Jean-Dominique Nollet, TotalEnergies : « La cyber sans l’offensif, c’est du pipeau »
Le géant de l’énergie français est, par nature, la cible de tous les cyberattaquants, qu’il s’agisse de groupes crapuleux, d’hacktivistes ou d'acteurs étatiques. D'où le choix de l'offensif pour tester ses défenses.
Si 6 % du budget informatique de TotalEnergies vont à la cybersécurité, Jean-Dominique Nollet, Ciso groupe de TotalEnergies, veille à ce qu’une partie aille à la cyber offensive et notamment au Red Teaming.
La conviction de cet ancien colonel de gendarmerie est claire : « dès que je suis entré chez TotalEnergies, j’ai souhaité mettre la cyber offensive au cœur de l'entreprise. La cyber sans l’offensif, c’est du pipeau. La réalité est que l’efficacité de tous les systèmes de défense que vous pouvez déployer dans une entreprise ne repose que sur le fait que vous allez la tester ».
Cette conviction s’est forgée lorsqu’il était en poste à la gendarmerie et à la tête du laboratoire de Forensic d’Europol.
Une stratégie Red Teaming sur le long terme
Le Ciso peut s’appuyer sur une équipe de Red Team interne - une équipe chargée de conduire de tester les défenses en conduisant des intrusions suivant un cadre clairement prédéfini -, mais aussi sur les équipes de son prestataire Synacktiv auquel il est fidèle depuis plusieurs années.
« Dans notre système de défense, il est absolument essentiel d'avoir des équipes de Red Team en permanence, et des bons », explique-t-il : « je suis sûr que quand ils sont passés, derrière, un attaquant même étatique sera dans la même logique. Il faut se préparer à être attaqués, parce que les adversaires de toutes les grandes sociétés sont aussi les services de renseignement ».
Pour le responsable, une stratégie de Red Teaming doit se concevoir, non pas comme des opérations ponctuelles limitées dans le temps, mais sur le long terme, avec des campagnes qui s’étendent sur 6 à 12 mois : « un service de renseignement qui veut attaquer une multinationale ne va pas rentrer instantanément. Il faut se donner du temps, mais aussi avoir ce courage intellectuel de laisser les gamins jouer pendant des semaines et des semaines et ne pas leur mettre de limites ».
Si certains périmètres restent interdits aux pentesters, ou du moins très contrôlés, comme c’est le cas de l’OT, l’informatique industrielle où il y a des risques évidents en termes de sûreté et de sécurité des personnes, le Ciso pousse pour donner la plus grande liberté d’action possible aux hackers éthiques : « beaucoup donnent des limites aux pentesters en disant, non, vous n'avez pas le droit de faire le phishing sur les employés, non, vous ne pouvez pas faire d’ingénierie sociale, etc. En France, les entreprises ont une posture managériale beaucoup plus prudente alors que dans beaucoup d'autres pays, la cyber offensive est beaucoup plus sale… Or si vous n'attaquez pas, vous ne comprenez pas comment on va vous attaquer ».
La cyber offensive imposée aux fournisseurs de TotalEnergies par contrat
Autre parti pris fort du Ciso de TotalEnergies, demander à son partenaire Synacktiv d’attaquer ses fournisseurs afin de contrer les risques liés à la chaîne logistique : « aujourd’hui, nous mettons des clauses de Red Team dans nos contrats. Beaucoup de fournisseurs ont commencé par refuser et ne voulaient pas que nous les testions, mais c’est maintenant dans nos contrats. Je pense qu’il faut faire tomber ce tabou et les mentalités commencent à changer ».
Déclencher une opération de Red Team chez un sous-traitant est décidé en fonction du niveau de risque présenté par celui-ci en fonction de la criticité des services qu’il délivre à TotalEnergies. Pour Jean-Dominique Nollet, il n’y a pas véritablement de bons et de mauvais sous-traitants : « les vulnérabilités sont partout et il n'y a pas nécessairement les mauvais d’un côté et les top guns de l’autre. Nos partenaires sont plus ou moins matures sur tel ou tel domaine ».
