1. Un changement de paradigme est en cours

Nous devenons tous de plus en plus exigeants. Nous recevons ce que nous voulons quand nous le voulons et où nous le voulons. Un vêtement commandé le matin dans un magasin en ligne est livré le jour même à la maison depuis l’étranger ; si nécessaire, la livraison peut être réacheminée réacheminée en tout temps vers une nouvelle destination et effectuée à un autre moment. La commodité entraîne des améliorations : par exemple, cela fait déjà deux décennies que les banques permettent d’effectuer des opérations de guichets à tout moment en étant confortablement installé chez soi. Une banque ne proposant pas de service de E-banking est devenue tout simplement impensable.

Un service administratif se trouve dans la même situation qu’un institut bancaire. Les deux fournissent des prestations de base pour l’ensemble de la population. Beaucoup de gens préfèrent régler leurs affaires courantes à n’importe quel moment de la journée ou de la nuit plutôt que de se rendre à un guichet.

Ce changement de paradigme est en cours : l’administration publique est un prestataire de services qui se réinvente. Le mot d’ordre est Digital First. Toutes les personnes en contact avec l’administration publique sont dès lors considérées comme des client·e·s. Elles souhaitent pouvoir déposer leur requête simplement et à tout moment, quel que soit le service administratif compétent et la nécessité éventuelle de coordonner le travail avec d’autres services pour leur traitement.

D’un point de vue symbolique, on peut affirmer que ce ne sont plus les client·e·s qui font la queue à l’administration, mais l’inverse. Pourquoi une cliente devrait-elle démarrer un processus elle-même ? L’administration peut lancer automatiquement des processus sans demande préalable pour les client·e·s à partir des données existantes. Le partage et l’utilisation intelligente des données sont donc un élément essentiel de l’administration du futur.

Télécharger l’article en entier

Source: AWK Group, Auteurs: Dominik Bischoff, Thomas Kathriner, Andreas Meier, Claire Solari

Berne, 11.12.2020 – Les services en nuage sont un élément important de la transformation numérique de l’administration fédérale pour le développement des infrastructures nécessaires. Ils permettent de mettre en œuvre de manière plus rapide et agile les projets innovants de l’administration, afin que celle-ci puisse proposer des services efficaces aux citoyens, aux entreprises, au domaine de la formation, aux milieux scientifiques et aux autorités. Lors de sa séance du 11 décembre 2020, le Conseil fédéral a adopté la stratégie d’informatique en nuage de l’administration fédérale, posant ainsi les bases de l’utilisation des services en nuage.

La transformation numérique de l’administration fédérale est l’une des priorités du Conseil fédéral. Le développement des infrastructures numériques et donc aussi l’utilisation des services en nuage sont des piliers importants à cet effet. Les services en nuage offrent la possibilité de mettre en œuvre de manière plus rapide et agile les projets innovants de l’administration, pour que celle-ci puisse proposer des services efficaces. Les infrastructures numériques de l’administration fédérale comprennent non seulement des nuages publics, mais aussi des nuages privés des fournisseurs de prestations internes et d’autres services d’infrastructure fournis à partir des centres de calcul internes.

Source: Confédération Suisse, plus d’information…

Télécharger le document officiel “Stratégie d’informatique en nuage de l’administration fédérale”

Hôpitaux, entreprises, collectivités locales… personne ne semble épargné par les rançongiciels, ces programmes informatiques malveillants dont les dégâts considérables inquiètent les autorités. Explications en podcast avec Martin Untersinger, journaliste au “Monde” spécialiste de la sécurité informatique.

Le 9 février 2021, l’hôpital de Dax, dans les Landes, se retrouve partiellement paralysé par un rançongiciel. Dans la nuit, ce programme a verrouillé toute l’infrastructure informatique de l’établissement. Les ordinateurs et les téléphones ne répondent plus, des appareils sont inutilisables, et les employés contraints de revenir en urgence au papier et au crayon. Deux mois plus tard, la situation est encore loin d’être revenue à la normale.

