Entretien Julien Levrad (RSSI d’OVH) : « Les attaquants commencent à utiliser l’IA »

Aux commandes de la sécurité des systèmes d’information d’OVH depuis 5 ans, Julien Levrard a observé un accroissement des pics de menaces visant les clients de l’hébergeur roubaisien. Pour sa cybersécurité, un centre de de sécurité opérationnel interne est couplé à des systèmes de sécurité composites.

LMI. Les cyberattaques sont devenues quotidiennes : depuis votre arrivée en tant que RSSI d’OVH depuis 5 ans, quelles sont celles qui vous ont le plus marqué ?

Julien Levrard. Le bruit des cyber-menaces est assez constant avec des attaques DDoS, des fuites de données, des compromissions de compte… c’est notre quotidien. On ne parle même plus de crise car les attaques sont maintenant plusieurs fois par jour, il y a des pics. Par contre les enjeux augmentent parce que ces attaques visent de plus en plus des clients ayant des activités critiques dans un contexte où les dépendances au cloud augmentent. Les attaques DDoS sont un excellent exemple parce qu’elles rendent les services indisponibles et sont donc directement visibles. Les fuites de données, tant qu’elles ne sont pas publiées par l’attaquant, restent très discrètes et silencieuses. Puis un jour on s’en rend compte parce que les données ont fuité, qu’elles sont publiées sur des forums et mises en vente sur le dark web .

Quelles mesures de sécurité internes mettez-vous en place ?

Sur les DDoS il n’y malheureusement pas de magie. La première est d’avoir des infrastructures qui grandissent avec la menace et les usages et être toujours plus en capacité d’encaisser les attaques. Cela veut dire d’avoir une roadmap, un plan de déploiement avec du capex, des investissements en matériels, en liens réseaux… C’est d’avoir une infrastructure réseau qui grandit en permanence pour s’adapter aux usages et à la menace. Après nous avons aussi des ingénieurs qui travaillent sur les règles de routage, de filtrage et sur la manière de nettoyer le trafic. En plus de cet effort, nous allons comprendre ces attaques, adapter notre infrastructure, notre code, nos règles de filtrage pour être tout le temps au meilleur niveau par rapport aux attaquants. De temps en temps, ils prennent un peu d’avance et d’un coup on peut se retrouver en difficulté pendant quelques jours ou quelques heures le temps de comprendre ce qui s’est passé. Nos équipes d’ingénierie analysent et adaptent les infrastructures et le code pour rétablir un équilibre et dans la plupart du temps on est dans une situation de maitrise.

Les attaques IA font-elles partie de votre quotidien ?

Nous n’avons pas encore vu des attaques complètement opérées et orchestrées par l’IA. Par contre nous voyons que les attaquants utilisent des briques basées dessus pour envoyer des mails, et contextualiser leurs attaques, récupérer tout un ensemble de données pour en envoyer qui sont toujours plus précis, sans fautes d’orthographe. C’est une différence de taille. L’IA permet à moindre coût d’avoir des attaques qui sont extrêmement raffinées et efficaces et l’on en voit tous les jours qui essaient de voler les identifiants de nos clients ou d’accéder à leurs interfaces d’administration pour voler des ressources ou accéder à leurs données. Nous les accompagnons pour essayer de détecter un maximum de campagnes de phishing et les couper à la source. On les aide à protéger leurs accès en activant l’authentification à deux facteurs, mettre des règles de filtrage d’accès, détecter les comportements anormaux… Nous allons aussi bloquer temporairement les accès aux comptes et notifier les clients quand on voit qu’il se passe des choses étranges. Nous n’avons pas forcément la capacité de détecter si un malware a été écrit par l’IA, mais la plupart des développeurs utilisent des assistants de codage et des workflows IA donc il n’y a pas de raison que ce ne soit pas aussi le cas pour les attaquants. Aujourd’hui, on ne voit pas d’attaques complètement orchestrées par l’IA et dont les séquences d’attaque sont pilotées en autonomie par une intelligence artificielle. Mais il commence à y avoir des cas documentés dans la presse et un certain nombre d’acteurs. On sait que cela va arriver, on s’y prépare.

Les attaquants cherchent aussi à monter leurs attaques à l’échelle et à s’internationaliser…

Exactement. La plupart des groupes d’attaquants sont organisés comme de véritables entreprises. Il y a une supply chain avec des gens qui cherchent des vulnérabilités et les vendent à d’autres qui les packagent dans des outils qui vont les exploiter. Il y a des supply chain complètes avec des sous-traitants qui se mettent en place dans les organisations criminelles. Ce que l’on voit aussi c’est que ces entreprises se normalisent aussi au niveau des salaires qui sont de plus en plus proches de ceux du monde normal et les groupes criminels ne payent pas plus pour les petites mains.

Comment sont organisées les équipes cybersécurité chez OVH ?

