Comment piloter les enjeux cybersécurité dans une start-up industrielle ?

Découvrez l’interview de Yohann BAUZIL, Ex-CISO (Chief information security officer) d’Airbus OneWeb Satellites. Pour une start-up industrielle fabriquant des satellites, la question de la cybersécurité n’est pas une question, c’est une évidence. C’est pour structurer et piloter la cybersécurité que Yohann BAUZIL a rejoint Airbus OneWeb Satellites. Dans cette interview passionnante, vous découvrirez son approche globale de la sécurité des outils de production, qu’ils soient informatiques ou bien industriels.

Le rôle du CISO, Chief Information Security Officer

Pour commencer, vous avez le titre de CISO, est-ce différent de RSSI ou bien est-ce la traduction de la même fonction ?

Il y a débat. Pour moi, ce n’est pas le même chose. Typiquement, il existe des postes de Information System Security Officer qui se rapproche beaucoup plus de la notion de RSSI. Quand on est CISO, on s’intéresse à la sécurité de l’information au sens large. L’émergence récente de poste de « Directeur de la Cybersécurité » montre l’évolution des missions. Là on s’approche de la notion de CISO car il va avoir comme responsabilité la sécurité de l’information. Et cela au sens ISO 27001, sécurité de l’information versus sécurité du système d’information.

Les enjeux du RSSI sont en phase d’élargissement avec « la sûreté industrielle » : la gestion des identités et des accès, la protection des moyens et des bâtiments, … Quand on gère les badges, la vidéo-surveillance, de fait, le RSSI peut devenir CISO.

Votre poste est donc à plusieurs facettes sécurité ?

Oui tout à fait. Je suis responsable du pôle sécurité et de l’équipe. Ce pôle intègre la SSI mais aussi la sécurité de nos sites industriels, de la gestion des identités et accès et vous pouvez également ajouter le RGPD avec une casquette DPO autrefois. Donc c’est de la sécurité déclinée en numérique et non-numérique.

L’organisation du pôle (cyber)sécurité au sein d’Airbus Oneweb Satellites

Quelle est la place de la sécurité au sein d’Airbus Oneweb Satellites ?

Le pôle sécurité a une équipe dédiée. Pourtant je dirais que dans le meilleur des mondes, il ne devrait pas y avoir d’équipe sécurité avec simplement une application des process. Mais l’humain reste un point de vigilance. Même si, je dois en convenir, nos collaborateurs ont une vraie sensibilité et une culture sur l’application des principes de sécurité.

En 2017, quelles ont été tes premières actions à ta nomination ?

Tout était à faire. Et j’avais une approche très technique : 50% technique / 50% fonctionnelle. Comme nous étions en création, nous avions un gros besoin d’architecture qui faisait le lien avec mes responsabilités précédentes.

J’ai également pu m’appuyer sur une analyse des risques qui a jeté les fondations de la Roadmap Sécurité 2017-2020.

Comment l’idée d’un pôle sécurité s’est imposée ?

Le pôle sécurité a émergé assez vite. La SSI (dans l’IT) devient vite un plafond de verre quand on n’a pas de legacy et que l’architecture est mise en place. Un levier de cette évolution a été le RGPD. La DSI avait impulsé les démarches en mai 2017 pour une mise en place effective à partir de mai 2018. Cela m’a amené à devenir correspondant informatique et liberté puis logiquement DPO. Cela s’est étoffé avec mon rôle d’adjoint du responsable du site de Toulouse en charge de la sûreté industrielle, de trois casquettes :

• RSSI,
• Officier de Sécurité
• et DPO,

Nous avons fait un chapeau de « CISO » en charge du pôle sécurité.

A noter que cette approche est possible au sein d’une petite structure comme AOS SAS (ndlr : environ 150 personnes). Nous ne sommes pas confrontés à des approches en silo comme on peut le voir dans des structures de tailles plus conséquente.

En terme d’organisation, le pôle sécurité est-il rattaché à la DSI ?

Au lancement en 2017, oui (ndlr : l’entreprise a été créée en 2016). A partir de 2019, nous avons créé un pôle Ssécurité dédié pour mieux intégrer la sûreté industrielle et le RGPD. Naturellement, le pôle sécurité s’est rattaché à la Direction Générale. C’est le bon rattachement, notamment pour éviter de potentiel biais de jugement sur le volet IT. Quand un CISO gère la sûreté industrielle, c’est tout sauf un sujet IT. La mission est transverse. Son rattachement logique c’est la Direction Générale.