Les hôpitaux ne sont pas les seules victimes des pirates informatiques qui déploient ces rançongiciels. Des collectivités locales sont touchées, mais aussi des entreprises, avec des dégâts se chiffrant en millions d’euros. La menace, grandissante, inquiète les autorités, qui cherchent à mettre hors d’état de nuire les groupes à l’origine de ces attaques.

Podcast “L’heure du Monde” – le Monde 13.04.2021

CybelAngel Analyst Team detected medical devices leaking more than 45 million unique imaging files on unprotected connected storage devices with ties to hospitals and medical centers worldwide.

In most cases, the identified leaking device was a Network Attached Storage (NAS). NAS are inexpensive storage solutions used by individuals and small companies, as opposed to renting a dedicated server or a virtual cloud server which comes at higher fees. However, these other options are not a guarantee of data leak protection.

CybelAngel’s research also led analysts to a website advertising a (paid) service to securely host and manage DICOM images online. The irony is the server hosting the website is unprotected on NFS (Network File System, port 2049), thus leaking all its data — more than 500,000 unique files each and every day

Download full article here

Cloud services are frequently associated with digital transformation and innovation; however, these services also expand cyber attack surfaces for threat actors to exploit. According to Oracle’s 2020: Top Ten Cloud Predictions, 7 out of 10 organizations will keep business-critical data in the cloud. While moving to cloud apps can maximize flexibility and reduce cost; these apps can also expose organizations to increased digital risk.

The rapid rise in connected storage leaks is fueling the underground economy with a flow of new data that can be used for malicious attacks, such as: spamming and phishing, credential stuffing attacks, social engineering, and business email compromise. The critical question is, “What is the business cost when some, or all, of that data is leaked?”

Download to learn more about the:

– Digital risks of unprotected cloud databases

– Major drivers and sources of cloud data leaks

– How to detect and secure leaking data before it becomes a breach

Download full article here

Il y a presque 50 ans, Roy Tomlinson envoyait le premier email de l’histoire ; aujourd’hui, les emails sont devenus un outil omniprésent pour les communications, tant privées que professionnelles. L’ubiquité des emails en fait leur force, mais les rend aussi l’instrument de piratage le plus exploité par les hackeurs.

Aujourd’hui, 92% des cyber-incidents répertoriés impliquent un email. Avec une augmentation annuelle des cyber-attaques par email de 103% et plus de 12 milliards de dollars volés chaque année, tant les entreprises que les privés doivent correctement comprendre les différentes menaces et vecteurs d’attaque afin de mettre en place une défense adéquate et efficace.

Les escroqueries souvent très maladroites du début des années 2000, provenant de soi-disant princes nigériens, ont été remplacées par des fraudes plus professionnelles, ciblées et efficaces. On y voit notamment le vol d’accès aux comptes, le phishing, les escroqueries romantiques, les fraudes au président, le déploiement de logiciels malveillants et l’interception de contenus sensibles.

Le 30 avril 2015, un exécutif de Mattel recevait un email du nouveau CEO lui demandant de valider un transfert de $3 millions dans une banque chinoise en faveur de l’un des leurs fournisseurs. La requête semblait tout à fait légitime vu le nombre de transactions faites avec la Chine et le cadre en question avait toutes les autorisations pour valider et exécuter le transfert. Quelques heures après avoir suivi l‘instruction, il confirmait le transfert au CEO, mais ce dernier n’était au courant de rien. Il s’est avéré que le hackeur ayant usurpé l’identité du CEO avait bien investigué la compagnie afin de correctement imiter une instruction et l’envoyer à la bonne personne, au bon moment.

Cet exemple, parmi tant d’autres, illustre les dangers liés à l’utilisation des emails. Bien qu’il existe nombreux outils technologiques permettant de bloquer des attaques par email, un grand nombre d’emails malveillants ne peuvent être détectés que par des humains. Ci-dessous, nous parcourons les différents types d’attaques ainsi que les moyens pour se défendre.

Vol de compte email

Les boites email ne sont généralement protégées que par un mot de passe et, possiblement, un deuxième facteur. Lorsqu’un hackeur arrive à déjouer ces protections, il peut accéder au compte de sa victime et agir en son nom afin mener des attaques sur sa vie digitale. Nous parlons de « Email Account Compromise » (EAC) ou de « Business Email Compromise » (BEC).

