Table of Contents
Focus sur Teréga. Un modèle de sécurité numérique dans l’industrie de l’énergie, où les défis en matière de cybersécurité sont nombreux et épineux.
Il y a les entreprises qui sont connues du grand public, et il y a les autres. Celles qui opèrent dans l’ombre pour s’assurer de la bonne marche du service public ; celles dont on dépend tous sans le savoir. Si l’on vous dit Teréga, il y a fort à parier que ça ne vous dise pas grand-chose. Pourtant, derrière ce nom il y a :
- un acteur majeur du transport et du stockage de l’énergie en Europe et en France. Si vous vivez dans le Sud-Ouest du pays par exemple, votre gaz transite par leurs tuyaux ;
- l’éditeur d’une solution de stockage de données industrielles utilisée par de nombreux acteurs ;
- un prestataire à haute valeur ajoutée qui accompagne d’autres industriels dans leur transition énergétique.
Le champ d’expertise de Teréga implique de faire face quotidiennement à des enjeux de cybersécurité. Comment s’assurer de l’imperméabilité numérique de toutes les activités du groupe – complémentaires mais intrinsèquement différentes dans leurs problématiques de sécurité ?
Trouver la réponse à ces questions, c’est le travail de Philippe Puyou Lascassies, le RSSI du groupe, et de Christophe Cuyala, le Responsable de la Sécurité Opérationnelle. Ils nous racontent leur vision et leur application de la sécurité dans une industrie particulièrement sensible, celle de l’énergie.
Teréga, un acteur historiquement ancré dans les territoires
Teréga veille au développement et à la bonne gestion de ses infrastructures de stockage et d’acheminement de gaz depuis plus de 75 ans. C’est bien l’avenir de l’énergie qui guide l’entreprise, certaine que la transition énergétique des territoires est au cœur de leur développement économique et social.
Pour améliorer le transport du gaz et développer ses nouvelles utilisations, Teréga s’appuie sur un réseau de proximité flexible. L’entreprise accompagne le développement de la production locale de biogaz et promeut la mobilité durable, tout en préparant son réseau à accueillir de nouveaux gaz décarbonés, comme notamment l’hydrogène vert tiré de l’électricité renouvelable.
Historiquement, Teréga est un acteur majeur des infrastructures de gaz en France et en Europe.“Nous sommes au carrefour de l’Espagne et de la France. A ce titre, nous faisons partie des grands transits qui passent par l’Espagne et remontent vers le Nord.” explique Christophe Cuyala.
Au-delà de l’activité transport, Teréga est un maillon central qui connecte producteurs et consommateurs d’énergies, avec la sécurité d’approvisionnement comme cœur de mission… Philippe Puyou Lascassies, le RSSI, insiste sur la particularité de l’entreprise :
“Contrairement à d’autres opérateurs, nous faisons à la fois du transport et du stockage. On fait non seulement le grand transit Nord-Sud, en désengorgeant certaines zones de remontée et de descente des gaz, mais on l’amène aussi jusqu’aux distributeurs, jusqu’aux portes des villes. Les deux activités sont intimement liées, et participent au bon fonctionnement du réseau d’acheminement vers les points de distribution.”
“Nous transportons des gaz au sens large”
Cette implication de bout en bout dans l’acheminement du gaz permet à Teréga d’être bien implanté sur les territoires desservis. Une implantation renforcée par la diversité des énergies transportées. “On collecte aussi du biogaz, celui qui est produit sur les territoires que l’on dessert.” explique Philippe Puyou Lascassies.
Christophe Cuyala, lui, a les yeux tournés vers l’avenir. “On développe aussi nos activités autour de l’hydrogène, en préparant nos infrastructures. On transporte des gaz au sens large. Demain l’hydrogène, mais ça pourrait tout aussi bien être du CO2. “
Teréga, des enjeux cruciaux de sécurité numérique
Au vu de son secteur d’activité, il est évident que Teréga est soumis à un devoir de sécurité numérique accru. L’entreprise se doit d’être conforme à un certain nombre de réglementations françaises et européennes. En tant que transporteur d’énergie, Teréga est par exemple visé par la Directive NIS, ainsi que par la future NIS2.
Philippe Puyou Lascassies n’a pas attendu d’y être contraint pour se soucier de la sécurité des activités du groupe. “La cybersécurité, c’est un sujet important pour Teréga depuis fort longtemps. On a toujours eu une culture cyber, qui s’est développée et renforcée avec la transformation digitale de l’entreprise. “
Il faut dire que les enjeux sont de taille quand on est un OSE, un Opérateur de Services Essentiels. Philippe explique :
“On a évidemment les mêmes enjeux informatiques que toutes les entreprises pour nos applications de gestion, le bon fonctionnement de nos SI d’entreprise. Mais on a, en plus, des systèmes industriels qui supportent nos activités sensibles.