D’un point de vue opérationnel, c’est une approche matricielle ?

Dans les faits, j’ai effectivement un double reporting, c’est inédit dans ma carrière. Je reportais auprès du DSI, pour les sujets IT et au COO – Chief Operation Officer – qui est le numéro 2 de l’entreprise pour les sujets Sécurité. Et j’ai un lien fonctionnel avec le président de l’entité Française – car in fine c’est lui qui porte les responsabilités pour l’entreprise.

Quid de la sécurité au sein des satellites produit par Airbus Oneweb Satellites ?

C’est un volet, qui pour notre organisation, n’est pas intégré à nos missions. C’est directement pris en charge par l’équipe produit. D’ailleurs, nous voyons apparaître depuis quelques années, une nouvelle variante du métier de CISO, le CPSO (Chief Product Security Officer). C’est un autre métier que l’on peut trouver dans des grosses structures. Ma mission est avant tout tournée vers l’interne. Je suis là pour assurer la sécurité de l’architecture informationnelle nécessaire à la construction du satellite, mais pas sur la sécurité elle-même du satellite.

Vous avez une approche sécurité très matricielle avec de multiple rattachements ?

Oui car notre rôle est avant tout de fédérer. Le RGPD par exemple est avant tout un sujet légal. La sûreté industrielle est très imprégnée de la notion de site. La sécurité des SI doit être structurellement intégrée au métier d’une direction informatique. Donc ce triple rattachement est inhérent à la fonction de sécurité et avec pour mission de fédérer.

Comme je le dis souvent au président, « c’est vous qui êtes pénalement responsable, donc il est normal que vous ayez un avis sur mes actions. Car in fine, c’est vous qui iriez en prison »

Construire la feuille de route sécurité

La feuille de route fournit aux responsables de la sécurité et de la gestion des risques :

• un aperçu des étapes et jalons clés du programme
• les ressources clés pour gagner du temps et garantir une exécution réussie
• des informations sur l’équipe interfonctionnelle chargée de mener à bien le programme

Comment s’est construite votre Feuille de route sécurité 2017-2020 ?

Je me suis appuyée sur l’analyse des risques pour structurer les principales mesures :

• Mesure organisationnelle avec la mise en place de trois responsabilités (sécurité des systèmes d’information, data protection, sûreté industrielle)
• Mesure technique avec la mise en place de solutions techniques en s’appuyant notamment sur les moyens offerts par le fait d’être une filiale d’Airbus
• Être en veille permanente : La difficulté n’est pas de faire… mais de savoir ce qu’on veut faire et ce qu’on doit faire. Notre compétence se périme très vite. En deux mois, nous perdons notre expertise. Mettre en place un état d’esprit de « qui-vive » est primordial.

La Roadmap sécurité initiale de 2017-2020 a-t-elle été prolongée ?

A partir de 2020, pour diverses raisons (acquis sécurité, évolution actionnariat, covid, …) nous sommes plutôt passés sur une logique annuelle.

J’ai une approche pyramidale de la sécurité : les sujets qui sont la base et obligatoire et plus on monte, plus on est sur des sujets d’amélioration continue ou des compléments. La roadmap initiale nous a permis de constituer la base. Je suis plutôt désormais sur une dynamique d’opportunisme apporté par de nouveau outils apportant de nouveau éclairage sur la surveillance, l’explication d’événements, …

Donc nous travaillons plutôt avec des plans formalisés à un an. Par échange et challenge mutuel avec les équipes nous établissons les priorités de l’année qui servent de fil directeur et que l’on amende en cours d’année. L’approche à trois ans est une vision que j’ai moi mais qui ne fait pas explicitement l’objet d’un partage. C’est plus ma feuille de route personnelle qu’un outil de travail avec mes équipes. Les challenges techniques varient trop vite en sécurité pour une projection à 3 ans.

Donc si les bases sont saines, quel est désormais le challenge ?

J’ai la chance d’effectivement travailler dans une structure issue d’une culture reprenant les standards « défense ». Cela nous a donné un framework technique et des équipes personnes intégrant à la base les principes fondamentaux de la sécurité. Je peux me concentrer sur l’optimisation de la sécurité.

Pour moi le nerf de la guerre, c’est la visibilité. Quoiqu’on mette en place, on n’empêchera jamais de se faire attaquer. Ce qui compte, c’est de savoir, de disposer d’outils nous alertant si on s’est fait attaquer (ndlr : le terme employé par Yohann est « taper »).