Les criminels utilisent principalement trois méthodes afin de pirater un compte email. Premièrement, le vol du mot de passe : soit en créant un faux site web pour leurrer la victime à entrer son mot de passe, soit en infectant l’ordinateur de la victime afin de récupérer les mots de passe enregistrés. Deuxièmement, lorsque le même mot de passe est utilisé sur plusieurs services internet et l’un d’entre eux se fait pirater, le hackeur peut récupérer un mot de passe et l’utiliser pour s’authentifier sur d’autres plateformes ; c’est pour cela qu’il est essentiel d’avoir des mots de passe à usage unique. Finalement, si la victime utilise un mot de passe faible ou facilement devinable, il devient aisé pour le hackeur de pirater son compte.

L’attaque la plus fréquente, lorsqu’un hackeur prend le contrôle d’une boite email, est de l’utiliser pour approcher les contacts de la victime. Il peut lancer une attaque très basique, telle une demande d’argent urgente, ou infecter les cibles avec un malware. Alternativement, il peut analyser de près, parfois même en utilisant des algorithmes d’intelligence artificielle, les interlocuteurs fréquents et de confiance afin de monter une attaque les visant spécifiquement. En 2018, nous avons investigué le cas d’une petite fiduciaire genevoise où les hackeurs ont attendu plus de 6 mois, en lisant patiemment les échanges d’email, afin de choisir le moment optimal pour mener une attaque leur permettant de voler 2,3 millions de Francs suisses. Généralement, ces hackeurs maitrisent parfaitement les fonctionnalités des boites email : ils arrivent à maintenir une persistance même après que le mot de passe soit changé ; ils analysent le temps de réponse moyen dans les échanges ainsi que les interlocuteurs réguliers ; aussi, ils peuvent automatiquement effacer les emails d’intérêt puis les exfiltrer vers une autre boite email afin que le propriétaire de la boite email ne soit pas conscient des communications.

Les boites email sont régulièrement considérées comme une mine d’or pour les hackeurs. La grande majorité de notre vie en ligne, telle que les sites d’e-commerces, les réseaux sociaux, les abonnements en ligne, etc. sont tous liés à notre boite email. Lorsqu’un criminel y a accès, implicitement il récupère un accès à tous les comptes qui y sont liés. Ainsi, il suffit au hackeur de cliquer sur le bouton « oublié mon mot de passe » sur un site web pour qu’un email soit envoyé à l’adresse du compte, lui permettant ainsi de créer un nouveau mot de passe et finalement récupérer un accès au compte en question. Sur des sites de e-commerces comme eBay, Amazon, Galaxus, leshop, et coop.ch ils peuvent abuser de la carte de crédit enregistrée ; sur les sites de réseaux sociaux comme Facebook, LinkedIn, Instagram et TikTok ils peuvent faire des publications malveillantes vers des sites frauduleux ou dangereux ; sur les plateformes utilisées dans la vie professionnelle ou civile, ils peuvent détourner de l’argent ou même voler une identité.

Usurpation d’identité et typosquatting

Un email est, à de nombreux égards, très semblable à un courrier papier classique, notamment par rapport à l’adresse de l’expéditeur. Comme dans le monde réel, dans un email il est possible d’inscrire une adresse d’expédition de son choix. En théorie, rien ne m’empêcherait d’envoyer un email ayant l’adresse de provenance elon@tesla.com; il appartient au propriétaire du domaine tesla.com de configurer des restrictions et au destinataire de l’email de les vérifier, afin de s’assurer que l’expéditeur soit légitime. Pour protéger son nom de domaine contre ce genre d’attaque, il existe 3 standards qui fonctionnent conjointement : le Sender Policy Framework (SPF), le Domain Keys Identified Mail (DKIM) et le Domain-based Message Authentication, Reporting and Conformance (DMARC). Toutefois, afin de pouvoir jouir de cette protection, il faut correctement les configurer, ce qui n’est que très rarement fait, principalement dû à la difficulté d’un paramétrage correct. En Suisse, moins de 5% des banques ont correctement mis en place ces standards, bien que leur utilisation soit en phase de devenir obligatoire dans d’autres pays.

