Jean-Dominique Nollet de TotalEnergies : « La cybersécurité sans stratégie offensive, c’est de la poudre aux yeux »
Dans un univers numérique où les cybermenaces se multiplient et s’intensifient, la cybersécurité des grandes entreprises énergétiques demeure un enjeu capital. TotalEnergies, géant français de l’énergie, est plus que jamais une cible de choix pour des cyberattaques sophistiquées orchestrées par des groupes criminels, hacktivistes ou même des acteurs étatiques. Face à cette réalité, Jean-Dominique Nollet, Chief Information Security Officer (CISO) du groupe, soutient avec conviction que la cybersécurité classique ne suffit plus – seule une stratégie offensive peut véritablement garantir une cyberrésilience durable.
Ancien colonel de gendarmerie et responsable d’un laboratoire de cybersécurité chez Europol, Jean-Dominique Nollet a imposé une vision rigoureuse et proactive de la cyberdéfense au sein de TotalEnergies. Selon lui, il est illusoire de s’appuyer uniquement sur des mesures défensives passives. Il faut au contraire soumettre les systèmes à des tests d’intrusion réalistes et répétés, autrement dit adopter une posture offensive qui permet de déceler les failles d’une infrastructure avant que les adversaires ne les exploitent.
A lire aussi : Contrôleur de trottinette électrique : la clé pour booster vos performances
Cette approche nécessite, au-delà d’un budget dédié (6 % du budget informatique du groupe est alloué à la cybersécurité), une implication des équipes internes mais aussi une collaboration étroite avec des prestataires experts en Red Teaming. L’idée centrale est de reproduire les tactiques, techniques et procédures des cybercriminels pour jauger la résistance des défenses, anticiper les scénarios d’attaque, et fortifier la protection des données sensibles.
Dans ce contexte, la stratégie offensive ne se limite pas au périmètre informatique interne de la multinationale. Elle s’étend aussi à sa chaîne logistique, en imposant à ses partenaires et fournisseurs des audits rigoureux et même des intrusions contrôlées, parfois contre leur volonté initiale. Cette politique novatrice bouscule les habitudes managériales classiques en France et dans le secteur de l’énergie.
A lire également : L'intelligence artificielle transforme l'immobilier : vers un nouveau paradigme pour le secteur en 2024
Cette édition détaille comment Jean-Dominique Nollet et TotalEnergies incarnent un tournant majeur en cybersécurité, où la poudre aux yeux des protections traditionnelles est remplacée par une lutte offensive persistante, dans une optique de résilience et d’anticipation des cyberattaques.
Les fondements d’une stratégie offensive en cybersécurité chez TotalEnergies
Chez TotalEnergies, la cybersécurité est une priorité stratégique, mais elle ne saurait se réduire à des mesures défensives classiques sans remise en cause. Jean-Dominique Nollet justifie cela par son expérience militaire et policière où la résistance d’un système n’est jamais théorique tant qu’il n’a pas subi une attaque réelle et soutenue. Inviter la cyberattaque au sein de l’entreprise, de manière contrôlée, revient à tester en conditions réelles la solidité des mécanismes de sécurité informatique.
La stratégie offensive repose sur plusieurs piliers majeurs. Tout d’abord, l’existence d’une équipe interne de Red Team. Ces experts en sécurité informatique simulent des attaques ciblées, suivant des scénarios précis, mais avec une latitude suffisante pour tenter d’exploiter toutes les vulnérabilités possibles. Cette posture proactive vise à décourager les hackers potentiels, car les défenses sont éprouvées régulièrement.
Ensuite, TotalEnergies fait appel depuis plusieurs années à Synacktiv, société française spécialisée en tests d’intrusion avancés à la pointe des techniques d’offensive informatique. Leur rôle est d’apporter un regard externe et des compétences très pointues pour renforcer la sécurité informatique du groupe à travers des campagnes de Red Teaming qui durent entre 6 et 12 mois.
En voici le principe : contrairement à des audits ponctuels, la Red Team travaille sur la durée, simulant des cyberattaques qui portent tant sur les systèmes techniques que sur l’ingénierie sociale, par exemple via des campagnes de phishing autorisées. Ce travail approfondi permet une meilleure anticipation des cybermenaces et évite les fausses sécurités souvent associées aux simples analyses de conformité.
Jean-Dominique Nollet insiste aussi sur la nécessité de ne pas brider les tests. « Beaucoup d’entreprises en France refusent de laisser la Red Team faire de l’ingénierie sociale », déplore-t-il, « pourtant, sans ce type de tests, on ne comprend pas les méthodes réelles utilisées par les attaquants ». Cette remise en cause des limites traditionnelles participe à rendre la cyberdéfense de TotalEnergies plus robuste et réaliste.