Renaud Feil, président et cofondateur de Synacktiv ajoute : « je pense que ce type d’approche est l'avenir et sur ce plan, TotalEnergies a réussi à embarquer les fournisseurs dans une démarche sécurité qui est quand même assez contraignante. TotalEnergies paye un prestataire pour aller hacker ses partenaires ! Vous leur avez un peu tordu le bras et c’est aujourd’hui une démarche qui est maintenant acceptée ».
Le cofondateur de Synacktiv reconnaît qu’en règle générale, chez ses grands clients, le périmètre d’attaque s’arrête à leur propre informatique, un paradoxe quand on sait que les grandes entreprises pratiquent énormément l'externalisation.
Les limites de l’approche centrée sur la conformité
Si, pour Jean-Dominique Nollet, le recours au Read Teaming n’apporte pas une garantie d’invincibilité, une telle garantie étant illusoire en cybersécurité, il s’oppose frontalement à une approche uniquement basée sur la conformité : « c’est rassurant d’avoir des Excel et des cases à cocher, mais la vraie vie, ce n'est pas ça. Un système d'information présente des vulnérabilités. Une vulnérabilité n'est pas forcément du fait de la société elle-même, mais de votre fournisseur informatique, par exemple. [...] C'est très bien et je fais énormément de conformité, mais cela ne suffit pas ».
Le jeu est de détecter et surtout prioriser les vulnérabilités en fonction de leur criticité, mais aussi de leur exploitabilité réelle. Le Ciso rappelle que les vulnérabilités sont majoritairement humaines et que, au-delà de la sensibilisation, le meilleur moyen de les contrer est de les rendre impossibles à exploiter techniquement. Ainsi, pour éviter les problèmes liés aux mots de passe, le groupe est passé au passwordless pour les utilisateurs humains et ce sera le cas pour le machine-to-machine et les comptes de service dans les prochaines années.
Jean-Dominique Nollet insiste sur le fait qu’une stratégie Red Team doit s’inscrire dans la durée : « faire appel à une société de Red Team ponctuellement permet d’avoir une vue sur sa sécurité, mais si vous voulez vraiment commencer à hausser votre niveau de sécurité, vérifier vos défenses, et être en anticipation de votre risque »... la démarche doit s’inscrire dans la durée pour permettre d'adapter les scénarios d’attaque : « la théorie est très bien, elle est importante, les audits sont importants parce qu'il faut respecter la conformité, parce qu'il faut une base. Mais quand on a des milliers de serveurs et de machines, l'essentiel pour moi, réside dans la résilience et l'anticipation de la menace ».
Le responsable estime que l’approche a été particulièrement utile lorsque TotalEnergies a commencé à faire du DevOps et à mis en œuvre des chaînes de CI/CD : « quand nous avons commencé, il n'y avait pas de livre pour sécuriser cette approche. Nous l’avons fait en mode Purple, dans un mode collaboratif. C'est un mode de travail très intéressant car avec la Red Team nous avons pu affiner nos règles et nos défenses ».
Ce recours généralisé au Red Teaming impose quelques règles, notamment pour que le SOC ne laisse pas passer d’attaques réelles alors que les équipes de Synacktiv sont à l’action : « en cas de doute, nous menons un dialogue de déconfliction avec le SOC et Synacktiv. C’est rare, mais cela peut arriver », conclut le Jean-Dominique Nollet.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
![]()
IA générative : TotalEnergies et Mistral AI précisent leur partenariat
Par: Gaétan Raoul
-
![]()
Red teaming : Giskard se dote d’agents… pour tester la sécurité des agents IA
Par: Gaétan Raoul
-
![]()
Sécurité de l’IA : F5 s’offre la jeune pousse CalipsoAI
Par: Valéry Rieß-Marchive
-
![]()
IA quantique : TotalEnergies et MBDA renouvellent leur partenariat avec Quandela
Par: Philippe Ducellier
