A Rennes, Orange est à l’affût des cybermenaces

De leur QG de Rennes dédié à la cybersécurité, les experts de l’opérateur historique tentent de détecter les attaques informatiques pour éviter que les clients n'en fassent les frais.
Pierre Manière
Au sein du CyberSOC (Security Operation Center), 80 experts se relaient 24 heures sur 24 et 7 jours sur 7 pour contrer les hackers.

Au milieu du ronronnement des machines et d'une tripotée d'écrans de contrôles, quelques experts pianotent silencieusement sur leurs ordinateurs. L'ambiance est calme et studieuse, ce jeudi à Rennes, au centre de supervision de la cybersécurité d'Orange, ou CyberSOC (pour Security Operation Center). Ici, 24 heures sur 24 et 7 jours sur 7, 80 experts se relaient pour "assurer la gestion des vulnérabilités et organiser les mesures de remédiations" dit-on dans leur jargon. En clair, ces opérateurs et analystes font leur possible pour anticiper, identifier et endiguer les attaques informatiques à l'encontre des clients d'Orange Cyberdefense, la branche d'Orange Business Services dédiée à la cybersécurité. Discret sur les sociétés sous sa protection, Michel Van Den Berghe, le patron Orange Cyberdefense, affirme qu'il s'agit pour l'essentiel de grands groupes (notamment dans la banque et l'automobile), ou d'administrations. D'après lui, ceux-ci essuieraient entre 300 et 400 attaques par jour.

A la tête des opérations de cybersurveillance, Rodrigue Le Bayon définit les équipes du CyberSOC comme des "médecins urgentistes", chargés de vite dénicher des "remèdes" aux menaces informatiques. Outre jouer les pompiers lorsqu'un client voit ses systèmes tomber, la priorité du centre est, d'après lui, de tout miser sur la détection en amont des attaques. "C'est un enjeu crucial, explique-t-il. Pendant des années, on a fait de la sécurité périmétrique : on empilait des couches de sécurité, des remparts à la Vauban, tout autour de l'entreprise. L'objectif était de filtrer au maximum les entrées et les sorties [dans les systèmes informatiques, Ndlr]. Mais aujourd'hui, il y a tellement de flux numériques qu'on ne peut plus travailler comme ça. C'est pourquoi on a créé le CyberSOC, dont le rôle est proche de celui d'une tour de contrôle, qui regarde tout ce qui se passe aux alentours."

Tout protéger ? "Une illusion"

Dans ce vaste écosystème, Franck Olliver, le responsable du CyberSOC l'affirme sans ambages : "Il est illusoire de tout vouloir protéger." C'est pourquoi chez Orange, "on se focalise sur les biens essentiels et critiques de l'entreprise". Or bien définir ces actifs est, à l'en croire, plus compliqué qu'il n'y paraît. Michel Van Den Berghe prend l'exemple d'un équipementier automobile. "Ils nous ont dit : 'on doit protéger nos brevets parce que si on nous les pique, on est mal...', raconte-t-il. Mais deux jours plus tard, ils se sont ravisés, jugeant que ce n'était pas la priorité. En effet, ces brevets sont testés chez les constructeurs automobiles, et sont donc de facto rapidement connus [par tous les professionnels du secteur]. En revanche, ils se sont rendus compte qu'il était essentiel de protéger les serveurs de prises de commandes." Lesquels, s'ils tombent, débouchent d'emblée sur d'importantes pertes financières.

Une fois ces "actifs critiques" définis, les équipes d'Orange mettent en place une plateforme de collecte d'information propre au client. "On pose des sondes sur les serveurs, les PC ou autres éléments utiles pour l'analyse et la détection des incidents", précise Franck Ollivier. Ce faisant, ses équipes sont en mesure de détecter certains comportements inhabituels - des "événements" -, qui se mueront peut-être en "alertes" en cas d'agression caractérisée. Si plusieurs PC reçoivent des mails aux pièces jointes douteuses, et qu'un peu plus tard, un gros téléchargement a lieu depuis l'extérieur, les équipes du CyberSOC seront, par exemple, immédiatement alertées.