On opère des infrastructures qui sont critiques – d’autant plus dans le contexte actuel – et on remplit une mission de service public. On doit donc garantir la continuité du service, la disponibilité et l’intégrité des infrastructures informatiques qui supportent ces process. La disponibilité, c’est pour opérer le réseau à tout moment. Et l’intégrité, c’est le traitement des données sensibles ; de comptage, de facturation… Ce sont ça, nos vrais enjeux de cybersécurité.”
Christophe, le Responsable Sécurité Opérationnelle, seconde :
“Puis on ne veut pas être aveugles sur un accident industriel. On doit être en capacité de superviser ce qu’il se passe sur notre réseau de gaz à tout moment. D’où l’importance d’avoir le système de supervision opérationnel à 100%.”
Une transformation digitale en profondeur
En 2017, Teréga a opéré une transformation digitale en profondeur, avec d’un côté la partie gestion, et de l’autre la partie industrielle. Pour le SI corporate, la transformation digitale de l’entreprise s’est faite en intégrant la sécurité par design, avec des choix comme la disparition des VPN ou l’adoption du modèle Zero Trust.
Sanctuariser le réseau de transport des gaz pour réduire la surface d’attaque
Pour la partie industrielle, la stratégie était différente. L’objectif était double : collecter de la donnée, tout en réduisant la surface d’attaque du réseau de transport des gaz. Christophe Cuyala explique :
“Aujourd’hui, les systèmes de conduite du réseau de gaz doivent être réduits à leur plus simple expression : faire passer le gaz. C’est bien ça l’objectif, on est là pour transporter du gaz.
Par contre, tout ce que l’on veut faire ensuite en services à valeur ajoutée, ça doit être fait dans des systèmes prévus pour dans le cloud. Avec toute la puissance du cloud, avec les outils du cloud, avec la sécurité embarquée dans les infrastructures cloud. Donc l’idée, c’était de faire un jumeau numérique. D’aller chercher les données qui sont dans notre SI industriel pour les mettre à disposition dans le cloud, et construire des applications autour.
On a donc ouvert le SIE, la partie gestion. Mais en contrepartie, on a réduit la surface d’attaque du SII. Cette partie centrale, le pilotage du gaz, on l’a sanctuarisée. On a vraiment fermé électriquement le réseau pour le séparer du reste.”
Le RSSI confirme : “On limite les interactions avec l’extérieur. On fait sortir des données , mais on limite et contrôle tout ce qui peut rentrer. “
Transformation digitale : des solutions créées en interne
Se pose alors une question : comment faire sortir les informations si le réseau est sanctuarisé, coupé du reste ? Pour relever ce défi, Teréga n’a pas pu s’appuyer sur les solutions traditionnelles du marché. Philippe se souvient :
“On a eu besoin de créer un jumeau numérique pour mettre à disposition des données, faire de la simulation, de la maintenance prédictive. Ces raisons sont communes à presque toutes les entreprises. Mais compte tenu de nos contraintes, de nos exigences et de notre stratégie interne de sanctuarisation de nos outils de production, on ne pouvait pas appliquer les solutions habituelles.
Il a fallu qu’on crée ce jumeau et qu’on l’alimente d’une façon un peu différente, avec des solutions et des outils qui ne pouvaient pas être les mêmes que ceux utilisés jusqu’ici dans d’autres industries.”
Puisqu’ils ne trouvaient pas chaussure à leurs pieds, Philippe et Christophe sont devenus cordonniers.
“On ne trouvait pas de solutions sur le marché. Il nous fallait une solution qui nous permette d’aller chercher la donnée au plus proche de la production. C’est pour ça qu’on a développé l’Indabox. Un boîtier qui permet de collecter des informations au plus proche du terrain, sans avoir à les ramener en central pour les remonter de manière unidirectionnelle dans le cloud.”
– Christophe Cuyala, Responsable Sécurité Opérationnelle
IO Base : une plateforme de stockage de données industrielles
Avec l’Indabox, Teréga a donc développé son propre équipement industriel de collecte de la donnée. Mais ce n’est pas tout de collecter de l’information, encore faut-il pouvoir la stocker dans le cloud. Là encore, les équipes de Teréga ont décidé de prendre les choses en main en développant leur propre solution logicielle. Christophe raconte :
“On voulait exporter nos données sur le cloud pour faire de la prévision, de la simulation. Mais pour ça, la base de tout, c’était de pouvoir collecter l’information. Donc de créer l’application qui collecte et permet de visualiser la donnée – nos comptages, nos pressions sur l’ensemble du réseau… On a donc développé IO Base, notre plateforme de stockage de données industrielles.”
