Jean-Marie Mélé, ancien RSSI du groupe Orange, est spécialiste dans les questions de protection des infrastructure vitales avec une méthodologie éprouvée de gestion de crise en cellules dédiées.
Il se penche désormais sur l’analyse et la prévention des attaques avancées, et alerte sur de nouveaux risques informationnels notamment liés à l’intelligence artificielle et à la manipulation des modèles de langage.
La transformation des métiers de la cybersécurité est aujourd’hui une réalité : face aux menaces internes et surtout externes, ils se concentrent sur la protection des infrastructures critiques. Jean-Marie Mélé, ancien RSSI du groupe Orange et désormais directeur de l’audit et de la qualification des risques, a dirigé la cellule de crise cyber d’Orange pendant cinq ans, avec une attention particulière portée aux menaces persistantes avancées (APT). Ces attaques souvent orchestrées par des États ou des groupes affiliés se distinguent par leur patience et leur capacité à exploiter des vulnérabilités sur le long terme. « Les dés sont pipés » explique-t-il. « Les attaquants disposent de temps et ont besoin simplement de trouver une seule erreur. Les défenseurs sont, eux, condamnés à toujours réussir… L’attaque n’est donc pas une question de si, mais de quand. »
Les dés sont pipés. Les attaquants disposent de temps et ont besoin simplement de trouver une seule erreur. Les défenseurs sont, eux, condamnés à toujours réussir… L’attaque n’est donc pas une question de si, mais de quand.
Appréhender les menaces persistantes avancées (APT)
L’approche de Jean-Marie Mélé repose sur une organisation en cellules spécialisées (juridique, technique, anticipation, recherche), inspirée des bonnes pratiques internationales et adaptée aux spécificités des APT. « Ce n’est pas une course, mais un marathon. Certaines crises peuvent durer six mois, un an, voire plus. » Il cite notamment Salt Typhoon, une campagne chinoise qui a compromis des opérateurs télécoms américains en exploitant des vulnérabilités anciennes sur des équipements Cisco. « Ces groupes ont une vision long terme. Ils attendent le bon moment, exploitant des vulnérabilités non publiées ou des erreurs humaines. On ne sait pas où se cache l’attaquant. Il faut anticiper, rechercher et arbitrer en temps réel. » Pour l’expert, les APT ont façonné la manière de défendre, de légiférer et de penser la sécurité numérique : « Ce n’est pas un phénomène nouveau, mais une force durable qui évolue avec la technologie. Chaque attaque laisse derrière elle des enseignements, tant techniques que sociétaux. »
Sans oublier les autres menaces…
Groupes de ransomwares, hacktivistes et bien d’autres menaces ne doivent pas êtres oubliés pour autant. Cette quotidienneté des attaques que tout à chacun peut lire dans la presse rappelle à quel point notre société repose sur des systèmes d’informations rendus vulnérables par leurs seules complexités. Les implications de ces attaques, que l’on pourrait qualifier de pêche au chalut (trawling en anglais) sont pourtant énormes et les implications financières parfois catastrophiques.
Le tout dans un cadre réglementaire renforcé : NIS2, REC, CRA : derrière ces acronymes, un arsenal Européen pour élever le niveau de sécurité.
Cette dernière décennie, l’Union européenne, consciente de ces menaces, a mis en place le RGPD et la directive NIS2, qui obligent les entreprises à renforcer leur politique d’analyse des risques. « Cette directive tire les leçons des échecs passés en cybersécurité et des premières années du RGPD, en sanctionnant les entreprises trop passives. » Sous sa direction, Orange a maintenu son avance dans le domaine en déclinant ces exigences à l’ensemble de ses filiales, y compris hors Europe, pour sécuriser sa supply chain.
« La NIS2 impose des sanctions pouvant atteindre 2% du chiffre d’affaires mondial. C’est pour les états un levier puissant pour élever le niveau de sécurité global », souligne Jean-Marie Mélé. Le groupe Orangea dû adapter ses processus pour se conformer à ces nouvelles règles. « Les opérateurs télécoms sont des cibles de choix, non pour eux-mêmes, mais pour leur rôle dans le fonctionnement des pays. Chez Orange, nous avons accompagné la transformation vers le cloud en intégrant la cybersécurité dès le départ. »
Le tout en se préparant à faire face aux nouvelles formes de menaces
Les attaquants sont souvent les premiers à bénéficier des avancées et l’intelligence artificielle en est un parfait exemple : « Certaines menaces prennent la forme d’atteintes informationnelles. Par exemple, des entités russes créent de faux sites d’actualité pour empoisonner les LLMs (LLM grooming), ou encore le contenu de modèles varie selon l’interlocuteur et son orientation politique. » Ces nouvelles menaces touchent aussi bien les entreprises que les individus. Ici encore, les attaquants ont malheureusement une longueur d’avance. Tout le sujet est de ne pas trop se laisser distancer. C’est dans ce cadre de protection que les analyses de risque et les audits prennent entièrement et pleinement leur importance. Les premières interviennent au début du projet, créant le premier maillon du processus de sécurité par design et les audits en bout de chaîne pour verrouiller et confirmer le processus. Sécurité et qualité sont les deux faces d’une même pièce : éviter les erreurs au profit de l’entreprise et de ses clients.
Co-sponsor de la communauté Orange Expert Security, qui rassemble 110 experts, Jean-Marie Mélé indique que « l’objectif est de favoriser les échanges, de pousser les experts à s’exposer et à partager leurs connaissances. La cybersécurité n’est pas qu’une question technique, c’est aussi une bataille culturelle et économique. » Il souligne l’importance de former les talents de demain et de sensibiliser les décideurs aux enjeux cyber. « Un Comex a principalement des préoccupations financières. Il faut savoir traduire les risques techniques en enjeux business », conclut-il.
Jean-Marie Mélé
