y a là une contradiction avec la sécurité, qui peut exiger un certain niveau de chiffrement des données, d'authentification de l'objet par rapport au réseau, de mises à jour du firmware de l'objet ou du module de communication dès lors qu'une faille est trouvée... Voici le principal challenge : comment faire en sorte qu'un objet conçu pour être développé à bas coût ne soit pas détourné pour créer une brèche dans le SI ? Le corollaire, c'est que cela restreint, dans le monde industriel, le champ d'action de ces objets connectés. Puisqu'il est coûteux de les sécuriser afin d'empêcher un tiers de manipuler les données remontées, vous ne pouvez pas les envisager pour des usages critiques.

PEUT-ON DES LORS SECURISER LES USAGES IOT ?

Il est possible de sécuriser correctement ces nouveaux usages mais avec des objets plus complexes donc plus chers que ce que l'on fait actuellement. L'un des enjeux de la normalisation de l'IoT au sein de la 5G est précisément là. A quoi sert l'objet connecté ? Voici la question qui sous-tendra la complexité de l'objet, de sa technologie de communication et de son niveau de sécurité. Dans le cas ou l'objet est destiné à un usage critique, il vaudra mieux utiliser un raccordement cellulaire pour bénéficier de la sécurisation de la carte SIM. L'IoT, ce n'est pas nécessairement des technologiques rudimentaires à bas coût : cela dépend de l'usage de l'objet connecté et, donc, du niveau de sécurité que vous en attendez !

Pour consulter l'ensemble de l'ouvrage, cliquer ici