Cybersécurité : ces RSSI qui collaborent avec le renseignement français
En raison des données sensibles qu'ils manipulent, certains responsables de la sécurité des systèmes d'information (RSSI) entretiennent d'étroits liens avec les services de renseignement français, et en particulier la Direction générale de la sécurité intérieure (DGSI). Et pour cause, la DGSI est responsable des menaces visant le territoire national, du contre-espionnage, des ingérences étrangères et de la cyberdéfense intérieure. "En général, les RSSI concernés sont plutôt ceux de multinationales ou de petites entreprises mais sensibles", précise un RSSI d'une société de conseil souhaitant rester anonyme, et qui a longtemps cultivé des relations avec la DGSI dans le cadre d'anciennes fonctions.
D'un contact opportun à une forte coopération
Une telle relation s'institue souvent à l'occasion d'un événement pouvant menacer le système d'information dont le RSSI a la charge. "Parfois, la DGSI ou l'Anssi approche le RSSI pour le prévenir d'une menace imminente et l'éveiller à ce sujet. Cela permet au RSSI d'adopter les mesures préventives nécessaires pour contrer la menace", affirme Olivier Daloy, RSSI chez Zscaler, qui a lui aussi collaboré avec les services de renseignement.
Toutefois, le premier contact peut aussi s'effectuer à l'initiative du RSSI, comme en témoigne l'expérience du RSSI anonyme : "Je suis entré en contact avec les services de renseignement quand je travaillais pour une société qui hébergeait des sites web à fort trafic. Nous hébergions le site web d'une compagnie aérienne africaine. Le site a été la cible d'attaques par déni de service. Le motif de cette attaque était clairement géopolitique et servait à décrédibiliser le chef d'Etat du pays d'origine de la compagnie qui était en train de signer des accords liés au secteur aérien. J'ai contacté l'Anssi pour la prévenir de cette attaque et lui partager l'information. L'Anssi m'a alors conseillé d'appeler la DGSI, ce que j'ai fait. Un agent de la DGSI est donc venu me rendre visite dans les locaux de l'entreprise. C'est à cette occasion que j'ai débuté ma collaboration avec la DGSI".
Dans certaines grandes entreprises de secteurs critiques et sensibles, cette collaboration est parfois évidente, voire institutionnalisée, quel que soit le RSSI en poste, explique Olivier Daloy. "Quand j'étais RSSI dans une grande entreprise de la base industrielle et technologique de défense, j'avais des contacts réguliers avec la DGSI. Par ailleurs, l'Anssi était un régulateur de cette entreprise. L'agence entretenait donc une relation naturelle avec la direction générale, mon chef et moi-même. Aussi, un grand nombre de collaborateurs étaient issus des services de renseignement et de l'armée. Ils disposaient donc de toutes les relations nécessaires pour bénéficier d'échanges en off avec les services de renseignement".
Un échange gagnant-gagnant
En retour des informations communiquées par le RSSI, la DGSI lui transmet des renseignements précieux, utiles à l’exercice de ses fonctions, précise Olivier Daloy. "Quand j'étais RSSI dans une grande entreprise du secteur de l'automobile, ma relation avec le renseignement était réciproque. Je communiquais à la DGSI des informations sur des menaces auxquelles on était confrontés et, de son côté, la DGSI m'alertait sur les nouveaux modes opératoires des attaquants, sur de nouveaux groupes d'attaquants qui visaient le secteur de l'automobile en Europe et en France".
Ces informations fournies par la DGSI impactaient réellement les décisions du RSSI de Zscaler : "La DGSI ne donnait pas nécessairement des informations très précises et taisait les sources mais ce n'est pas grave. Pour moi, l'essentiel était que l'information soit juste et m'aide à prendre de bonnes décisions. Aussi, je la recoupais avec les menaces que j'observais dans l'exercice de mes fonctions pour savoir si j'étais toujours en phase avec la réalité des menaces".
Pour profiter pleinement de la valeur opérationnelle de ces informations, les RSSI peuvent aussi demander des précisions à des organisations privées spécialisées en threat intelligence, qui elles-mêmes entretiennent souvent des relations avec les services de renseignement. C'est le cas de Recorded Future, co-financée par In-Q-Tel, le fonds d'investissement géré par la Central intelligence agency (CIA) américaine. "Aux Etats-Unis, toutes les entités de renseignement sont clientes de Recorded Future. En Europe, beaucoup d'agences gouvernementales le sont également. Cela permet d'avoir accès à de la donnée. Aussi, nos clients RSSI peuvent nous contacter quand ils le veulent pour avoir des renseignements supplémentaires", conclut Luis Delabarre, expert en threat intelligence dans l'entreprise américaine.