Exemples concrets d’attaques simulées et enseignements
Pour illustrer l’efficacité de cette stratégie, plusieurs campagnes menées par Synacktiv ont mis en lumière des vulnérabilités humaines aussi bien que techniques. Un exercice typique peut commencer par un phishing ciblé permettant aux Red Teamers d’obtenir les accès à un poste utilisateur, puis d’escalader les privilèges jusqu’à des systèmes plus sensibles. Ainsi, TotalEnergies permet de corriger rapidement des faiblesses qui, dans un contexte réel, auraient pu ouvrir la voie à des cyberattaques majeures.
Un autre type d’attaque simulée concerne la sécurisation des infrastructures critiques industrielles (OT – Operational Technology). Bien que ces environnements soient fortement protégés, TotalEnergies les teste de manière limitée mais régulière. L’importance est d’avoir une posture exigeante sans compromettre la sûreté et la sécurité des personnes, un équilibre souvent complexe dans le secteur énergétique.
Ces exercices conduisent également à affiner les règles de détection et de réponse dans les centres opérationnels de sécurité (SOC), en créant des situations proches des attaques réelles. Une coordination étroite est établie entre les Red Teams et le SOC afin d’éviter toute confusion, notamment en cas de chevauchement entre simulation et incident réel. Ce dialogue de « déconfliction » est un élément clé pour une cyberrésilience efficace.
L’intégration de la cyber offensive dans la gestion des fournisseurs et partenaires
Au-delà de ses propres infrastructures, TotalEnergies déploie une politique ambitieuse visant à sécuriser sa chaîne logistique informatique et industrielle. La croissance des cyberattaques via des tiers a démontré que les fournisseurs constituent une porte d’entrée privilégiée pour les hackers. Pour contrer ce risque, Jean-Dominique Nollet a innové en inscrivant dans les contrats des fournisseurs une clause imposant la possibilité d’attaques simulées par des Red Teams.
Cette disposition contractuelle est un changement majeur. Au départ, de nombreux fournisseurs ont résisté à l’idée d’être testés, craignant les risques techniques et la réputation. Pourtant, en insistant sur la nécessité de cette démarche, TotalEnergies a progressivement fait évoluer les mentalités, intégrant la cybersécurité offensive comme un standard dans ses relations d’affaires.
Voici une liste des bénéfices et impératifs liés à cette intégration :
- Anticipation des vulnérabilités tierces : pouvoir détecter les faiblesses chez les fournisseurs avant qu’elles ne soient exploitées.
- Amélioration de la maturité cyberglobale : inciter les partenaires à renforcer leurs dispositifs de sécurité.
- Réduction des risques liés à la chaîne logistique : protéger TotalEnergies contre les attaques ciblant des maillons faibles externes.
- Encouragement à la transparence : instaurer un dialogue sur la sécurité et les bonnes pratiques entre partenaires.
- Coopération renforcée : développer une alliance de cybersécurité en continu entre la multinationale et ses prestataires.
Cela requiert une forte capacité d’adaptation et une gestion fine des risques, notamment pour cibler les opérations de Red Team uniquement sur des fournisseurs critiques, selon la nature et la criticité des services fournis. Cette méthode pragmatique évite des tensions inutiles et maximise le retour sur investissement en cybersécurité.
| Type de fournisseur | Criticité | Niveau de tests Red Team | Objectifs principaux |
|---|---|---|---|
| Fournisseur IT principal | Très élevée | Tests complets fréquents | Identification rapide des vulnérabilités |
| Fournisseur industriel (OT) | Élevée | Tests limités pour sûreté | Maintien de la sécurité physique et informatique |
| Fournisseur secondaire | Moyenne | Audits et tests ponctuels | Vérification de conformité minimale |
| Fournisseur non critique | Basse | Surveillance basique | Suivi des meilleures pratiques |
Au-delà de la conformité : Le vrai défi de la cyberrésilience durable
Jean-Dominique Nollet exprime clairement que la conformité seule ne garantit pas la sécurité informatique. Le respect des normes et la gestion des audits sont nécessaires, mais ils ne suffisent en aucun cas à protéger TotalEnergies face aux cybermenaces toujours plus complexes. En effet, au-delà des cases cochées et des rapports agréés, la véritable force réside dans la capacité à anticiper et bloquer l’exploitation réelle des failles.
