Comment assurer en pratique et au quotidien sa cybersécurité





  • Pour garantir sa cybersécurité, le choix et l’installation de matériels et de logiciels les plus robustes aux cyberattaques n’est pas le seul point à prendre en considération.
  • Les cyberassaillants s’attaquent le plus souvent au maillon faible d’une chaîne globale qu’il faut donc analyser en profondeur afin de la sécuriser .
  • La cybersécurité concerne toute entreprise quelle que soit sa taille et son activité. Des mesures d’ordre organisationnel permettent, selon de nombreux spécialistes, de se protéger de 80 % des risques.
  • La sensibilisation des collaborateurs est primordiale. Elle doit s’accompagner d’autres actions pour garantir la production, protéger les données, sécuriser ses relations clients/fournisseurs, et développer des produits ou services connectés sécurisés.
  • Nul n’est à l’abri des virus, malwares et autres cyberattaques

 
Pour se protéger efficacement des cyberattaques, la sensibilisation de l’ensemble des collaborateurs à la cybersécurité est essentielle. Certains comportements sont à proscrire comme l’utilisation d’une clé USB d’origine inconnue. Les mots de passe et les droits d’accès aux systèmes et aux applications doivent aussi être gérés avec rigueur.

Les usages doivent également être cloisonnés, et il faut s’assurer du respect de certaines règles de sécurité par ses partenaires ainsi que ses prestataires de services numériques.

Pour se prémunir d’une grande partie des risques, il faut avant tout mettre à jour régulièrement les logiciels de tous les matériels. Le paramétrage approprié de certains logiciels est également indispensable au renforcement des systèmes. Il faut ainsi mettre à jour régulièrement les logiciels. Ces mises à jour intègrent des correctifs aux dernières vulnérabilités décelées par leur éditeur.

Le guide  »La cybersécurité et les PME manufacturière »(1) délivre un arsenal complet de mesures organisationnelles et pratiques à mettre en place pour renforcer sa cybersécurité. En voici une synthèse :
 
 
# Sensibiliser les collaborateurs

  • Ce sont souvent les comportements individuels plutôt que les failles logicielles qui sont exploités pour installer des programmes malveillants, dérober des informations confidentielles… La vigilance et la sensibilisation régulière du personnel à certaines règles de base sont donc indispensables.
  • Il est nécessaire d’adapter sa campagne de formation aux différents métiers de l’entreprise et de faire travailler ensemble et de manière décloisonnée les équipes autour des problématiques de sécurité.
  • Il est recommandé de former un ou plusieurs référents internes en cybersécurité, de mettre en place une charte de bonne conduite, de ne jamais faire confiance à un tiers inconnu (ne pas ouvrir les pièces jointes d’expéditeur inconnu), de renouveler fréquemment les identifiants d’accès, d’interdire les installations de logiciels sans autorisation préalable et supprimer toutes les applications inutiles, désactiver ou enlever les comptes par défaut, les ports (USB ou autres) et les supports amovibles inutilisés, les services web non indispensables, etc.
  • Il faut éviter d’employer les outils de supervision de production comme terminaux bureautiques.
  • Il est indispensable de sauvegarder régulièrement données et logiciels sur des supports distincts et de mettre à jour les systèmes d’exploitation et les applications de sécurité.

 
 
# Garantir la production 

  • Les équipements de production connectés ou non sont exposés aux attaques via par exemple la connexion d’une clé USB contaminée. La sécurisation des accès physiques ne suffit plus à s’en prémunir.
  • Il est indispensable de contrôler les accès via des mots de passe personnalisés, et de protéger l’accès physiques et numériques aux stations de développement SCADA, consoles de programmation, automates, terminaux portables…
  • Il est primordial d’établir une cartographie des flux d’informations, de les filtrer au moyen de pare-feu, et de tracer et analyser les échecs de connexion.
  • Il faut séparer les réseaux (bureautique, ateliers, etc.) et les connexions entre les îlots de production.
  • Il faut proscrire les configurations par défaut et les fonctionnalités inutilisées.
  • Les accès à distance, les protocoles et fonctionnalités vulnérables et non sécurisés (serveur Web, NetBios, FTP,…) doivent être désactivés.
  • Seuls les logiciels indispensables doivent être installés.
  • Les outils de développement doivent être écartés des serveurs de production ou des stations opérateurs.
  • Tous les correctifs et les mises à jour logiciels doivent être systématiquement appliqués.