Ainsi, même sans hacker un compte email, un pirate peut abuser d’une identité en ligne si les précautions adéquates n’ont pas été prises. La compagnie d’assurance américaine Aetna, qui n’a eu aucune boite email interne corrompue, a constaté que 60 millions d’emails frauduleux prétendant venir de la compagnie ont été envoyés à leurs assurés ; grâce à leur configuration correcte du SPF, DMRAC et DKIM, aucun de ces emails n’est parvenu jusqu’à la boite aux lettres électronique des destinataires.

Lorsque les services de protection email sont bien configurés, les hackeurs se rabattent sur un autre type de piratage : le typosquatting. L’attaque consiste à acheter un domaine très similaire à celui de la victime : si le nom de domaine est entreprisesuisse.com un criminel pourrait acheter entreprisesuisse.ch ou entreprisessuisse.com, etc. En achetant un de ces noms de domaine, il pourra envoyer et recevoir des emails et tenter de tromper le destinataire en prétendant être une entreprise légitime.

En début d’année, une ONG genevoise nous a contactés à la suite d’un incident où l’un de leurs membres avait payé une facture à un compte bancaire frauduleux. À la fin de l’enquête, il s’est avéré que les hackeurs s’étaient procuré la liste des membres et une copie d’une facture authentique. Ils ont ensuite acheté un nom de domaine très similaire afin de renvoyer aux membres des factures avec des nouvelles coordonnées bancaires.

Auparavant focalisés sur les grandes entreprises, disposant d’un arsenal d’armes pour répondre rapidement aux menaces d’usurpation d’identité, les hackeurs ciblent désormais, avec ces techniques, les PME, qui sont peu préparées à faire face aux attaques, tant sur le plan technologique que financier.

Phishing et spear-phishing

Le phishing est une attaque d’ingénierie sociale ayant le but de convaincre le destinataire d’un email que l’expéditeur est digne de confiance. Ainsi, la victime leurrée consentira à exécuter une action qui pourra la compromettre. Les démarches les plus communes sont la transmission d’informations personnelles, l’envoi de mots de passe, la divulgation des numéros de carte de crédit et l’exécution de transferts. Ce type d’email vise quotidiennement nos boites aux lettres électroniques et est généralement bloqué par l’antispam (Email Security Gateway). Toutefois, les criminels testent et perfectionnent leurs emails d’attaque sur des plateformes comme Office 365 et Gmail afin de s’assurer qu’ils pourront passer entre les mailles du filet. Pour ce faire, les hackeurs inventent régulièrement de nouvelles techniques d’évasion telles que l’insertion de caractères spéciaux, l’utilisation de polices d’écriture non conventionnelles, l’affichage d’images pour remplacer du texte, etc. Néanmoins, la substance d’un email de phishing n’est généralement pas très élaborée et est souvent reconnaissable par son contenu générique (sans le nom du destinataire), des éléments alarmants (un billet d’avion qui va être annulé), une action demandant des informations sensibles ou financières (remplir un formulaire avec carte de crédit et mot de passe) et une notion d’urgence (dans un délai de 12 heures).

Le principe du phishing est de capitaliser sur la masse. L’email doit être envoyé à des millions de destinataires sans être bloqué par l’antispam. Malgré le texte très générique de l’email, il pourra correspondre à la réalité de certains des destinataires (comme une personne venant d’acheter un billet d’avion, en reprenant l’exemple au-dessus). On estime que 0.01% des phishings envoyés sont traités par la victime. Par exemple, dans un exercice de simulations de phishing avec les 13’000 employés d’une banque, une des campagnes consistait à envoyer un message indiquant que la carte de crédit du destinataire était volée, en précisant les 4 derniers numéros (choisis aléatoirement pour l’exercice). Malheureusement, un employé dans la banque ayant une carte finissant par ces numéros, s’est empressé de bloquer sa carte…