Pour cela, une stratégie efficace met en œuvre une priorisation rigoureuse des vulnérabilités : il ne s’agit pas uniquement d’identifier les failles, mais d’évaluer leur criticité et surtout leur exploitabilité. Les vulnérabilités humaines restent particulièrement abondantes, malgré la sensibilisation. Dans ce cadre, le groupe a fait un pas décisif en adoptant une politique passwordless pour ses utilisateurs, éliminant systématiquement les risques liés aux mots de passe faibles, y compris pour les échanges machine-to-machine et les comptes de service.
Cette approche est complétée par un travail d’intégration étroite entre les équipes de développement (DevOps) et les Red Teams. Lors de la mise en place des chaînes de CI/CD, une collaboration dite « purple team » a permis de sécuriser les pipelines de production informatique en affinant à la fois les règles et les contrôles, dans un contexte où la cyberrésilience ne doit jamais être sacrifiée au profit de la vitesse.
En résumé, la démarche offensive et continue, judicieusement encadrée, devient le socle d’une défense moderne pour TotalEnergies. Elle s’appuie sur un dialogue constant avec les SOC et un suivi nuancé des campagnes de tests, pour éviter toute confusion et garantir la réactivité en cas de menace réelle détectée pendant une simulation.
Les défis spécifiques de la protection des infrastructures industrielles et la culture d’entreprise adaptée
Dans le secteur de l’énergie, la protection des systèmes de contrôle industriels (OT) revêt une importance cruciale. Ces installations, souvent très anciennes et critiques pour la sûreté des opérations, sont des cibles très prisées pour des cyberattaques visant à perturber la production ou causer des dommages physiques.
Jean-Dominique Nollet souligne que la sécurité offensive dans ce domaine doit être menée avec une extrême prudence, car les tests doivent impérativement éviter toute interruption du fonctionnement ou risque pour la sécurité des personnes. Cette contrainte complexe oblige à une préparation minutieuse et à une coopération renforcée entre équipes cyber et opérationnelles.
Par ailleurs, le CISO de TotalEnergies insiste sur l’importance d’une culture d’entreprise évoluée. Il faut des managers capables d’accepter une part de liberté aux équipes de sécurité offensive, qui doivent pouvoir « jouer » sans limite excessive pour découvrir les failles réelles. Cette ouverture est un facteur clé de succès, à rebours de nombreuses entreprises où la crainte du risque freine l’efficacité des tests :
- Liberté d’action des Red Teams, y compris pour l’ingénierie sociale
- Intégration contractuelle des fournisseurs dans la démarche offensive
- Approche longue durée – campagnes Red Team de plusieurs mois
- Dialogue permanent entre équipes offensives, SOC et opérationnels
Cette philosophie pragmatique et audacieuse fait de TotalEnergies un modèle en cybersécurité industrielle. Elle garantit une protection dynamique de ses ressources matérielles et informationnelles, face à des cybermenaces toujours plus sophistiquées et imprévisibles.
Pourquoi la cybersécurité offensive est-elle indispensable selon Jean-Dominique Nollet ?
Selon Jean-Dominique Nollet, seule une posture offensive permanente, via des équipes Red Team, permet de tester en conditions réelles les systèmes de sécurité et de préparer efficacement la défense contre des cyberattaques sophistiquées.
Comment TotalEnergies implique-t-elle ses fournisseurs dans sa stratégie de cyberdéfense ?
TotalEnergies impose à ses fournisseurs des clauses contractuelles permettant des tests d’intrusion en collaboration avec des prestataires spécialisés, afin de sécuriser la chaîne logistique et éviter les vulnérabilités tierces.
Quelles sont les limites de l’approche conformité en cybersécurité ?
L’approche basée uniquement sur la conformité ne garantit pas la protection contre les cybermenaces, car elle ne teste pas l’exploitation réelle des vulnérabilités et manque d’anticipation sur les attaques sophistiquées.
Comment TotalEnergies protège-t-elle ses infrastructures industrielles ?
La protection des infrastructures OT est réalisée par des tests offensifs limités, combinant prudence pour la sûreté des opérations et une collaboration étroite entre équipes de cyberdéfense et opérateurs industriels.
Quel rôle joue la collaboration DevOps et Red Team dans la cyberrésilience ?
La collaboration « purple team » entre équipes de développement et Red Team permet d’intégrer la sécurité dès la conception des chaînes de production informatique, améliorant ainsi la résilience face aux cyberattaques.
A lire également :
L’impact de l’innovation technologique sur les entreprises : croissance et défis en 2023
Les meilleures offres sur les ordinateurs portables reconditionnés : découvrez les avantages de Back Market
Développements récents des IA en 2023 : bard, llama 2, claude 2 et bing, avantages et inconvénients
Les drones de livraison en France : une révolution imminente dans la logistique et les défis à relever
