Page d’accueil Engagement Numérisation Cybersécurité Connaissez-vous vos points faibles numériques ?

Connaissez-vous vos points faibles numériques ?

La cybersécurité est un thème à prendre au sérieux pour les entreprises. Lors de la mise en œuvre concrète dans l’entreprise et vu les défis qui en découlent, des questions surviennent rapidement. De quoi faut-il particulièrement tenir compte dans l’industrie ? Que faire avec le risque restant et qu’est-ce que cela a à voir avec le sport d’équipe ? Les deux experts Levente Dobszay d’Electrosuisse et Christian Borst d’AWK Group SA l’expliquent.

Y a-t-il des défis spécifiques dans le cadre de la cybersécurité industrielle?

La valeur ajoutée des entreprises industrielles dépend beaucoup plus de la « technologie opérationnelle » (OT) que dans d’autres branches. Avec la numérisation progressive, l’IT et l’OT, deux mondes historiquement différents, convergent. Dans le cadre de cette évolution, les exigences en matière de cybersécurité connues de l’IT ont toujours plus d’importance pour l’OT. Mais les conditions-cadres pour ces dernières sont tout autres.

De quelle manière?

Contrairement Ă  l’IT classique dans laquelle le traitement des donnĂ©es est au centre, dans l’OT, les installations et processus industriels sont mesurĂ©s, surveillĂ©s et commandĂ©s. Vu que ces derniers ont avec 10 Ă  40 ans un cycle de vie plus long que les appareils IT, ils ne prĂ©sentent souvent pas un Ă©tat suffisant en matière de sĂ©curitĂ© numĂ©rique. Souvent ils ne peuvent pas ĂŞtre sĂ©curisĂ©s mais sont quand mĂŞme intĂ©grĂ©s dans le rĂ©seau de l’entreprise. 

Étant donnĂ© les points faibles, les menaces et les possibilitĂ©s de protection spĂ©cifiques, les mesures de sĂ©curitĂ© diffèrent dans certains domaines considĂ©rablement de la sĂ©curitĂ© IT.  Pour ce faire, il faut le savoir-faire correspondant.

Ça a l’air très exigeant. Comment garantir quand même la cybersécurité dans les entreprises industrielles?

C'est en effet le cas. De nombreuses PME savent entre-temps qu’elles doivent entreprendre quelque chose en matière de sĂ©curitĂ©, mais ne savent pas exactement comment elles doivent procĂ©der.  Vu les connaissances nĂ©cessaires, il est difficile pour elles de relever ces dĂ©fis entièrement seules.  Ă€ ce niveau, il peut ĂŞtre recommandĂ© de faire appel Ă  des partenaires externes. Par exemple, pour les mesures importantes pour atteindre le niveau de sĂ©curitĂ© souhaitĂ©. C’est notamment le cas pour l’exploitation propre de l’infrastructure informatique y compris les applications et la surveillance pour dĂ©tecter les anomalies.

Le choix du partenaire adĂ©quat est toujours individuel et le soutien externe d’un conseiller indĂ©pendant ainsi que l’échange en rĂ©seau peuvent permettre d’arriver au but.  Par ailleurs, la cybersĂ©curitĂ© ne peut pas ĂŞtre simplement dĂ©lĂ©guĂ©e. Elle reste toujours une tâche de l’ensemble de l'entreprise. 

Qui de l’entreprise doit s’occuper de la cybersécurité?

La responsabilité principale incombe à la direction qui doit faire en sorte que tous les devoirs de diligence en matière de cybersécurité sont remplis et que les risques numériques sont réduits à un niveau supportable pour l’entreprise. Pour ce faire, elle doit mettre suffisamment de ressources financières et personnelles à disposition et déléguer les mandats correspondants. Finalement, le thème concerne toutes les personnes de l’entreprise : chaque collaborateur doit dans son entourage contribuer à la sécurité et à la résilience globale grâce à un comportement adapté.

Comment faut-il se le représenter?

La cybersécurité est comme un sport d’équipe dans lequel on ne peut gagner qu’ensemble. Raison pour laquelle les collaborateurs doivent être formés et l’occasion d’améliorer continuellement ses compétences numériques doit être donnée. La culture d’entreprise joue un rôle décisif lorsqu’il s’agit par exemple de se faire prendre par des attaques de « social engineering ».

