Bertrand Lemaître, nouveau responsable de la sécurité du système d’information

En ce début d'année 2021, le système informatique de la Ville d’Angers et le compte Twitter du maire, Christophe Béchu, ont été victimes d’une cyberattaque perturbant différents services municipaux. Une situation préoccupante pour toute personne en charge de la sécurité du système d’information. À l’UA, c’est Bertrand Lemaître, nouvellement nommé à cette fonction, qui a la charge depuis octobre 2020, sous la responsabilité du président, de cette fonction hautement sensible.

Quelles sont les menaces auxquelles une organisation comme l’UA peut être confrontées ?

Bertrand Lemaître, en charge de la sécurité du système d'informationBertrand Lemaître : "Elles sont diverses. Elles peuvent être environnementales (météo, incendie…), intrinsèques (conception, technologies…), mais aussi humaines (externes, internes, délibérées, par erreur ou par négligence).
En ce moment, une des menaces les plus répandues est le rançongiciel (ou ransomware). Il s’agit de campagnes d’extorsion de fonds. Concrètement, un logiciel informatique malveillant chiffre vos données, ou toutes celles auxquelles vous avez accès en écriture, pour en bloquer l’accès. Les pirates demandent ensuite une rançon. C’est une prise d’otage de vos données et cela peut paralyser complètement une organisation. Parfois ces attaques sont juste destinées à jeter le trouble, à ternir l’image. Mais dans tous les cas, elles coûtent chères à l’organisation.
D’autres attaques relèvent de l’espionnage et auront pour but de récupérer des données sensibles. À l’UA les travaux de recherche peuvent par exemple être des cibles intéressantes. Il est donc important de les stocker correctement (NDR : voir les préconisations de la DDN pour bien stocker ses fichiers sur l'intranet des personnels).
Pour arriver à leurs fins, les pirates ont besoin de s’infiltrer dans l’organisation. Parmi leur arsenal, ils utilisent notamment les techniques d’hameçonnage (souvent par messagerie), ou phishing, c’est-à-dire qu’ils leurrent l’internaute pour l’inciter à leur communiquer des données personnelles (comptes d'accès, mots de passe, coordonnées bancaires…). (NDR : Comment réagir face à une attaque par hameçonnage : lire les conseils).

Ces menaces se sont décuplées avec le recours massif au télétravail lié à la crise sanitaire que nous traversons. Il convient donc d’être encore plus vigilant (NDR : Travail à domicile et sécurité informatique : lire les recommandations). Nos données sont devenues un véritable enjeu."

Dans un tel contexte, quel est le rôle du Responsable de la sécurité du système d’information (RSSI) ?

B.L. : "Pour assurer la sécurité de ses systèmes d'information, le ministère de l’Enseignement supérieur et de la Recherche s’est doté de toute une chaîne fonctionnelle de sécurité reposant sur le haut fonctionnaire de défense et de sécurité. Ensuite, dans chaque établissement, des RSSI sont nommés et mandatés par leur chef d’établissement. Leur rôle est d’organiser la politique de sécurité du système d’information. Nos missions sont assez variées. Nous devons mettre en place les plans de sécurité, en cohérence avec la politique de l’État, contrôler et améliorer régulièrement le niveau de sécurité de nos systèmes d’information… Notre rôle est aussi d’informer et de sensibiliser les utilisateurs du système d’information aux problématiques de la sécurité."

Pourquoi avez-vous eu envie de postuler ce poste ?

B.L. : "Avant d’intégrer le Service de transformation numérique en 2019, j’ai été pendant 12 ans administrateur système au sein du Service systèmes et réseaux. À ce titre, je gérais notamment la mise à disposition de sites internet, souvent liés à la recherche, et j’étais déjà confronté à des soucis de sécurité. Par exemple, quand des sites n’étaient plus maintenus, cela laissait la possibilité à des malfaiteurs de s’introduire dans notre système et d’utiliser nos ressources, qui sont vraiment importantes à l’UA. C’était déjà des problématiques auxquelles j’étais confrontées et qui m’intéressaient. Alors quand l’appel à candidatures est paru, j’ai postulé ! Aujourd’hui j’ai vraiment envie d’organiser la politique de sécurité du système d’information de l’UA, de donner des recommandations, de mettre en place des outils de suivi… J’ai plein de projets en tête."

Justement, quels sont-ils ces projets ?

B.L. : "Dans un premier temps, je souhaite constituer un réseau interne de correspondants. C’est essentiel pour mettre en place la politique de sécurité du système d’information. Cela fait d’ailleurs partie des premières missions du RSSI telles que définies par le ministère. Ce sera donc ma priorité et je lancerai, dans les semaines à venir, un appel à candidatures auprès de la communauté. L’idée est qu’il y ait toute une équipe qui contribue à rendre le système d’information plus fiable. Ils seront de précieux atouts sur le terrain, au plus près des collègues et des étudiants, et pourront notamment m’aider à identifier les tentatives de malversation. Par ailleurs, ils contribueront aux campagnes d’information et de sensibilisation que je souhaite mettre en place. D’ici la rentrée prochaine, je souhaite par exemple sensibiliser la communauté à la nécessité de renouveler régulièrement son mot de passe. Je souhaite également, dans un second temps, organiser de fausses campagnes de phishing à destination des personnels. L’idée est de leur permettre d’aiguiser leur œil critique en les familiarisant avec cette technique. Il faut voir cela comme un jeu ! Cela nous permettra d’améliorer notre vigilance collective face aux campagnes d’hameçonnage qui sont de plus en plus perfectionnées.
Toutes ces actions, et les futures propositions émises avec l’aide des correspondants sécurité du système d’information, doivent nous permettre d’accroître notre résistance aux menaces qui pèsent sur notre système d’information."

Date de publication : 19/01/2021

Contact : rssi @ contact.univ-angers.fr (rssi @ contact.univ-angers.fr)