Stéphane Calé (Clusif / Enisa) : « chacun doit faire de la cybersécurité son sujet »

Pouvez-vous nous présenter le Clusif (Club de la Sécurité de l’Information Français) ?

Le Clusif est une association dédiée à la cybersécurité. Plus de 520 organisations adhèrent au club, ce qui représente plus de 1300 participants. Il existe deux collèges de membres : acteurs SI et utilisateurs SI.

Les objectifs du Clusif sont multiples. D’abord, nous voulons sensibiliser les dirigeants, les responsables d’entreprises et les organismes et pouvoirs publics à l’importance de la sécurité de l’information. Cela implique de participer aux grandes orientations nationales et internationales dans ce domaine ainsi que de contribuer aux programmes d’éducation et de formation dans le domaine de la sécurité de l’information. En tant que club, nous voulons favoriser des échanges d’expériences et d’idées entre nos membres et plus généralement parmi les professionnels de la sécurité. Les échanges peuvent porter, par exemple, sur les problématiques rencontrées, les solutions mises en œuvre, les nouvelles normes, les nouvelles réglementations et obligations juridiques… Au-delà, nous réalisons des ouvrages et des synthèses sur l’état de l’art et des techniques en matière de cybersécurité afin notamment de créer et formaliser des recommandations, des méthodologies… Parmi nos dernières publications, je voudrais citer le dossier « Inclusion et diversité dans la cybersécurité », une « Charte de bonnes pratiques de la notation cyber », un rapport « Shadow IT à l’ère du cloud »… Enfin, nous communiquons vers le grand public par des partenariats d’événements, des conférences, des salons…

L’association possède une quinzaine de groupes et espaces de travail (SOC Augmenté, Gestion des incidents du SI, Étude des pratiques de sensibilisation, Panorama de la cybercriminalité, Cloud & SASE, Sécurisation des messageries sortantes, Contrôle interne cyber…). Elle organise huit événements par an (conférences, ateliers, exercices de crise, webinaires…).

Si l’action du Clusif est nationale, nous nous appuyons sur le réseau des Clusir, les associations régionales.

Avez-vous une action pour tenter de combler le déficit en talents ?

Nous avons un groupe de travail Inclusivité et Diversité.

Il faut que l’écosystème de la cybersécurité s’ouvre à d’autres profils que les écoles d’ingénieurs. Il faut notamment s’ouvrir à des profils hors-informatique. Si la communication dérape, la crise cyber dérapera…

Nous participons aux Entretiens de l’Excellence. Il s’agit, pour des spécialistes, de venir présenter leurs métiers, dans des lieux prestigieux (Polytechnique, Dauphine…), à des collégiens et lycéens de toutes origines sociales. Le message est que chacun peut avoir une carrière car, en France, les études sont pratiquement gratuites.

La sensibilisation des collaborateurs semble être une gageure tant chaque CISO est à la recherche de quelque chose d’efficace en la matière. Quelle est votre approche en la matière et connaissez-vous des initiatives intéressantes ?

Chacun, chaque collaborateur doit faire de la cybersécurité son sujet. La cybersécurité ne concerne pas que les CISO/RSSI. Quand il y a une crise de cybersécurité, de nombreux collaborateurs pas du tout informaticiens sont évidemment impliqués, soit parce qu’ils sont gênés dans leur travail, soit parce qu’ils auront à intervenir. Par exemple, et tout le monde n’y pense pas, la direction de la communication sera impliquée pour défendre l’image de l’entreprise, informer les clients ou partenaires qui pourraient être concernés, transmettre les bonnes informations aux collaborateurs…