Détecter les dangers en amont

Mais pour éviter au maximum ce genre de situation, ces experts font leur possible pour déceler les dangers très, très en amont. "Pour le grand public, TV5 Monde a été piraté dans la nuit du 8 au 9 avril 2015, constate Rodrigue Le Bayon. Mais en réalité, l'attaque avait démarré en janvier lorsque trois journalistes ont été visés par une campagne de phishing [qui consiste à faire croire à une victime qu'elle s'adresse à un tiers de confiance, via un mail, par exemple, pour lui dérober des renseignements personnels, Ndlr]." A ses yeux, tout l'enjeu est donc de détecter ce type d'événement pour y répondre dans la foulée, et ne pas laisser aux pirates le temps d'infester tous les systèmes.

A ce petit jeu, Orange dispose aussi d'un atout propre à son activité d'opérateur télécoms : le réseau. "Là où beaucoup campent à l'entrée de l'entreprise pour la protéger, nous, on est capable de déceler sur le réseau les prémices d'une attaque", insiste Michel Van Den Berghe, qui mise à fond sur cet argument pour séduire les grands groupes. Il prend l'exemple d'une attaque "par déni de service" (ou DDoS, pour Distributed Denial of Service). Ici, plusieurs pirates prennent le contrôle de milliers d'ordinateurs (appelés "zombies") et leur donnent l'ordre, au même moment, de se connecter sur un site. Incapable de faire face à un tel flux, celui-ci plante et n'est alors plus accessible. D'après le patron d'Orange Cyberdefense, ses équipes sont souvent capables "de voir très tôt les zombies se réveiller sur le réseau", de "connaître leur cible", et donc "de mettre à jour le système de défense" du client.

"20.000 vulnérabilités par an"

Outre les informations de l'entreprise et du réseau, le CyberSOC bénéficient aussi de ressources dédiées au cyber-renseignement. Responsable du CERT (Computer Emergency Response Team), le bras armé d'Orange en la matière, Patrick Ragaru s'explique : "On analyse plus de 20.000 vulnérabilités chaque année. L'objectif est de détecter les signaux faibles concernant les menaces à venir, pour adapter les techniques de défense et orienter les investissements dans la sécurité." Mieux, les analystes disposent d'un "laboratoire d'épidémiologie", où les logiciels malveillants ("malware") sont étudiés dans des incubateurs. "C'est utile, nous dit-on. A l'instar d'une maladie, un virus évolue dans le temps, mute, et n'a pas le même comportement s'il se trouve en France ou en Allemagne."

En levant un bout de voile sur ses activités en matière de cybersécurité, Orange espère inciter les entreprises à frapper à sa porte. Ce n'est pas chose facile, puisque ses clients ne souhaitent presque jamais communiquer sur les attaques qu'ils ont essuyées. En outre, selon Gartner, 92% des sociétés ne seraient même pas conscientes des cyberattaques qu'elles essuient. Ce qui, logiquement, constitue un sacré frein pour les affaires. A ce sujet, Yahoo! vient d'annoncer une gigantesque fuite de comptes d'utilisateurs. Or celle-ci s'était produite fin 2014 !

Un marché sans vrai leader

Certes, Orange est actuellement numéro un en France en matière de cybersécurité. En 2015, le groupe a réalisé un chiffre d'affaires de 125 millions d'euros pour une part de marché de près de 8%. Mais dans ce secteur encore éclaté dans l'Hexagone, sans vrai acteur dominant, l'opérateur est talonné d'autres spécialistes ambitieux. Pêle-mêle, il y a la société d'informatique Atos-Bull, le cabinet de conseil Capgemini, le géant américain IBM, l'opérateur britannique BT, mais aussi Airbus, ou encore le groupe de défense Thales ! Lesquels ne se priveront pas, à coup sûr, de mettre des bâtons dans les roues de l'opérateur historique.

Pierre Manière

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.