 
 
# Protéger ses données

  • Avec la dématérialisation des documents, la préservation de la confidentialité des données sensibles est essentielle. Les solutions Cloud ouvertes au public sont souvent plus sûres que les développements « maison ».
  • Il convient toutefois d’être vigilant et de choisir le type d’hébergement en tenant compte de son besoin en terme de disponibilité, d’intégrité et de confidentialité.
  • Les documents à archiver doivent être identifiés et leur conditions d’archivage définis selon leur nature. Les données sensibles doivent être cryptées.
  • Le processus de restauration des sauvegardes doit être régulièrement testé. Les sauvegardes doivent être déconnectées du système d’information et effectuées sur plusieurs supports physiques.

 
 
# Sécuriser ses relations

  • Les échanges numériques avec ses fournisseurs et ses sous-traitants constituent une vulnérabilité. Un cyber-attaquant peut parfois plus facilement arriver à ses fins via un sous-traitant moins protégé que l’entreprise cible.
  • Afin de conserver le niveau de sécurité requis, il est nécessaire pour une PME de s’assurer que ses sous-traitants répondent à des exigences de cybersécurité acceptables par rapport à celles qu’elle s’impose.
  • La relation avec les clients est dématérialisée dans de nombreux domaines : échanges financiers, documents contractuels, e-commerce…  Dans ce contexte, les tentatives de fraudes par « ingénierie sociale » s’intensifient. Les collaborateurs peuvent être contactés par un fraudeur se faisant passer pour leur responsable hiérarchique, afin d’exécuter un virement hors des procédures de vérifications usuelles.
  • La dématérialisation des contractualisations requiert notamment des moyens appropriés tels que les signatures électroniques à valeur légale. L’archivage des documents comptables et financiers dématérialisés doit par ailleurs répondre aux normes en vigueur (NF Z 42-013 ou ISO 14641-1).

 
 
# Sécuriser les applications IoT

  • Les objets ou services connectés sont par nature exposés aux cyberattaques. Il faut donc s’assurer de la protection des clients, des tiers et de l’entreprise qui les commercialise.
  • La diversité des protocoles d’échange utilisés complique la sécurisation. Pour le développement d’applications IoT, il est cependant recommandé d’utiliser autant que possible des logiciels et des matériels standards, de prévoir des mécanismes de mise à jour logicielle déployable sur les objets, de limiter les communications au strict nécessaire et d’intégrer des mécanismes de chiffrement adaptés.
  • Il est également possible de faire certifier et auditer la conformité des produits et services par un tiers tel qu’un centre d’évaluation de la sécurité des technologies de l’information (CESTI).
  • L’utilisation de composants de niveau CSPN (Certification de Sécurité de Premier Niveau) réduit également les risques.
  • Enfin, il peut s’avérer nécessaire de mettre en place des dispositifs de contrôle des fournisseurs de systèmes critiques et des sous-traitants qui interviennent dans la fabrication des produits.

 
(1) Le guide  »La cybersécurité et les PME manufacturière » est un document de sensibilisation à la cybersécurité pour les PME. Il a été conçu à partir de l’expérience de terrain des Centres Techniques Industriels (CTI). Les experts de la cybersécurité de l’Alliance Industrie du Futur sont venus l’enrichir.  Ce guide est téléchargeable sur le site Internet de l’Alliance Industrie du Futur.
http://www.industrie-dufutur.org/content/uploads/2018/05/2018_01_15_AIF_Guide-cybersecurite_HD.pdf
 
 






Ban_AR