La cybersécurité en trois étapes

Pourquoi les PME sont-elles régulièrement ciblées par les pirates ? Pourquoi s’en rendent-elles compte souvent trop tard ? Quels sont les risques encourus par les salariés ? Quels bénéfices les entreprises peuvent-elles tirer de la mise en œuvre d’un système de sécurité performant ? Toutes ces questions ont trouvé des réponses dans les quatre premiers articles de la série intitulée « La cybersécurité au sein des petites et moyennes entreprises ». Le cinquième et dernier article porte sur les stratégies à adopter pour les PME, qui ne peuvent généralement pas consacrer des ressources illimitées à la sécurité de l’information. « Il s’agit de déployer des mesures de sécurité globales », conseille Christian Haas, à la tête du laboratoire de formation en cybersécurité au sein de l’Institut de recherche Fraunhofer IOSB à Karlsruhe, en Allemagne. Les PME sont souvent confrontées à un problème d’organisation : la répartition des responsabilités est souvent mal définie, et l’expertise en cybersécurité dans le domaine de la production fait défaut. Pour y remédier, le laboratoire de formation en cybersécurité met les entreprises à l’épreuve en simulant une attaque. L’expérience acquise au sein de ces ateliers leur permet ensuite de mieux sécuriser leur système d’information utilisé pour la production.  

De nombreuses entreprises, inconscientes des dangers qui les guettent, restent passives face à la cybermenace. « Dans l’industrie, la cybersécurité est une véritable épée de Damoclès », prévient Ernst Esslinger, directeur Méthodes/Outils de Homag, une entreprise spécialisée dans la fabrication de machines pour l’usinage de bois à Schopfloch, en Allemagne. Pour répondre aux impératifs de réactivité qui caractérisent le secteur de l’ameublement, les machines de production sont en réseau. Ainsi, lorsqu’un client personnalise une armoire en ligne, les paramètres de production sont directement envoyés aux machines chargées de découper les planches et de percer les trous pour le montage. Mais l’entreprise a encore une marge de progression en matière de sécurité. Ernst Esslinger, ingénieur en construction mécanique, a été coordinateur du programme de recherche IUNO, lancé avec le soutien du ministère allemand de l’Éducation et de la Recherche. Ce programme de recherche en matière de sécurité informatique destiné aux usines du futur (Industrie 4.0) a permis de développer des solutions de sécurité pour répondre aux impératifs de quatre cas d’application précis. Toutefois, le succès ne fut pas au rendez-vous. Les PME estiment généralement ne pas être des proies suffisamment intéressantes pour les cyberpirates et considèrent la mise en œuvre d’un pare-feu suffisante pour assurer leur protection. Ainsi, elles repoussent indéfiniment les mises à jour de sécurité de leurs machines pour éviter des temps d’arrêt dans la production. « Mais l’orage finit toujours par éclater », avertit Ernst Esslinger. 

Comme Christian Haas, chercheur à l’Institut Fraunhofer de recherche en sciences appliquées, Ernst Esslinger a constaté que les entreprises se heurtaient moins à des problèmes techniques qu’à des problèmes organisationnels. Siemens est arrivé à la même conclusion et a décidé d’élaborer, en 2018, une Charte de la confiance (Charter of Trust) avec la collaboration d’entreprises et de partenaires de recherche du monde entier. Le document énonce une série de mesures en trois phases à l’attention des entreprises soucieuses de se protéger contre les cyberattaques. 

La cybersécurité concerne tous les salariés, et les dirigeants d’entreprise en premier lieu. Pourtant, les dirigeants préfèrent généralement déléguer la responsabilité au service informatique plutôt que de faire figurer la cybersécurité au cœur de leurs priorités. La première phase consiste donc à évaluer les risques encourus par l’entreprise. Or le facteur humain est le maillon faible de la cybersécurité. Selon Kaspersky, éditeur de logiciels antivirus, l’erreur humaine est à l’origine de plus de 80 % des incidents de sécurité. Les salariés tombent dans le piège de mails frauduleux ou choisissent des mots de passe trop simples. Seules des formations régulières permettent de remédier à ces failles de sécurité.  « Les sessions de formation permettent de sensibiliser le personnel aux mesures requises par le Règlement général sur la protection des données », souligne Markus Schliess, avocat spécialisé en sécurité informatique à Stuttgart. 

Une fois la menace identifiée, il s’agit pour les PME d’instaurer des mesures concrètes. Elles doivent par exemple vérifier avec attention la protection des données, les règlements en matière de sécurité, la sécurité physique, l’intégrité des données, la gestion des accès et élaborer des plans de formation. Ces mesures figurent aussi dans la Charte de la confiance que Siemens a adoptée dans ses conditions générales d’achat. Les entreprises qui proposent des biens et des services connectés doivent les équiper de systèmes de sécurité informatique. La protection des données dès la conception (security by design) assure le respect de la vie privée à toutes les étapes de la production. Son corollaire, la protection des données par défaut (security by default), implique un traitement des données à caractère personnel selon le niveau de protection le plus élevé. Il faut par exemple éviter les mots de passe trop fréquents comme « 0000 ». 

Quand le travail est bien fait, il faut le faire savoir. Cet axiome s’applique bien évidemment à la cybersécurité. Il ne s’agit pas tant de faire de la publicité que d’attester de la mise en œuvre d’un système de management de la sécurité de l’information performant, conforme aux normes IEC 62443 ou ISO 27001. Les entreprises soucieuses de la cybersécurité ont une vertu d’exemplarité. Avec l’internationalisation des échanges, il convient pour les entreprises d’instaurer un système de cybersécurité efficace : les cyberattaques ne connaissent ni frontières ni barrières. Les mesures de cybersécurité doivent ainsi s’étendre sur l’ensemble de la chaîne logistique, en incluant les prestataires chargés de la maintenance des produits.

Ces trois phases permettent de protéger une entreprise contre une attaque informatique. Cependant, les systèmes de défense ne sont pas éternels : les pirates ne cessent de se perfectionner. La cyberprotection n’est pas un produit dans lequel on investit et que l’on oublie ensuite. Il s’agit davantage d’un processus continu qui nécessite une vigilance de tous les instants. Et c’est précisément cette prudence qui assure la pérennité du système.

Un système de cybersécurité performant est aussi synonyme de changement pour l’entreprise. Il implique la mise en œuvre de nouveaux modèles d’activité. Ainsi, dans le secteur de l’ameublement, le client a la possibilité de personnaliser son meuble. Toutefois, si l’on en croit Ernst Esslinger, de nombreux secteurs ne sont encore qu’aux prémices de cette transformation. « Je n’aurais qu’un conseil à donner : si une entreprise souhaite saisir les opportunités offertes par la digitalisation, la cybersécurité est incontournable. »

Pour découvrir les risques informatiques auxquels les entreprises sont vulnérables et comment s’en protéger — notamment avec l’aide de Siemens — cliquez ici.