La digitalisation en toute sécurité
Petites et moyennes entreprises hésitent parfois à sauter le pas de la digitalisation par peur d’être victimes d’une attaque informatique. Pourtant, cybersécurité rime souvent avec compétitivité.
Le coronavirus a peut-être eu du bon. « Il a accéléré la transition vers la digitalisation, » se réjouit Dorothee Bär, ministre chargée de la transformation numérique en Allemagne. Le constat n’est pourtant guère flatteur : il aura fallu une pandémie pour franchir le cap. Mais mieux vaut tard que jamais. Il faut espérer que les entreprises et l’administration tirent parti de cette digitalisation accélérée une fois la crise sanitaire terminée.
La transition numérique est source d’inquiétude pour certains. L’Office fédéral de la sécurité de l’information (BSI) s’occupe également de virus. Ils ne sont pas dangereux pour la santé, mais rôdent sur Internet et infectent les ordinateurs, les réseaux informatiques et les installations industrielles. Les pirates s’en servent pour voler des données, demander une rançon ou nuire à la réputation des entreprises. Pour l’Office fédéral, la digitalisation ne pourra être bénéfique aux acteurs économiques sans sécurité informatique à la hauteur des enjeux. « Ne pas prendre au sérieux les cyberrisques peut être fatal pour une entreprise », déclare Natalia Oropeza, responsable de la cybersécurité chez Siemens. « Sans protection adaptée, Siemens ne pourra relever les défis des prochaines années. »
Les mesures adéquates en matière de cybersécurité ne sont pas seulement nécessaires : elles constituent un atout pour les entreprises. Les produits et les services sont plus fiables, les clients sont rassurés et l’entreprise gagne en compétitivité. Selon l’Office fédéral de la sécurité de l’information, les investissements en cybersécurité sont synonymes de succès économique, y compris pour les PME.
Convaincre les entreprises
À Nürtingen (Allemagne), Kallfass, constructeur de machines d’emballage sous film plastique thermorétractable, a mis en œuvre une solution de maintenance prévisionnelle. La machine d’emballage émet un signal « 0 » lorsque la matrice de thermosoudage est en position basse, et un signal « 1 » lorsqu’elle est en position haute. « Un pirate est incapable de comprendre de ce que signifient ces états logiques », explique Michael Rempfer, directeur technique chez Kallfass. Seul le logiciel du poste de supervision peut interpréter ces signaux binaires : il indique le nombre de cycles de thermosoudage et donc l’encrassement de la machine afin d’alerter l’opérateur de la nécessité de procéder à un nettoyage. En outre, le transfert des données est unidirectionnel : la machine se contente d’envoyer des informations. Grâce à ce système, Kallfass a réussi à convaincre des clients réticents, qui hésitaient à communiquer des données d’exploitation à des fins de maintenance prévisionnelle par crainte de rendre leur réseau accessible de l’extérieur. Une boulangerie industrielle qui compte parmi les clients de Kallfass peut ainsi désormais anticiper l’approvisionnement en film d’emballage. « On réduit les temps d’arrêt et les coûts », déclare Michael Rempfer.
Tirer les leçons d’une cyberattaque
Pilz sait exactement ce qui peut arriver lorsque l’activité s’arrête brusquement. La société allemande, qui conçoit des équipements d’automatisme pour applications de sécurité (Safety), a été victime d’une cyberattaque en octobre 2019. Après avoir crypté une partie des données grâce à un ransomware, les pirates ont réclamé une rançon à l’entreprise. Pilz n’a pas cédé au chantage et en a informé la police. Dans son malheur, l’entreprise a finalement eu de la chance. « Aucune donnée client ou fournisseur n’a été volée », raconte Thomas Pilz. La plupart des entreprises qui subissent des intrusions informatiques préfèrent le garder pour elles. Pas Thomas Pilz. Il est désormais prêt à parer une cyberattaque. Néanmoins, le chef d’entreprise aurait préféré l’éviter. Il a ensuite raconté son expérience pour encourager les autres sociétés à prendre conscience du risque.