Michel Séjean, professeur agrégé de droit et co-directeur du Master « Droit des activités numériques » à l’Université Sorbonne Paris Nord, a réalisé en janvier 2025 une première édition du Trophée Ex Machina. Il a réuni durant une semaine 80 étudiants en hygiène, sécurité et environnement, en droit, en communication, etc. qui ne se connaissent pas entre filières. Du lundi au mercredi, ils sont formés à la gestion de crise cyber. Le jeudi matin, ils ont réalisé un exercice de crise cyber. Des observateurs, notamment de Orange Cyber Défense, ont été très impressionnés par la maturité des étudiants. Le jeudi après-midi, les participants font leur propre retour d’expérience. Le vendredi, après des conférences de spécialistes en cybersécurité, la semaine se conclut par une remise de trophées dont l’objectif est de mettre en valeur tout ce qui a été fait de bien. L’objectif est de réaliser une deuxième édition en 2026 avec d’autres universités en France (l’Université de Rennes a déjà donné son accord) puis, en 2027, une troisième au niveau européen ! Ce qui est particulièrement intéressant dans cette initiative est que même l’organisateur est en dehors de la communauté cybersécurité et, malgré tout, ait su se saisir du sujet.

Au-delà de la sensibilisation, comment un CISO peut-il s’assurer que les bonnes pratiques enseignées sont effectivement appliquées ?

En dehors de secteurs très réglementés, je ne crois pas au contrôle « Big Brother ». Le data loss prevention (DLP) constitue vite une contrainte.

Je crois à la « culture cyber » : chaque collaborateur doit prendre conscience de la nécessité de faire de la bonne façon. Il s’agit d’intégrer l’hygiène cyber, que cela soit naturel comme de se laver les dents avant de se coucher. A chaque alerte, la bonne pratique doit être un réflexe. Les gens imitent les bonnes pratiques qu’ils constatent autour d’eux : l’exemple est la meilleure sensibilisation.

Pour les processus sensibles, ce qui est le plus efficace, c’est ce que l’on appelle le « contrôle quatre yeux » : deux personnes doivent agir de concert et se contrôlent donc mutuellement.

Vous êtes aussi Ambassadeur de l’Enisa. Qu’est-ce que cela signifie et pourquoi avoir endossé ce rôle ?

L’Agence de l’Union européenne pour la Cybersécurité est composée de fonctionnaires européens ou détachés par leurs pays (comme l’ANSSI est composée de fonctionnaires français) mais elle fait aussi appel à des experts bénévoles comme les ambassadeurs. Le but de l’Enisa est l’atteinte d’un niveau commun élevé de cybersécurité à travers l’Europe. Établie en 2004 et renforcée par le Cybersecurity Act de l’UE, l’Enisa contribue à la politique cyber de l’UE, améliore la fiabilité des produits, services et processus TIC grâce à des schémas de certification en cybersécurité, coopère avec les États membres et les organes de l’UE et, pour finir, aide l’Europe à se préparer aux défis cyber de demain. Grâce au partage des connaissances, au renforcement des capacités et à la sensibilisation, l’Agence travaille avec ses principaux acteurs pour renforcer la confiance dans l’économie connectée, accroître la résilience des infrastructures de l’Union et, finalement, assurer la sécurité numérique de la société et des citoyens européens.

Un ambassadeur de l’Enisa contribue à l’élaboration de certains documents de l’Agence mais surtout à leur promotion dans son propre pays. Cette promotion peut passer par des interviews comme celle-ci, des conférences, des publications sur les réseaux sociaux …

Mon rôle est plus particulièrement axé sur les domaines de la sensibilisation où l’Enisa a développé le « Kit AR in a box ». Ce kit permet à une entreprise de concevoir et de mettre en œuvre son plan de sensibilisation à la cybersécurité. Il comprend plusieurs guides : pour la création de programmes de sensibilisation personnalisés à usage interne au sein d’une organisation, pour la création de campagnes de sensibilisation ciblées pour les parties prenantes externes, sur la sélection des outils et des canaux appropriés pour atteindre efficacement le public cible, sur le développement d’indicateurs clés de performance pour évaluer l’efficacité d’un programme ou d’une campagne, pour le développement d’une stratégie de communication (cruciale pour atteindre les objectifs de sensibilisation)… ainsi qu’un quiz de sensibilisation pour tester la compréhension et la rétention des informations clés.

J’interviens également sur l’ECSF (European Cybersecurity Skills Framework). L’ECSF fournit un outil pratique pour soutenir l’identification et l’articulation des tâches, des compétences, des aptitudes et des connaissances associées aux rôles des professionnels de la cybersécurité en Europe. L’objectif principal de ce cadre est de créer une compréhension commune entre les individus, les employeurs et les fournisseurs de programmes de formations à travers les États membres de l’UE, en comblant le fossé entre le milieu du travail des professionnels de la cybersécurité et les environnements d’apprentissage. Le cadre décrit un ensemble de douze profils de rôles typiques de professionnels de la cybersécurité.

