Métiers : Réseau / Secrétariat Général
Mots-clés : crise / cybersécurité / DSI / Réseau / Station-service
Janvier 2022
Plus de 500 stations touchées par une attaque informatique, les transactions suspendues, le fichier des clients du Club TotalEnergies piraté… Rassurez-vous, ce scénario catastrophe est purement fictionnel. Il a servi de trame à l’exercice de crise déployé le 15 novembre dernier et conçu conjointement par le Secrétariat Général de TMF pour les aspects SI et RGPD, le responsable Cybersécurité SI Entreprise de la branche M&S, Bertrand FERREOL, et les équipes cyber de la Holding. Ce jour-là, Kathleen MONNIER, chef de service Animation, Promotion, Communication à la direction Réseau, était présente au sein de la cellule métier chargée de coordonner la réponse de l’entreprise. Les deux protagonistes reviennent sur cette première.
Quel a été le point de départ de l’exercice de crise sur la cybersécurité ?
Bertrand FERREOL : Il y a d’abord un constat : la menace « cyber » s’accentue. Chaque mois, la Compagnie est visée par 300 attaques ciblées, heureusement le plus souvent déjouées. Je suis en poste depuis deux ans à la branche M&S et je n’ai pas eu de situation délicate à gérer durant les seize premiers mois. Depuis septembre 2020, huit crises se sont succédées… Dans ce contexte, la sécurité informatique de TotalEnergies Marketing France s’impose comme une préoccupation majeure. Comment s’organiser pour réagir rapidement et efficacement face à une tentative malveillante ? C’est pour répondre à ce questionnement que l’exercice du 15 novembre a été mis sur pied.
Comment s’est déroulée la phase préparatoire ?
B. F. : L’objectif était de soumettre aux acteurs des cellules de crise une problématique aussi réaliste que possible. J’ai travaillé le scénario sous ce prisme. En 2020, les stations des réseaux français et belges avaient fait l’objet d’un audit sur l’aspect cybersécurité. Le rapport a constitué une source d’inspiration précieuse. Il a d’ailleurs été communiqué aux participants pendant l’exercice !
Je me suis aussi tourné vers d’anciens collègues qui connaissent parfaitement l’environnement informatique des stations. C’est ainsi que la trame a progressivement pris consistance. Bien sûr, je me suis efforcé de la tenir secrète jusqu’au dernier moment, même si chaque participant avait été informé du rôle qu’il devrait tenir.
Kathleen MONNIER : Une semaine avant le Jour J, j’ai suivi une préformation auprès de David HERBERT, qui travaille au pôle Gestion de Crise et Anti-pollution de la direction HSEQ. Pendant une heure, il m’a fait découvrir la salle où devait se dérouler l’exercice, expliqué le fonctionnement des outils ainsi que les process à activer en ouverture de crise. J’ai aussi beaucoup appris sur les enjeux liés à l’anticipation et à la gestion des crises. Dans la mesure où les exemples qui m’ont été présentés concernaient des ruptures d’approvisionnement en carburant, je pensais que nous aurions à traiter un événement de ce type. D’où ma surprise lorsque j’ai pris connaissance du problème qui nous était posé !
Le moment venu, quel a été votre rôle et celui des autres participants à l’exercice ?
K. M. : Les données initiales étaient les suivantes : 591 stations victimes d’une cyberattaque orchestrée par un logiciel pirate, les terminaux de paiement bloqués, la menace d’une divulgation des données clients contenues dans le serveur de fidélité Maxxing et une demande de rançon. Plus tard, nous apprendrons qu’une fuite de données s’est produite.
En tant que représentante de la communication du Réseau, mon rôle a consisté à organiser l’information destinée à l’externe, et en particulier aux médias. Cela passe par la rédaction de communiqués de presse où chaque mot doit être pesé : il s’agit d’être juste et efficace, de montrer que l’entreprise prend en charge la situation de crise sans rien diffuser qui pourrait la mettre en difficulté. Dans ce cas précis, il était par exemple essentiel de préciser que tout le système informatique de TotalEnergies n’était pas touché.