Teréga Solutions : de transporteur d’énergie à prestataire de services
Si Teréga n’avait pas trouvé son bonheur parmi les solutions déjà existantes sur le marché, il y avait fort à parier que d’autres industriels étaient dans la même situation. Des industriels avec les mêmes contraintes et besoins. Des industriels qui pourraient avoir besoin des deux solutions développées par Teréga, le boîtier Indabox et la plateforme IO Base. C’était une évidence, il fallait proposer ces solutions au marché. La filiale Teréga Solutions était née.
“Teréga a créé une filiale qui s’appelle Teréga Solutions, qui est l’éditeur de la solution. Pourquoi ? Car on s’est rendu compte qu’IO Base avait un fort potentiel. C’est quelque chose qui était censé pouvoir intéresser d’autres industriels, car c’est générique.
C’est une plateforme de stockage de données industrielles au sens large. Nous on parle de température et de pression, mais on pourrait aussi bien collecter des volumes de débit dans une centrale à eau, ou encore la consommation électrique d’un ensemble de bâtiments. C’est du stockage de la donnée générique en temps réel.
Et on top de ce stockage, on peut créer des micro-applications à la demande pour apporter de la valeur ajoutée, pour traiter ces données, les exploiter.” – Christophe Cuyala
Aujourd’hui, force est de constater que Philippe et Christophe avaient visé juste. IO Base permet à Teréga Solutions de proposer des services variés à tous types d’industriels :
- des fournisseurs d’énergie ;
- des plateformes d’échange de l’énergie ;
- des collectivités locales, pour surveiller la consommation électrique et les accompagner dans leur transition énergétique ;
- des entreprises qui veulent décarboner, et surveiller la consommation de leurs sites pour faire des économies d’énergie…
Intégrer la cybersécurité à l’écosystème de l’entreprise
La plateforme IO Base est utilisée par de nombreux industriels sensibles et critiques, ainsi que par la maison-mère Teréga pour ses activités liées aux gaz. Inutile alors de vous dire à quel point la cybersécurité est importante pour Teréga Solutions. Aujourd’hui, elle fait pleinement partie de l’écosystème de l’entreprise. Christophe Cuyala, le Responsable Sécurité Opérationnelle, nous raconte :
“On a des collaborateurs avec une culture sécurité à tous les niveaux. L’architecte, par exemple, est moteur sur ce qu’il faut mettre en place en matière de sécurité. Il implémente les bonnes pratiques, les choses les plus essentielles.
On a aussi les exploitants, qui sont en recherche permanente de visibilité sur ce qu’il se passe au sein des infrastructures en matière de sécurité. Ils sont vraiment dans la recherche des bons outils dans le cloud, pour superviser la sécurité en matière de compliance, de workloads, de flux réseaux. Ils agrègent tout dans un centralisateur et regardent quotidiennement ce qu’il se passe, pour pouvoir réagir en conséquence.”
Accompagner les développeurs avec des référentiels et de l’automatisation
Qui dit solutions logicielles dit développeurs. Teréga Solutions n’échappe pas à la règle, et doit composer avec les contraintes inhérentes à une structure de taille modeste. Philippe, le RSSI, a longtemps réfléchi à la façon d’envisager la sécurité dans la création logicielle.
“Les grands éditeurs ou les entreprises qui font beaucoup de développement peuvent s’appuyer sur la méthodologie DevSecOps, qui intègre des acteurs de la cybersécurité à toutes les étapes, dans tous les sprints. Mais Teréga Solutions est une petite structure, une start-up presque. On a donc dû faire les choses autrement.
On s’appuie sur un certain nombre de bonnes pratiques et de référentiels bien précis, pour développer dans le cloud ou sécuriser les APIs par exemple. On fait confiance à nos développeurs, ils travaillent en autonomie. On les accompagne aussi avec des outils automatiques de vérification d’architecture et d’analyse de code en continu pour s’assurer qu’ils ne créent pas de faille par design.”
– Philippe Puyou Lascassies, RSSI Teréga
Pour répondre à l’ambition, Teréga Solutions doit s’appuyer sur des partenaires pour développer son offre. Si toute l’expertise DevSecOps est interne, la confiance accordée aux développeurs et partenaires n’exclut pas le contrôle de la sécurité des solutions. La vérification ne peut pas se faire à chaque étape du cycle de développement, et Teréga a donc déployé des solutions de contrôle automatisées dans sa CI/CD , et Yogosha, via le bug bounty, instaure une forme de contrôle final. Ce choix permet à Teréga de passer à l’échelle avec un contrôle haut niveau des aspects sécurité.