Y a-t-il des points faibles typiques dans les entreprises industrielles?

Au niveau des chaĂ®nons faibles, les entreprises industrielles se distinguent peu des autres branches.  En plus du moyen de communication numĂ©ro 1 que sont les mails, il y a aussi l'accès aux applications et systèmes de l’entreprise. Ă€ nommer ici en particulier dans le domaine du parc de machines l’accès Ă  distance du support technique. Mais l’accès local au parc de machines avec des appareils tiers (par ex. laptops des partenaires du support, rĂ©pertoires des donnĂ©es USB, etc.) est aussi un point faible. C’est pourquoi il est très important : en plus des fournisseurs, les entreprises partenaires doivent aussi ĂŞtre intĂ©grĂ©es dans les analyses de sĂ©curitĂ©. 

Est-il possible d’écarter tous les risques dans les systèmes complexes?

Non, indĂ©pendamment de la complexitĂ© du système, il n’est jamais entièrement possible d’écarter tous les risques. Il est dĂ©terminant de connaĂ®tre les risques, de les Ă©valuer correctement et, dans le cadre des possibilitĂ©s, de prendre les mesures les plus efficaces et efficientes pour les rĂ©duire.  Certains risques peuvent ĂŞtre Ă©galement transfĂ©rĂ©s Ă  une cyberassurance.

Une bonne préparation à une cyberattaque potentielle en gardant à l’esprit le risque restant est déterminant pour la surmonter sans grand dommage.

Qu’est-ce que cela signifie exactement?

Plus on dĂ©couvre un incident rapidement, plus on peut rĂ©agir rapidement et de manière ciblĂ©e.  IdĂ©alement, une entreprise peut se baser sur des processus d’urgence rodĂ©s, ce qui lui permet d’informer rapidement et de manière transparente tant les personnes internes qu’externes. L’important, c’est de garder la tĂŞte froide et de ne pas prendre de dĂ©cisions Ă  la hâte ou attendre que le problème se règle de lui-mĂŞme.

Nous recommandons de demander le soutien de partenaires qui ont de l’expérience avec de tels incidents ! Le recours à des spécialistes expérimentés devrait aussi être réglé dans la préparation et faire partie de la gestion d’urgence.

Que conseillez-vous aux entreprises qui souhaitent améliorer la cybersécurité dans leur entreprise?

Il y a des petites choses simples que les entreprises peuvent faire pour peu de dépenses en comparaison. Ce sont par exemple des mesures de sécurité telles que DMARC, DKIM et SPF pour les e-mails, des filtres DNS, l’authentification à 2 facteurs, la limitation des droits d'accès à l’essentiel et l’activation des security patches disponibles. Le bon fonctionnement de la sécurité des données est bien évidemment aussi essentiel.

Trois conseils pour les entreprises

  1. Protégez vos identités numériques.
  2. Actualisez régulièrement vos applications, systèmes et processus, en particulier ceux en lien avec le monde extérieur, canaux de communication compris (par ex. e-mail, instant messaging, etc.).
  3. Établissez une culture d’entreprise moderne et entraînez régulièrement votre organisation.

L'interview a été menée par Gabriela Schreiber, Swissmem.

Cet article vaut-il la peine d'ĂŞtre lu?

Nos services Ă  propos de ce sujet

Financement pour PME

Swissmem entretient des contacts bien Ă©tablis avec des banques.

En savoir plus

Legal Tech Toolbox

La numérisation s’accompagne de nouveaux défis juridiques. Notre outil vous permet de réaliser une…

En savoir plus

Bref conseil Technique

Avec la complexité technologique croissante dans la production, l’accès à un savoir externe gagne en…

En savoir plus

Numérisation

L’initiative « Industrie 2025 » fait progresser le thème Industrie 4.0 en Suisse et soutient les…

En savoir plus

DĂ©veloppement du personnel et de l'organisation

Le développement du personnel et de l'organisation sont des sujets étroitement liés. C'est pourquoi…

En savoir plus

Ces articles peuvent vous intéresser

Dernière mise à jour: 07.06.2022