Directeur de la Sécurité, de l’architecture et de la stratégie technologique à la Caisse des dépôts, Christophe Cavrot doit sécuriser un périmètre élargi d’infrastructures. Face aux cyberattaques ciblées et augmentées par l’IA, il cherche à lutter à armes égales avec les attaquants. Le SOC devient augmenté et partiellement autonome en se fondant notamment sur les outils de l’éditeur français Gatewatcher.
Comment arbitrez-vous l’hébergement cloud et les infrastructures externalisées ?
Christophe Cavrot : Nous sommes très peu exposés au cloud public et nous disposons surtout de clouds privés. Notre répartition de traitements se fonde sur la confidentialité des données. Dans notre groupe, le cloud souverain Numspot (ndlr: un prestataire créé par La Poste, Dassault Systèmes, Bouygues Telecom et la Caisse des Dépôts) est retenu lorsqu’une infrastructure externe souveraine devient nécessaire. Ce choix suit une stratégie globale d’entreprise. Numspot est en cours de certification SecNumCloud ; il s’agit d’une certification primordiale pour nos activités. En complément, nous adoptons un hyperscaler de type Azure. On observe de nombreux services SaaS encore hébergés sur des hyperscalers. Mais nous espérons une migration de ces offreurs vers du cloud souverain, et notamment vers Numspot.
Dans ce contexte hybride, comment le SOC évolue-t-il ?
CC : On cherche à limiter l’empreinte des traitements humains en automatisant un certain nombre de traitements et de réactions aux cyberattaques. Nous sommes clients de la solution Gatewatcher, une des briques nécessaires pour aller vers un SOC augmenté et autonome. Dans notre SOC, on retrouve le SIEM, le SOAR, la CTI (cyber threat intelligence), la gestion des vulnérabilités, les EDR et les briques de sécurité classiques qui se déversent dans un référentiel auquel on ajoute la brique NDR (network detection and response) pour couvrir un périmètre plus large. Pour l’instant, il s’agit d’un SOC managé en interne, aux heures ouvrées. Le SOC autonome évitera la fatigue des analystes, et couvrira la cybersécurité en 24/7. Il doit répondre aux attaques qui sont en train de se densifier, en qualité et en quantité, avec l’IA. En fait, avec un SOC qui, à son tour, réagit avec l’IA nous luttons à armes égales avec les attaquants.
L’IA servira-t-elle à classifier les incidents ?
CC : L’objectif est d’avoir, grâce à des outils comme Gatewatcher, une classification préalable des incidents, à l’aide d’un système de scoring. Les alertes avec un score élevé et un niveau de confiance élevé seront traitées automatiquement par le SOC autonome, les autres manuellement. Les outils s’améliorent en permanence. L’intégration d’agents IA au niveau du SOC complète l’équipe en charge de l’analyse des alertes et des incidents.
Comment les attaquants exploitent-ils l’IA pour réussir leurs attaques ?
CC : Il existe l’équivalent des chatGPT dédié aux cyberattaques et plusieurs ressources spécialisées sur le darkweb pour accélérer la création de malwares et de phishing. Les entreprises s’activent un peu moins vite que les attaquants qui ont moins de contraintes ; en général, ils n’ont aucune règle, aucune déontologie et disposent de beaucoup d’argent pour nous attaquer. Les technologies cyber ont bien évolué depuis un an. Elles accueillent des IA génératives et prédictives, des assistants stratégiques pour les chaînes de détection et de réaction aux attaques.
La gestion d’identités et d’accès est-elle prise en compte par votre SOC ?
CC : Les anomalies de connexion d’utilisateurs et d’administrateurs remontent vers le SOC. Mais la gestion d’identités reste confiée à une équipe dédiée qui supervise aussi les identités des machines et les accès applicatifs par API.
L’acquisition de solutions européennes par de puissants acteurs asiatiques ou américains peut-elle devenir problématique ?
CC : La scène internationale est bousculée depuis quelques mois ; les droits de douane ont montré un certain nombre de limites. Le marché va se consolider, c’est clair. Je note une prise de conscience sur la souveraineté et la nécessité d’avoir des solutions locales, en France et en Europe. J’espère que les acteurs européens de la cybersécurité parviendront à se consolider en Europe. Un pilier de notre stratégie est la souveraineté, nous y sommes vigilants. En cas de rachat massif de solutions et de brevets locaux par de grands acteurs étrangers, nous serions amenés à changer de fournisseurs s’il y avait un impact sur la sécurité ou la souveraineté de nos données.
