Avec CAP’TRONIC, NeoTech Assurances a participé à l’élaboration du guide « Cyber-sécurité des produits connectés à destination des PME ».
Dans un monde de réseaux, la sécurisation des systèmes est une activité très stratégique concernant toutes les entreprises peu importe leur taille ou leur secteur d’activités.
Investir dans la Cyber-sécurité est une chose, mais cerner la pertinence des moyens à mettre en oeuvre pour assurer l’efficacité et la pérennité de cette démarche de protection en est une autre.
En effet, la Cyber-sécurité ne se cantonne pas seulement à un investissement qu’il faut rentabiliser et sauvegarder, la Cyber-sécurité il faut la faire vivre dans l’entreprise. Et pour cela, il faut déterminer des actions précises à mettre en place et motiver les ressources humaines pour qu’elles s’emparent ce défi d’avenir.
CAP’TRONIC le sait très bien et le partage avec tous à travers ce guide destiné aux PME mais dont les bonnes pratiques, les préconisations ainsi que les exemples concrets sont destinés à tous.
Cependant, selon Stanislas De Maupeou VP Strategy & Marketing chez Thalès, « la sécurité parfaite n’existe pas » mais créer un maximum de résilience n’est pas un défi inatteignable pour protéger correctement les PME. Pour Rémy Daudigny, directeur du CESTI de Thalès, « définir précisément ce qui doit être protégé, et quels sont les événements à redouter » est une tâche difficile qui peut nécessiter « un accompagnement solide, dès la conception du produit ». Ce que souligne également, et à juste titre, le Major Fabrice Crasnier, commandant de la division analyse criminelle et investigations spécialisées à la section d’appui judiciaire de Toulouse. Ainsi, selon lui un accompagnement par des professionnels qualifiés sur ces sujets est indispensable, au moins autant que de cultiver soi-même sa culture en sécurité des SI.
Par conséquent, la limite des risques Cyber passent par une conception de « la Cyber-sécurité le plus en amont possible dans son projet » nous explique de la sorte Jean-Philippe Malicet, Directeur national du Programme CAP’TRONIC. Il s’agit de la « Cyber-sécurité par design », qui garantit l’intégration des stratégies Cyber-sécurisées dès la phase de conception d’un produit ou d’un système. Il faut de cette manière, pratiquer le cloisonnement et respecter les trois principaux piliers de la Cyber-sécurité que sont la confidentialité, l’intégrité et la disponibilité. Ces principes sont priorisés en fonction de la sensibilité des données à collecter, l’environnement, l’architecture, les risques, etc…et sont régis par des étapes clairement identifiées ; l’authentification, l’autorisation, la traçabilité, la protection des données, le contrôle et la mise à jour des SI.
Obtenir un niveau de sécurisation tel, nécessite des connaissances théoriques et pratiques qui sont dispensées par des formations techniques et pro-actives comme celles de CAP’TRONIC. « Le point le plus faible et qui constitue, bien souvent, le point d’entrée le plus utilisé pour les attaques, reste l’utilisateur », d’où la nécessité absolue d’encapsuler ce risque majeur par la formation, et l’éducation aux pratiques responsables. Les compétences de gestion du risques sont une réelle valeur ajoutée au processus d’authenticité et de confidentialité des données (le caracture des données, et notamment celle des données personnelles, sera suivi de très près par les autorités compétentes dès la mise en vigueur du Règlement Général européen sur la Protection des Données personnelles, le 25 mai 2018 prochain). Ces compétences sont attestées par des certifications, et des normes qui crédibilisent les acteurs et les méthodes de ce marché en constante évolution. Pour le cabinet d’avocats Nemezys, spécialiste des industries technologiques avancées, la certification « sera probablement un passage obligé pour préserver la compétitivité ». Rémy Daudigny ajoute que la certification « permet d’obtenir une reconnaissance étatique ce qui constitue un différenciateur notable sur le marché de la sécurité ».
Maîtriser la Cyber-sécurité n’est pas qu’une affaire de moyens techniques complexes. Certes la cryptologie, la sécurisation des protocoles de communication, de stockage et l’application de règles de codage strictes pour tendre à une programmation sécurisée permettent de minimiser grandement les vulnérabilités. Mais préparer ses équipes avec un plan de réponse aux incidents, une liste d’actions préventives, et les sensibiliser aux tenants et aboutissants de la Cyber-sécurité est essentiel. Pour Jean-François Baillette de G-ECHO, « ces entraînements permettent de mettre tout le monde en situation et d’êtres prêts le jour où un sinistre se produit » et Vincent Strubel, sous-directeur expertise de l’ANSSI explique que « La bonne prise en compte des menaces informatiques peut être une question de survie pour une PME ».
Et avec l’avènement de l’internet des objets connectés (IoT) tous les marchés sont potentiellement impactés par les cyberattaques tant sur les produits de consommation courantes que sur les chaines de production. Symantec le souligne maintes fois dans ces rapports annuels (ISTR) , et insiste sur l’énorme manque de mesures de sécurité dédiées dans l’IoT ainsi que sur l’évidence comme la facilité d’exploitation de ces failles par les Cyber-criminels. Interviewé, Bernard Roussely de Cyberens Technologies & Services, explique « la difficulté avec l’IoT est que certaines mesures de sécurité sont difficiles à mettre en oeuvre dans des produits à faible coût et de capacité limitée » ce qui met en exergue la difficulté de sécuriser l’environnement IoT. Ces objets connectés peuvent malheureusement être le pont vers la base arrière des SI constituant nombre de points d’entrée qui sont autant de failles à maîtriser. De plus, l’IoT se chiffre en milliards dans le monde et ce marché va en s’accroissant à des vitesses folles ce qui à l’avenir peut constituer des vecteurs d’attaque foudroyants et massifs.
Jean-Philippe Malicet, annonce que « la Cyber-sécurité est une science jeune en évolution permanente » ce qui confirme le besoin d’influenceurs, d’éducateurs, et de spécialistes pour maîtriser les risques et diffuser les bonnes pratiques. Ce guide est donc une référence en matière d’approche globale de la Cyber-sécurité.
Concluons cet article sur la très juste affirmation de Gerard Peliks, Président de CyberEdu, « si l’on ne peut complètement éliminer le risque, on peut le réduire… et même l’assurer ».
Par ailleurs, vous trouverez un test pratique pour identifier et scorer votre positionnement sur la Cyber-sécurité à la fin de ce guide.
Pour télécharger ce guide suivez ce lien : http://www.captronic.fr/Sortie-du-guide-Cybersecurite-des-produits-connectes-a-destination-des-PME.html