Par exemple, il y a 5 ans, ce n’était pas évident pour tout le monde de mettre en place un EDR (ndlr : End-point Detection Response – sorte d’antivirus 2.0). Désormais dans notre secteur, c’est une brique obligatoire au regard de la menace. Et chaque année, nous découvrons de nouvelles briques. C’est aussi une exigence de notre secteur, le spatial, soumis à de nombreuse réglementation qu’il faut suivre en permanence.

Est-ce qu’une Roadmap à trois ans fait encore sens dans la sécurité au regard des aléas et de la rapidité des changements ?

C’est une très bonne question. Nous avons travaillé avec une roadmap à 3 ans, maintenant à 1 an.  Cela nous offre de la souplesse et de l’agilité. Mais c’est possible car nous sommes une petite structure très réactive. Le bon compromis est peut-être à 2 ans. En tout cas à 5 ans, sur le sujet sécurité, cela ne me paraît pas aligné avec la réalité de l’évolution des menaces.

A propos de changement contraint, quid de la généralisation du télétravail avec le Covid ?

Le travail nomade est en place depuis le début d’AOS, c’est un héritage de notre culture initiale. Donc l’épisode COVID n’a pas changé grand-chose. Si ce n’est l’achat d’écran et de clavier pour faciliter le remote. Une démonstration des bases saines, et cela joue sur la quiétude du RSSI.

Comment maintenir dans le temps de telles bases, notamment sur le volet humain que l’on décrit souvent comme le maillon faible de la sécurité ?

Nous avons des sensibilisations sécurité annuelles obligatoires pour chaque employé (avec signature engageant sa responsabilité). En complément, au-delà de ce qui pourrait passer pour du marketing, j’ai une approche très humaine de la sécurité. Concrètement, mes exigences de sécurité amènent une contrainte dans le travail quotidien. En contrepartie, je me rends disponible. Par exemple, je traite tous mes mails en 24 heures. Cela peut aller jusqu’à l’envoi par des collègues de « phishing » personnel. Et je leur apporte toujours une réponse.

La sensibilisation, la disponibilité de l’équipe sécurité sont les clés du renforcement du maillon humain de la sécurité ?

J’ai fait un post sur le sujet de la sensibilisation sur Linkedin. Mais la sophistication des attaques fait qu’elles ne peuvent pas uniquement être contrées par de la vigilance. C’est à nous de mettre en place les outils pour les aider. Par exemple un nouveau type d’attaque est redoutable : le « browser in browser ».  C’est une attaque qui s’appuie sur du phishing et qui simule un faux browser dans un autre… Même si on fait des campagnes de sensibilisation, tout le monde peut se faire attraper. Ce type d’attaque est quasi indécelable sans l’apport d’outils technique. La sensibilisation, c’est 20% de la réponse grand maximum.

Revenons sur la Roadmap « personnelle », des objectifs particuliers ?

J’ai deux objectifs, le premier est d’apporter de la transversalité dans l’approche de la sécurité entre nos sites états-uniens et français.

Le second c’est de finaliser une série de POC (ndlr : proof of concept) sur différents nouveaux outils prometteurs.

Un conseil pour la mise en place d’une roadmap sécurité pour ceux qui sont en cours de structuration de leur démarche ?

Le point de départ, c’est de parfaitement se connaître. Difficile de structurer son action si on ne sait pas où en est, quels sont les « trous ». Il importe donc soit d’auto-évaluer son niveau de maturité soit faire un audit. J’ai par exemple mis au point un fichier Excel d’auto-analyse s’appuyant sur les préconisations de l’ANSSI. Cela permet par exemple de d’auto-évaluer sur la bonne application des « règles d’hygiènes de sécurité ».

Piloter la gourvernance projets sécurité

Comment s’invite le sujet sécurité dans votre gouvernance projets ?

Nous restons dans un état d’esprit start-up avec la nécessite de construire vite. Nous avons une approche tripartie :

• Le business – à qui nous demandons de raisonner en besoin (même si une fois sur deux ils arrivent déjà avec des solutions techniques plutôt qu’une formulation de besoin)
• L’IT propose une solution technique en regard du besoin
• La sécurité va valider la proposition technique. Cela est facilité par notre proximité originelle avec l’IT. Donc il est rare d’avoir des solutions ne répondant pas à nos exigences.

