Gaetan Gesret (Armis) "Pour les collectivités, la priorité en cybersécurité est de connaître l'étendue du parc d'appareils connectés"
Face à la multiplication des cyberattaques qui touchent les collectivités, le spécialiste de la sécurité OT/IoT chez l'éditeur de cybersécurité Armis, Gaetan Gesret, livre ses conseils.
JDN. Agen et l'aéroport de Montpellier en juillet, Bouchemaine, l'Université d'Aix-Marseille ou le CHU de Rennes en juin… Les cyberattaques contre les collectivités sont récurrentes. Pourquoi toutes ces attaques ?
Gaetan Gesret. La principale difficulté pour les collectivités est de regrouper en leur sein une multitude d'acteurs et d'objets connectés liés à leur infrastructure : écoles, hôpitaux, ehpad, mais aussi smart grids, tramways ou lampadaires connectés, etc. Cette disparité multiplie la surface d'attaque. C'est cette complexité qui a poussé par exemple la ville de Las Vegas à travailler avec nous. Il s'agit d'une smart city mastodonte, qui a 75 véhicules autonomes, des centaines de feux de signalisation connectés, de l'éclairage intelligent, un réseau hôtelier, des flux de voyageurs extrêmes, etc. Face aux problèmes de cybersécurité rencontrés (Las Vegas a notamment été victime d'une cyberattaque en janvier 2020, au moment du CES, ndlr), la ville a voulu reprendre ses process depuis le départ et a fait appel à nous, l'année dernière, pour cartographier son réseau et recenser les objets y étant connectés.
Le second écueil est lié aux questions budgétaires. Les collectivités n'ont pas de budget alloué à leur cybersécurité. Elles se préoccupent de leur transformation digitale, mais il faut que la sécurité soit comprise dedans. Cela a fait défaut jusqu'à présent et cela prend du temps de structurer la sécurité dans les marchés publics. Pourtant, les cyberattaques ont des répercussions directes. Par exemple, la ville d'Annecy a été attaquée deux fois successivement, le deuxième ransomware a ouvert les portes de tous les parkings payants, ce qui a causé une perte de 24 000 euros par jour, et donc de plus de 80 000 euros au total.
Quels conseils donneriez-vous aux collectivités ?
La priorité en cybersécurité est de connaître l'étendue du parc d'appareils connectés à son réseau. Il faut donc prendre le temps de les inventorier et de bien comprendre ce que l'on a. L'un de nos clients notamment a découvert des Google Home et des montres connectées inconnus à son réseau. La difficulté avec l'IoT, c'est que les collectivités en ont de toute part, et le parc évolue constamment donc cette visibilité des assets représente un réel challenge. La deuxième chose à faire est de mettre en place une politique de gouvernance avec un RSSI.
Et pour les petites collectivités qui n'ont pas de RSSI ?
Ce point est en effet sensible pour les petites collectivités, où un ingénieur IT a souvent plusieurs casquettes sans avoir le temps ni les ressources de tout traiter. Mais le rôle de DPO ne s'apprend pas en trois jours, encore moins celui de RSSI. Mon conseil est donc de prendre la cybersécurité très au sérieux, d'inventorier ce qui est connecté au réseau et de se faire accompagner par un spécialiste de la cybersécurité : éditeur, intégrateur ou cabinet de conseil.
Quels sont les principaux enjeux à venir pour les collectivités ?
Les collectivités s'intéressent aux nouveaux réseaux IoT comme le LoRaWAN privé, le NB-IoT ou la 5G. Pour leurs usages, c'est une très bonne chose mais dès que l'on passe d'un réseau fermé alimenté par l'électricité à de la connectivité, cela engendre des risques de sécurité. Il faut l'avoir en tête pour prendre des mesures dès le départ. Car la question n'est pas de savoir si une collectivité va être attaquée, elle le sera certainement à un moment donné, mais si elle a tout mis en œuvre pour en limiter les conséquences. Les enjeux vont par ailleurs se multiplier avec les Jeux olympiques et la construction du Grand Paris.
De nouveaux usages se développent, comme la vidéosurveillance par algorithmes (VSA) à Nice. Est-ce que ces usages modifient les précautions de sécurité ?
La vidéosurveillance attise les débats, il faut donc mettre des gardes fous et assurer le respect de la vie privée. Mais que ce soit pour la vidéosurveillance ou tout autre usage smart city, tel que l'éclairage intelligent ou les smart grids, les procédures de sécurité à suivre doivent être identiques. A savoir segmenter en premier lieu son réseau, c'est-à-dire ne pas le partager avec d'autres applications ou services, comme la mairie ou même la sûreté. C'est un réseau qui va soutenir des fonctions ayant un impact réel sur les citoyens, il ne faut donc pas l'exposer. Il faut également veiller à choisir des solutions sécurisées by design.
Avec l'explosion de l'IoT, de nombreux fournisseurs se mettent à proposer des solutions sur le marché mais ils n'ont pas tous les compétences pour garantir la sécurité by design, il faut y être vigilant. Heureusement, le Cyber Resilient Act (CRA) arrive et il va certainement changer la donne. Les collectivités doivent justement vérifier si elles sont bien en conformité avec la réglementation. La compliance et la RSE vont être nos axes de développement à venir.
Gaetan Gesret cumule plus de 10 ans d'expérience dans le secteur informatique et une expertise dans la gestion des cybermenaces, la coordination de la réponse aux incidents, l'architecture et la conception de la sécurité et la gestion de projet. Avant de rejoindre Armis, il a occupé les postes de sales engineering team lead chez Proofpoint et de senior information security consultant chez Advens. Il est également titulaire d'une maîtrise en technologie de l'information de Mines Telecom.