Le bug bounty : “l’étape ultime, un contrôle final avec des hackers”
Philippe et Christophe avaient déjà eu recours au bug bounty pour éprouver la sécurité des infrastructures pilotant le transport des gaz de Teréga. L’opération ayant été un succès, les hackers de la Yogosha Strike Force sont naturellement revenus sur la table pour Teréga Solutions. Cette fois, le bug bounty a été envisagé comme un contrôle final dans le SDLC. Philippe explique sa décision :
“On fait confiance pendant toutes les étapes du développement, et la sanction arrive à la fin avec le bug bounty. C’est l’étape ultime, un contrôle final avec des hackers qui sont vraiment dans la position d’attaquants. Tout ce qu’il s’est passé avant dans le développement, ils s’en fichent. C’est vraiment le résultat qui compte. […]
Puis nous, on fait uniquement du bug bounty privé. Ça rassure, les hackers éthiques ont été sélectionnés et ce n’est pas la porte ouverte à n’importe qui.” – Philippe Puyou Lascassies, RSSI
Christophe, le Responsable Sécurité Opérationnelle, confirme lui aussi la pertinence du bug bounty :
“On a une vision de la sécurité très pragmatique, et on a retrouvé la même approche chez Yogosha. Pour les tests qu’on a eu à faire sur IO Base par exemple, on a été mis en relation avec des profils qui avaient les compétences nécessaires sur cette technologie pour être pertinents.”
Le bug bounty, une solution plus flexible que d’autres formes d’audits
Outre son efficacité dans la détection de vulnérabilités en profondeur, le bug bounty offre une certaine flexibilité qu’on ne retrouve pas toujours avec d’autres formes d’audits. Là encore, le RSSI de Teréga témoigne de l’agilité des solutions Yogosha :
“La simplicité d’accès au service est vraiment appréciable, d’autant plus pour des ETIs ou des startups. Faire des pentests, ça peut être compliqué. Il faut faire des contrats, qui sont parfois durs à gérer. Yogosha apporte une vraie flexibilité. […]
Il y a d’excellents pentesteurs dans les sociétés de cyber, mais on n’est jamais sûr de tomber sur eux. Les seniors sont parfois indisponibles, alors on se retrouve avec des juniors. C’est normal, il faut qu’ils apprennent, mais le niveau n’est pas identique à chaque fois.
Avec le bug bounty, c’est une communauté de chercheurs. Il y a toujours quelqu’un pour trouver quelque chose. On n’est pas dépendant d’une seule personne, qui a un moment donné aura peut-être moins suivi les avancées dans certaines technologies.”
– Philippe Puyou Lascassies, RSSI chez Teréga
Le bug bounty comme outil de formation pour les développeurs
Pour le RSSI de Teréga, la détection des vulnérabilités n’est pas le seul intérêt du bug bounty. Il soulève ce qu’il appelle “un deuxième effet kiss cool” : la formation des développeurs.
“Les chercheurs Yogosha ont une certaine éthique, et ils partagent leur expérience aux équipes de développement. Avec le bug bounty, on améliore le savoir-faire et la sensibilité des développeurs chez nous. C’est un effet de formation continue.” – Philippe Puyou Lascassies, RSSI Teréga
Teréga : un programme de bug bounty géré en interne
Les équipes de Teréga ont fait le choix de s’occuper elles-mêmes de la gestion du bug bounty et du triage des vulnérabilités. Un choix qui s’inscrit dans cette volonté de proximité avec nos hunters. En tant que Responsable Sécurité Opérationnelle, c’est à Christophe qu’incombe la tâche :
“Quand on lance un bug bounty, les exploitants, les développeurs de la solution que l’on teste et moi-même avons tous accès à la plateforme Yogosha, là où les vulnérabilités sont remontées. On les priorise, puis on corrige ce qui doit l’être.”
En résumé
En résumé, Teréga c’est :
- un acteur majeur du transport et du stockage des gaz ;
- qui a opéré une transformation digitale en développant ses propres solutions, l’Indabox et IO Base ;
- des solutions qui ont débouché sur la création de Teréga Solutions, une filiale qui propose des services à forte valeur ajoutée à tous types d’industriels ;
- les deux entités faisant maintenant partie d’un écosystème global qui intègre la sécurité par design, avec une sanctuarisation du réseau de transport, un jumeau numérique qui permet de collecter et stocker de la donnée dans le cloud, des développeurs compétents épaulés par des référentiels et des outils automatiques ;
- et le bug bounty comme forme de contrôle final. Un test en conditions réelles qui, en plus des contrôles préalables, garantit la sécurité globale des infrastructures de Teréga et des produits que Teréga Solutions propose à ses clients.
Besoin de solutions pour relever les défis de sécurité de votre transformation digitale ? N’hésitez pas à nous contacter, ou à explorer nos opérations de sécurité offensive.