La Poste et la sécurité : science sans conscience n'est que ruine (budgétaire)

En 2006, La Poste est victime d'un incident informatique majeur. Un « gros problème de virus » selon Philippe Steuer, responsable de l'observatoire de la sécurité du groupe, installé au sein de l'entité Services Partagés, «l'opérateur télécoms interne», basée à Nantes. Un incident à 3 M€ selon lui. De quoi enclencher une sérieuse prise de conscience. Dautant plus sérieuse qu'avec 130 000 postes de travail, environ 16 000 serveurs et 10 millions de courriers électroniques traités chaque jour, « nous avons une très forte dépendance au système d'information », explique Patrick Langrand, RSSI du groupe La Poste. Une dépendance exacerbée par un haut niveau d'industrialisation des processus métiers et par une exigence majeure de traçabilité. Accessoirement, comme le relève Patrick Langrand, « tout ce qui passe à La Poste se retrouve immédiatement dans la presse ». Il y a donc, aussi, un enjeu de protection de l'image du groupe.

Internet, « la pire chose qui nous soit arrivé depuis 10 ans »

Et, pour lui, Internet - « la pire des choses qui nous soit arrivée depuis 10 ans » - a des airs de boîte de Pandore : « en l'ouvrant, on s'est créé du business mais on s'est créé aussi beaucoup de soucis ». D'où une devise: « mieux prévoir pour risquer moins ». Et donc, dans la mesure du possible, « travailler dans l'anticipation ». Doù une organisation de la gestion de la sécurité informatique diffusant dans largement dans les ramifications du groupe : « dans chaque métier, on trouve un RSSI ; plus un autre au niveau des fonctions corporate ». Avec, en clé de voute de l'architecture, un RSSI groupe et, lui rapportant directement, un observatoire interne de la sécurité.

Une organisation qui vise, notamment, à assurer la diffusion, au sein de l'ensemble du groupe La Poste, de la culture de la sécurité informatique, un élément clé selon Patrick Langrand : « le gros danger de la sécurité, c'est de faire de la sur-sécurité et de la sécurité qui ne sert à rien. J'ai des confrères qui ont joué la peur pour obtenir un certain nombre de moyens. On est à l'heure à laquelle il faut se concentrer sur l'essentiel et identifier les risques majeurs. C'est la logique qui doit guider toutes les réflexions et la gouvernance. Et cela donne déjà de quoi s'occuper pour un bon petit moment. » Bref, pas de surenchère technologique, mais une organisation taillée suivant les objectifs et, surtout, des opérations de sensibilisation pour que « chacun se comporte en professionnel et de manière responsable. »

L'observatoire de la sécurité, un futur "Cert  interne

Philippe Steuer présente l'observatoire qu'il dirige - une équipe de 12 personnes - comme un centre de supervision de la sécurité aux missions multiples : filtrer les accès au Web, protéger les DNS du groupe et superviser ses sites Web, « plus de 80 sites Web dont une quinzaine de sites marchands » , depuis la disponibilité jusqu'à l'intégrité. Des missions étendues auxquelles s'ajoute un travail de veille « très large », depuis les noms de domaine, pour lutter contre le cybersquatting, jusqu'aux évolutions des menaces et des technologies « comme une veille sur les solutions de déploiement de l'iPhone ». Cet observatoire se constitue donc pour devenir, à terme, « un Cert pour le groupe ». Notamment pour répondre à une « vraie problématique :  l'obsolescence des technologies et, typiquement, celle de l'informatique en production et qui fonctionne parfaitement… nous avons 1 400 systèmes NT4 en production dans le groupe ». ?
Au final, en 2009, cette organisation a permis de remonter « quelques milliers d'alertes de sécurité, des alertes portant sur des sujets ayant un véritable impact potentiel sur l'activité du groupe ». Et Philippe Steuer de citer un exemple : Conficker. « On l'a suivi de près et mis en place un filtrage d'URL pour empêcher que Conficker ne se mette à jour ». Pour trouver ces URL, « nous avons des gens compétents pour démonter un code et l'étudier de près. Ce qui n'est pas si courant… »

Des métriques étroitement liées aux enjeux métiers

Mais comment, justement, définir les seuils d'alerte ? « Nous suivons précisément les technologies considérées comme stratégiques pour le groupe : Microsoft, Oracle, Cisco, Juniper, SAP, etc. Typiquement, à chaque bulletin de sécurité émis par un éditeur, nous étudions l'exposition de l'entreprise à la faille correspondante. » Un point déterminant : « si l'impact ne concerne qu'un métier, c'est à lui de le gérer. Mais si plusieurs métiers du groupe risquent d'être impactés, nous entrons en jeu, en assistance, pour coordonner les actions. »

Accessoirement, l'observatoire de sécurité du groupe La Poste assure aussi une mission de « conservation de la preuve », en cas d'attaque informatique, et d'unification du reporting entre les différentes entités du groupe. Un point essentiel selon Philippe Steuer : « sur 216 passerelles, nous remontons 70 alertes par jour qui, à leur tour, justifient le déclenchement de 2 incidents qualifiés par jour. » En tout, en 2009, le groupe aurait été confronté à 5 crises pour la sécurité de son système d'information : des attaques liées notamment à Hadopi, dont le site de promotion était hébergé par une filiale du groupe, et Conficker. « On ne parle pas des autres », précise Philippe Steuer.

« On ne parle pas de sécurité technique »

Toute cette organisation, La Poste a réussi à la mettre en place parce que, selon Patrick Langrand, RSSI du groupe, « nous n'avons pas parlé de sécurité technique ou numérique, mais de service au client, de confiance. C'est là que l'on a pu aborder la sécurité au sens large, dans le cadre d'une stratégie globale impliquant également le SI. » Cette recette miracle dont parlait déjà Patrick Pailloux, directeur de l'Anssi (Agence nationale pour la sécurité des systèmes d’information), lors de l'édition 2009 des Assises de la Sécurité.

En complément :

- Le FIC 2010 s’ouvre sur fond de mobilisation internationale contre la cybercriminalité

- Assises de la sécurité : la coopération public-privé en clé de voûte de la cyberdéfense

- Sécurité : les sociétés critiques pour l'économie française recrutées comme supplétifs de la cyber-défense nationale