Avec la digitalisation croissante de l’activité, la sécurité informatique constitue un enjeu important pour les CFL et leurs 4 800 collaborateurs. Elle est également au coeur de plusieurs réglementations auxquelles l’entreprise doit se conformer. Les enjeux sont tels qu’une équipe spécialisée veille jour et nuit sur le système. Éric, qui travaille au sein de l’équipe Sécurité de l’information, nous raconte sa mission.
Tester, en permanence, la fiabilité des ressources informatiques
Éric, tu travailles au sein de la division Sécurité informatique des CFL. Quelle est la mission exacte de cette entité ?
Notre mission est d’assurer la sécurité du système d’information contre les menaces extérieures et intérieures. Autrement dit, on doit faire en sorte que l’ensemble des systèmes qui permettent d’acquérir, de stocker, de traiter et de communiquer des informations soit protégé.
De quelles informations parle-t-on exactement ?
Elles sont multiples. Nous veillons à la fois sur des données internes de nos métiers et aussi sur les informations publiques que les CFL délivrent aux voyageurs. Notre rôle est d’en assurer la confidentialité, l’intégrité et la disponibilité.
Comment s’organise ton équipe ?
On se partage certaines tâches, mais chacun, en revanche, développe sa propre spécialité pour y être le plus expert possible. Il y a par exemple un collègue spécialisé dans la gestion d’incidents de sécurité ; un autre qui est référent sur la partie mobile et la sécurité des applis ; etc. De mon côté, j’interviens en particulier sur les tests d’intrusion.
Peux-tu nous en dire plus sur ces fameux tests ?
Absolument. Dans le jargon, on appelle ça des pentests, terme qui est la contraction de l’anglais « penetration test ». Il s’agit en fait de demander à un partenaire extérieur (une entreprise luxembourgeoise spécialisée) d’éprouver la résistance de notre système informatique.
S’il détecte des failles, il nous les signale, et nous les corrigeons.
Des menaces de plus en plus présentes
Quels sont, justement, les risques générés par ces possibles intrusions ?
À l’échelle mondiale, les cyberattaques sont en augmentation constante. L’une des menaces principales est la prise en otage des données… Il s’agit d’accéder à vos données pour ensuite les marchander contre de l’argent. Ça passe généralement par un ransomware : un logiciel de rançon qui chiffre toutes les données, les rendant inutilisables ou qui les exfiltre en vue de les divulguer. Ces procédés sont très répandus aujourd’hui.
Cette menace est souvent associée à des e-mails de phishing, de plus en plus réalistes et contextualisés qui jouent sur les émotions et nous prennent par les sentiments.
Tu viens d’évoquer le « phishing », autre grande menace informatique. Peux-tu nous en rappeler le principe et les dangers ?
Le phishing, ou « hameçonnage » en français, est une tentative d’escroquerie véhiculée le plus souvent par un courriel. On cherche alors à vous faire cliquer sur un lien ou une pièce jointe, auxquels est associé un malware : un logiciel malveillant. Notre objectif, ici, est avant tout d’apprendre à nos collaborateurs à les repérer avant de cliquer.
Comment faites-vous pour sensibiliser vos collaborateurs ?
Nous avons bâti un parcours de e-learning anti-phishing. Composé de vidéos et de quiz, nous l’avons voulu ludique et pédagogique, afin de ne pas décourager les collaborateurs. On y explique les techniques utilisées et quelles sont les bonnes pratiques pour ne pas tomber dans leurs pièges.
Il y a des choses toutes simples, comme vérifier l’adresse de l’expéditeur du courriel, ou passer, sans cliquer, sa souris sur un lien suspect pour qu’apparaisse l’URL de destination.
Est-ce que ça marche ?
Dans la majorité des cas. Pour mesurer les progrès, nous menons nous-mêmes de fausses campagnes de phishing : on envoie de faux emails d’hameçonnage à nos collaborateurs, pour tester leurs réflexes. Puis on leur communique leur score. Le tout en restant dans la communication positive : le but n’est pas de les culpabiliser ! Depuis qu’on sensibilise, la vigilance a augmenté.
Une attention de tous les instants
À t’entendre, j’imagine que ton métier demande une vraie réactivité…
Tout à fait. Nous effectuons pour cela notre propre veille sur les sites spécialisés, et nous écoutons les alertes lancées par nos différentes sources (collaborateurs sur le terrain, gouvernement, etc.).
En cas d’alerte, la priorité est de vérifier l’information : sommes-nous directement concernés par la menace ? La version logicielle qu’on utilise est-elle vulnérable ? Le cas échéant, il faut prévenir les équipes informatiques concernées ou les éditeurs de logiciels, pour qu’ils lancent rapidement une mise à jour.
Avant de conclure, peux-tu nous dire comment tu es arrivé jusqu’à ce poste si stratégique ?
En termes d’études, j’ai d’abord suivi un BTS informatique de gestion en France (Metz), puis j’ai enchainé sur des formations spécialisées dans la sécurité. S’agissant de mon parcours professionnel, j’ai longtemps été consultant dans une institution européenne, sur le volet sécurité du système d’information, avant de rejoindre les CFL il y a maintenant 2 ans.
Et tu n’as pas l’air de regretter ce choix…
En effet ! Aux CFL, le temps passe vite, il y a toujours plein de projets. Et puis j’aime, dans ce job, le fait de continuer à apprendre jour après jour. L’informatique évolue très vite, on découvre donc toujours de nouvelles méthodologies. Ça rend le métier vraiment passionnant.
Vous avez envie de vous engager pour une tâche exigeante au sein des CFL ? Envoyez-nous votre candidature !
Comments are closed.