En 2019, Siemens a publié plus de bulletins de sécurité que tous ses concurrents réunis.
La transparence, un avantage concurrentiel
Pour Siemens, la confiance et la transparence sont essentielles en matière de compétitivité. En 2019, l’entreprise a publié 163 bulletins de sécurité (mesures à prendre en cas de failles de sécurité). C’est plus que tous ses concurrents réunis. Pourtant, les logiciels de Siemens n’ont pas plus de failles que les autres. « Toutes les entreprises ont des vulnérabilités, mais chez Siemens, nous sommes extrêmement vigilants et nous nous attachons à trouver des solutions et à informer nos clients en toute transparence pour qu’ils puissent agir en conséquence », explique Klaus Lukas, Responsable Innovations ProductCERT (centre d’alerte et de réponse aux attaques informatiques) chez Siemens.
Des « actes de naissance » pour machines
La confiance constitue également un pilier essentiel lorsqu’il s’agit de connecter des machines et des objets grâce à l’Internet des objets. La machine est-elle vraiment celle à laquelle je veux me connecter ou est-elle victime d’un cyberpirate en quête de données à voler ou à manipuler ? PrimeKey a travaillé de concert avec Siemens pour mettre en œuvre des solutions. L’autorité de certification PrimeKey (Identity Authority Manager) attribue à chaque objet un « acte de naissance » crypté grâce à un système de gestion de clés publiques (Public Key Infrastructure). Pour pouvoir opérer des modifications sur une machine, il faut disposer de la clé correspondante. Ainsi, les opérateurs peuvent s’assurer que la machine appartient bien à leur réseau. « Les utilisateurs peuvent utiliser le certificat pour dresser des inventaires, mettre à jour les logiciels ou faire de la télémaintenance », explique Hendrik Brockhaus, qui travaille au sein de l’équipe Architecture sécurité chez Siemens. « L’autorité de certification (Identity Authority Manager) et l’unité de capture des données (Data Capture Unit, DCU) de Siemens peuvent aider les PME à tirer parti de la digitalisation et à réduire les risques liés aux cyberattaques. »
Transfert de savoir-faire par Siemens
L’équipement technique ne suffit pas : les entreprises ont aussi besoin d’expertise. Or, c’est souvent là que le bât blesse. Elles peuvent néanmoins bénéficier d’une aide extérieure. Siemens déploie en effet un système de cyberdéfense pour son infrastructure, ses produits, ses solutions et ses services. Elle assiste les entreprises industrielles en leur proposant des contrôles de sécurité, des formations en ligne pour les salariés ou encore des services de protection pour appareils Siemens. « Il suffit de quelques mesures ciblées pour réduire sensiblement le risque d’attaques », détaille Natalia Oropeza.
Pour découvrir les risques informatiques auxquels les entreprises sont vulnérables et comment s’en protéger — notamment avec l’aide de Siemens — cliquez ici.
Nous publions une série de cinq articles destinée à informer les PME des risques informatiques auxquelles elles sont exposées et à les sensibiliser sur le rôle prépondérant des salariés dans la lutte contre les cyberattaques. Il s’agit ainsi de permettre aux entreprises de se doter d’une protection informatique à un coût raisonnable et de faire de la cybersécurité une partie intégrante de leur stratégie globale, notamment avec le soutien et l’expertise de Siemens. Un lien renvoie vers chacun des articles de la série.
Partie 1: Marge de progression
Partie 2: Des cibles faciles
Partie 3: L’humain, la faille de la sécurité informatique
Partie 4 : La digitalisation en toute sécurité
Partie 5 : La cybersécurité en 3 étapes
Bernd Müller
Abonnez-vous à la newsletter
Restez à jour à tout moment : ce que vous devez savoir sur la transformation numérique au sein des infrastructures et des industries.