B. F. : Une vingtaine de personnes étaient réparties entre deux cellules de crise : l’une rassemblant les métiers de TotalEnergies Marketing France, l’autre composée de spécialistes des opérations IT au sein de la branche M&S. L’exercice visait notamment à tester la communication entre les deux équipes, qui opéraient depuis des lieux distincts. Un call était organisé toutes les 45 minutes afin de pouvoir partager les informations et prendre des décisions éclairées. Pour corser l’exercice et le rendre crédible, nous avons poussé vers les participants des informations provenant de l’extérieur de l’entreprise – donc plus ou moins sérieuses –, et pas toujours les mêmes selon que nous les adressions à l’une ou l’autre des cellules !
Avez le recul, quel regard portez-vous sur cette demi-journée ?
B. F. : J’étais positionné en tant qu’observateur et j’ai pu relever un grand nombre de points positifs dans la manière dont la crise a été appréhendée. Le timing a été respecté, ce qui était loin d’être gagné. L’ensemble des participants ont manifesté une mobilisation et un engagement sans faille. Chacun a pu faire valoir ses compétences sur son périmètre propre, sans empiètement qui aurait pu nuire à l’efficience collective. Au sein de la cellule opérationnelle IT, il faut souligner la très bonne intégration du CERT (Computer Emergency Response Team), qui est chargé de coordonner la réponse aux incidents relatifs à la cybersécurité à l’échelle de la Compagnie. Et, c’est peut-être le plus important, la synergie entre les deux cellules a remarquablement bien fonctionné.
K. M. : L’exercice avait été soigneusement pensé. Avec les écrans où s’affichent les derniers tweets, les unes des journaux et les messages déposés sur les réseaux sociaux, son réalisme était presque effrayant ! À mes yeux, c’était un test pour savoir si nous pouvions rester calmes et agir avec lucidité sous la pression. Je crois que nous avons répondu présent. Sur ma partie propre, j’ai retenu la grande utilité des échanges avec le juridique pour bien positionner les éléments de langage. Et, également, la nécessité de choisir les bons canaux, au bon moment. Lorsque, par exemple, une information ne concerne qu’un segment de clientèle, le recours aux SMS permet une communication ciblée et, ainsi, évite de propager l’affolement…
Quels sont les axes d’amélioration pour pouvoir faire face aux crises réelles ?
K. M. : Dans l’empressement à agir, on a souvent tendance à brûler les étapes. Il y avait, dans notre salle, un tableau destiné à faciliter le partage des éléments factuels et de leurs conséquences, et l’animation de la réflexion sur les réponses à apporter. Nous l’avons peu utilisé. Le recours à cet outil nous aurait sans doute permis de mieux nous accorder sur l’interprétation des faits, en démêlant plus précisément les certitudes et les hypothèses.
B. F. : Je suis d’accord, l’utilisation des outils dédiés à la gestion de crise gagnerait à être systématisée. Avoir une représentation visuelle des impacts, par exemple, aide à définir des actions appropriées et cohérentes. Un autre point tient au vocabulaire employé. À un moment de l’exercice, la cellule IT a suggéré de « couper le réseau ». Elle entendait par là le réseau informatique, mais les membres de l’autre cellule ont d’abord compris qu’il s’agissait du réseau physique des stations ! Une piste de progrès serait de diffuser des fiches réflexes rappelant quelques-uns des fondamentaux de la gestion de crise comme, par exemple, le fait d’avoir toujours en tête la bonne compréhension des destinataires des messages.
Deux équipes pluridisciplinaires
La cellule de crise métier a été dirigée par Guillaume LARROQUE, président de TotalEnergies Marketing France. Elle intégrait des représentants de l’ensemble des métiers de l’entreprise et des experts des sujets RGPD et gestion des données SI caisse. La société Solace, spécialisée dans la cybersécurité et l’animation de crise, intervenait en appui.
Côté cellule opérationnelle IT, c’est Philippe CHAILLEY, B-CISO (Chief Information Security Officer) de la branche M&S, qui était à la manœuvre. Étaient réunis autour de lui des experts en informatique et monétique ainsi que des représentants d’Argedis et du département Développement Construction Maintenance. L’accompagnement extérieur a été confié à Deloitte.
Commentaires