Nous sommes une quarantaine de personnes, avec des équipes SOC pour gérer la détection et la réponse à incident, développer des outils, et intégrer des solutions. Nous intégrons des briques open source, parfois des outils du marché, mais pour certaines primitives notamment l’IAM nous développons nous mêmes. On ne va pas tout recoder à 100%, on s’appuie aussi sur un certain nombre de librairies Go et de cryptographies, mais cela reste un développement interne. Nous intégrons aussi du monitoring et de la détection dans des produits OVHcloud. Nous travaillons avec Splunk que l’on va enrichir et composer avec des briques que l’on développe nous-mêmes pour faciliter les workflows de l’entreprise. Une partie de l’équipe sécurité d’OVH travaille avec les équipes produits pour gérer tout ce qui concerne la conformité, l’alignement à la politique de sécurité, la gestion des plans d’actions dans la durée… Une centaine de correspondants sécurité au sein des équipes produits. C’est un point très important : chez nous, les équipes produits sont responsables de la sécurité de leurs produits. Les équipes internes d’OVH et les correspondants sécurité sont combinées dans un système de management de la sécurité de l’information pour assurer dans la durée le pilotage, la gestion et la stratégie sécurité. Cela représente près de 10 000 plans d’action par an d’un point de vue sécurité.

Aujourd’hui on parle beaucoup de XDR de SASE, de SOAR de zero trust… Où en êtes-vous sur ces sujets ?

Nous avons chez OVH une posture de sécurité un petit peu particulière, car nous ne cherchons pas des outils qui font tout, mais des outils qui font super bien une chose sans trop de fonctionnalités annexes. Nous aimons bien comprendre ce que fait chaque outil et en maitriser le comportement pour qu’il soit le plus déterministe possible pour notre SI. Un exemple, typiquement sur notre SIEM ou sur notre anti-virus, nous allons confiner ces briques là à leur coeur de métier. Nous allons vraiment nous concentrer sur le meilleur de chaque technologie qu’elle soit open source ou propriétaire et s’assurer que les services que l’on utilise sont en maitrise absolue par nos équipes.

Et concernant plus spécifiquement le zero trust ?

Nous faisons du zero trust par design, c’est la manière dont on fonctionne chez OVH. Nous avons toujours eu une sécurité, une gestion des ACL (liste de contrôle d’accès réseau) très fortement basée sur la sécurité au niveau des hôtes dans une logique où l’on ne fait confiance à aucun environnement autour. Cela ne couvre pas 100 % des risques et tous les sujets ne sont pas forcément traités comme cela, mais nous avons toujours besoin d’une confiance extrêmement forte dans nos assets.

Quelle visibilité sur les produits OVH qualifiés SecNumCloud 3.2 dans les mois à venir pouvez-vous donner ?

Cela fait un peu plus de trois ans et demi que nous avons fait certifier Hosted Private Cloud qui fonctionne avec VMware et a été le premier produit à passer la qualification. Il y a un an, nous avons finalisé le projet Bare Metal Pod, sur serveurs privés, et nos équipes ont travaillé pour que cela soit aussi le cas dans le cloud public. Cela concerne Object Storage et Block Storage, mais pour la brique Bare Metal Pod complète nous sommes encore en phase d’audit. Nous espérons obtenir la qualification pour le début d’année prochaine.

La sécurité est importante dans le choix de partenaires cloud pour des entreprises comme EDF et Airbus qui préfèrent encore passer par des cloud américains ou d’autres cloud français comme Bleu et S3NS plutôt que vous. Que comptez-vous faire pour inverser la tendance ?

Notre maturité commence à être reconnue comme vous avez pu le voir ce matin [cet entretien a été réalisé le 20 novembre sur le Summit 2025 d’OVH après la conférence plénière] avec LCH [la chambre de compensation internationale a annoncé migrer certains de ses services vers un environnement qualifié SecNumCloud d’OVH]. Nous sommes à la fois dans le grand public et dans les grandes entreprises et nous travaillons aussi sur des contrats complexes. Nous travaillons avec quasiment tous les plus grosses ESN du marché pour déployer des solutions métiers et sécurité sur nos infrastructures, pour le secteur public et pour de grands acteurs.

Bitdefender : un partenaire cybersécurité de premier plan pour OVH

OVH est client de l’éditeur de sécurité roumain Bitdefender pour son EDR, déployé sur tous ses terminaux bout de réseau, soit 3 500 postes (PC fixes et mobiles) à la fois sur Windows, Linux et Mac. Cela fait plusieurs années que le fournisseur web et cloud consomme le service de son partenaire sur une instance on prem gérée en autonomie complète sur son SI. Pour accompagner l’évolution de son portefeuille de solutions qualifiées SecNumCloud 3.2, OVH a renforcé son partenariat avec Bitdefender en hébergeant sa plateforme de sécurité, d’analyse des risques et de conformité GravityZone dans une instance cloud certifiée SecNumCloud. A noter que cet accord renforce également l’écosystème de partenaires de Bitdefender en permettant aux distributeurs et fournisseurs de services managés (MSP) de proposer GravityZone hébergé dans l’UE sur OVHcloud SecNumCloud et de gérer ces environnements pour le compte de leurs clients.

« Nous avons évalué la plateforme informatique d’OVH pour voir si elle correspondait à nos attentes et nous avons été extrêmement impressionnés par la maturité et l’évolutivité de leur plateforme », nous a expliqué Andrei Florescu, président et general manager de Bitdefender Business Solution Group. « Les aspects liés à la couverture géographique étaient également très importants pour nous et OVH a fait des progrès significatifs en termes d’expansion, de présence de ses centres de données et fait preuve d’une excellente couverture en Europe ».

Andrei Florescu de Bidfender et Julien Levrard OVH

Andrei Florescu (président et general manager de Bitdefender BSG) et Julien Levrad (RSSI d’OVH) réunis dans le cadre de l’OVH Summit 2025 à Paris le 20 novembre. (crédit : DF)