Comment se passe le dialogue avec les équipes IT ?

Nous venions presque tous du « même monde ». Donc nous avons des schémas de pensée et de raisonnement de mise en œuvre communs. Nous sommes dans une démarche très vertueuse. Je n’ai pas souvenir d’avoir un jour dit non à une de leur proposition.

Comment se passe le dialogue avec le métier, le business ?

Ma seule difficulté, et elle est extrêmement limitée et rare, c’est le shadow it. Le business a les compétences pour avancer sans nous. Donc ils pourraient tout à fait mettre à profit les ouvertures du SI pour mettre en place des solutions sans passer par nous. Mais c’est extrêmement rare.

Le métier de RSSI est tout sauf un métier technique. C’est plus d’aider le business à exprimer un besoin. Un exemple type : le business me demande la mise en place d’un serveur FTP. Ce qui est une solution. Alors que le véritable besoin, c’est d’envoyer des fichiers volumineux en toute sécurité entre un site A et un site B.

Nous sommes une fonction support. Je n’ai pas de légitimité à dire non à un besoin. Je peux simplement demander des ajustements à la solution ou suggérer des solutions pour le besoin.

Est-ce que vous êtes des invités permanents des comités de pilotage des projets ?

Nous sommes en mode start-up. Des gros projets structurants, dépassant les dizaines de jours hommes, sont très rares avec le business. Pour les projets plus internes, nous sommes en « mode agile plus plus ». Étant sur le même plateau tout se fait en direct avec flexibilité.

Nous faisons essentiellement du « run » plus que du « build ».

Comment séquencez-vous votre pilotage, comitologie ?

Nous avons un suivi d’équipe tous les quinze jours avec un suivi opérationnel sur les projets intégrant une priorisation des actions. A noter qu’au moins 50% des projets sécurité sont des projets « IT ».

Cela fait l’objet d’un compte rendu avec production de KPI pour les donneurs d’ordre du pôle sécurité (Président AOS SAS & COO).

Nous avons en complément un suivi bimensuel avec le COO et un suivi mensuel avec le Président de l’entité Française. Cela s’élargit également à la branche états-unienne. Ces instances sont dédiées à la sécurité.

L’avenir de la (cyber)sécurité

Une prédiction quant à l’avenir des problématiques de sécurité ?

Déjà, je pense qu’il y a un décalage entre l’effet marketing et la réalité. Il est manifeste que les attaques augmentent. Mais je tente une explication sur cette augmentation : cela s’explique par le fait que beaucoup de structures sont récemment partis de zéro. Donc en partant de zéro, c’est plus facile de se « faire taper ». A l’inverse quand tu as une culture de sécurité forte et que les collaborateurs n’appliquent pas une culture perso « open-bar » sur leur poste professionnel alors les risques sont très limités. Il faut une politique de sécurité stricte quitte à malmener une certaine liberté. J’ai fait un post sur le sujet de l’atteinte aux libertés par les démarches sécurités. Nous sommes toujours sur cette ligne de crête entre sécurité et liberté.

Vous êtes très actif sur un réseau comme LinkedIn, la prochaine étape pour la sécurité, la communication ?

Quand j’ai débuté dans ma fonction, je me suis senti seul dans ce métier. Et donc j’ai à cœur de transmettre ce que j’ai pu apprendre. Un des enseignements, c’est la force du partage, du réseau et des échanges. Cela enrichit le travail de veille. Je fais des posts réguliers qui suscitent de nombreuses réactions notamment de jeunes RSSI. Cela me permet de théoriser mes idées, de challenger mes avis et comprendre les réactions. Nous nous enrichissons tous.

La sécurité est une activité de l’ombre au sein de l’organisation. Nous sommes des soldats de l’ombre et c’est bon signe car si on est sur le devant de la scène, c’est que l’on a subi une attaque. Mais cela ne signifie pas pour autant que nous devons rester muet. Si par exemple la mise à disposition du guide d’auto-diagnostic, qui est une traduction simple des principes d’hygiènes de l’ANSSI, permet à des PME ou ETI de faire avancer sa roadmap sécurité, nous y gagnons tous.

Glossaire de l’interview

• CISO : Chief Information Security Officer
• COO : Chief Operation Officer
• RSSI : Responsable Sécurité du Système d’Information.
• ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information
• AOS : Airbus Onweb Satellites
• EDR : End-point Detection Response
• SSI : Sécurité du Système d’Information