Selon l’Enisa, quelles sont les grandes tendances en matière de cybersécurité ?

Chaque année l’Enisa publie l’ETL (ENISA Threat Landscape). La dernière version a été publiée en septembre 2024. Le rapport est basé sur des informations provenant de sources ouvertes et sur les capacités propres de Cyber Threat Intelligence (CTI) de l’agence.

Au sein de l’ETL, on peut relever plusieurs familles de cyber-menaces mises en lumière. Ainsi, se sont les menaces contre la disponibilité qui sont en tête du classement (41 %), suivies par les rançongiciels (28 %). Les attaques par déni de service distribué (DDoS) ont atteint 13 millions d’attaques dans le monde. Selon Gcore, des attaques d’une puissance sans précédent ont été observées en 2023, passant de 300 Gbps en 2021 à 1,6 Tbps en 2023. L’exploitation des sites de confiance (Living Off Trusted Sites) consiste, pour les acteurs malveillants, à développer leurs propres techniques de furtivité, en utilisant des sites de confiance et des services légitimes pour éviter la détection et en déguisant les communications de Commandement et de Contrôle (C2) en trafic ordinaire ou en messages anodins sur des plateformes comme Slack et Telegram.

L’Enisa a également observé une forte augmentation des incidents de type Business Email Compromise. Bien sûr, les information stealers continuent à être très utilisés. L’agence a constaté une récente augmentation des chevaux de Troie bancaires pour téléphones mobiles. Les recherches indiquent une croissance de 200 % d’une année sur l’autre des familles de logiciels malveillants ciblant les applications bancaires, passant de 10 à 29 familles distinctes et de 600 à 1 800 applications affectées dans le monde.

Relevons aussi que la manipulation de l’information continue d’être un élément clé de la guerre d’agression de la Russie contre l’Ukraine. De même, les compromissions de la chaîne d’approvisionnement par ingénierie sociale émergent de plus en plus : par exemple, en mars 2024, une porte dérobée a été introduite dans un projet open-source XZ Utils, un ensemble d’outils et de bibliothèques utilisés pour la compression de données.

Dans les autres tendances, on peut aussi relever que le phishing par code QR, ou Qishing, a connu une augmentation significative. Concernant l’ingénierie sociale, une des tendances les plus marquantes est la création de fausses entreprises et de faux profils pour attirer des cibles potentielles. Les acteurs malveillants créent des entreprises apparemment légitimes avec une présence en ligne détaillée, y compris des sites web, des profils sur les réseaux sociaux et des profils d’employés. Ces entités fictives sont utilisées pour inciter les chercheurs d’emploi à télécharger des logiciels malveillants ou pour infiltrer des organisations en se faisant embaucher avec de fausses références. Cette tactique a été notamment utilisée par des groupes nord-coréens tels que Moonstone Sleet, qui ont utilisé de fausses entreprises pour tromper les développeurs en leur faisant exécuter des logiciels malveillants déguisés en tests de compétences.

Quels défis voyez-vous pour les années à venir ?

Un grand axe de travail de l’Enisa est d’accroître la cybersécurité dans les PME. En effet, les PME constituent des points de fragilité pour les grandes entreprises. Quand une PME est bloquée ou a été piratée, ses clients qui sont des grandes organisations subissent des impacts, par exemple des retards de livraison. En particulier, les PME ne savent pas se défendre contre les DDoS.

Les cybercriminels ont commencé à adopter l’IA pour la création de campagnes de phishing sur mesure, où les attaquants exploitent les informations ouvertes de leurs victimes pour créer des textes attrayants et convaincants. Un autre cas d’utilisation pour les acteurs malveillants est la génération de deepfakes (images, audios et vidéos synthétiques qui sont presque indiscernables de la réalité). Techniquement, désormais, les acteurs malveillants peuvent cloner la parole et la vidéo d’humains réels pour mener ce type d’attaque.