Les spear-phishing sont, quant à eux, plus sournois que les emails de phishing, car ils sont ciblés vers une personne spécifique. L’email malveillant prétendra provenir d’un service que la victime utilise réellement, incluant son vrai nom, des informations personnelles et une histoire très plausible. Ces emails sont beaucoup plus difficiles à reconnaitre, car ils sont personnalisés et envoyés à un moment stratégique. Les hackeurs prennent le temps d’effectuer une « enquête » et utilisent des informations publiques venant, par exemple, des réseaux sociaux ou des données volées dans des brèches afin de créer un email extrêmement réaliste. Bien que moins de 1% des attaques par email soient des spear-phishing, ils causent plus de 80% des pertes financières liées à des emails malveillants. Le groupe de hackeurs FIN7, par exemple, a dérobé plus de 100 banques et institutions financières en volant au total plus de 1 milliard d’euros à travers l’Europe grâce à des emails de spear-phishing.

Malware

Les emails sont également très souvent utilisés comme vecteur pour infecter l’ordinateur de la victime. En utilisant les méthodes décrites ci-dessus, le hackeur va convaincre l’utilisateur d’ouvrir une pièce jointe ou d’effectuer un téléchargement. Un document Word, un PDF ou un lien vers Google Drive peuvent suffire pour contaminer un ordinateur, voire toute une entreprise. Les documents que nous recevons par email ont la capacité d’exécuter du code et de communiquer avec l’extérieur. Les hackeurs utilisent ces fonctionnalités pour installer des ransomware, exfiltrer des données et compromettre les systèmes. La majorité des boites email ne bloquent qu’une fraction des pièces jointes potentiellement dangereuses ; les hackeurs contournent souvent les protections en hébergeant les documents sur des sites de partages communément utilisés tels que Dropbox, OneDrive, WeTransfer, etc. Une fois l’email reçu, il suffit d’un téléchargement ou d’une brève ouverture d’une pièce jointe malveillante pour qu’un système puisse être corrompu, sans qu’il n’y ait une notification inhabituelle ou un message d’alerte.

Ces attaques ne se limitent pas aux PC. Des pièces jointes malveillantes peuvent tout aussi bien infecter un Mac, iPhone, iPad, Android, etc.

Le groupe de cyber-mercenaires DeathStalker, qui a été identifié cet été, vise des établissements financiers et des études d’avocats, entre autres en Suisse, avec des emails contenant une pièce jointe malveillante leur permettant de prendre un contrôle complet de l’ordinateur cible sans que la victime ne s’en rende compte. Ce groupe de hackeurs est très particulier, car il ne demande pas de rançon ni ne vole de l’argent ; ainsi les victimes peuvent rester des mois, voire des années, infectées par l’attaque sans s’en apercevoir.

Escroquerie

Si un hackeur n’essaie pas de soutirer des informations ni d’infecter un ordinateur, il tentera probablement une escroquerie. Ces attaques visent autant les entreprises que les privés et sont souvent très bien construites et ciblées. Ils trouveront une personne déprimée sur Facebook pour se présenter comme un conjoint potentiel ; un chômeur sur LinkedIn sera utilisé dans une opération de blanchiment d’argent ; on proposera à une startup des grandes opportunités de croissance ; un retraité se fera séduire par un montage financier assurant son patrimoine ; une entreprise recevra une facture urgente, etc.. Toutes ces actions ont comme but de voler de l’argent. Nombre de ces escroqueries commencent sur les réseaux sociaux ou par téléphone ; les criminels essaient ensuite de se rabattre rapidement sur la technologie des emails, leur permettant plus de latitude dans leurs actions et moins de contrôle venant des plateformes.

Alors, comment se protéger ?

En sécurité il faut toujours avoir une approche technologique, organisationnelle et humaine afin de pouvoir se protéger, détecter et répondre à une attaque.

Des bons mots de passe, l’authentification forte et le monitoring constant de l’activité sur une boite email permettent de se prémunir efficacement contre le vol d’un compte.

Une configuration correcte des DNS, le blocage des noms de domaines semblables et la supervision des activités autour de tous les domaines internet de la compagnie, peuvent empêcher les usurpations d’identité. Il est aussi possible de mettre en place une alerte lorsqu’un expéditeur externe possède un nom similaire à celui d’un collaborateur ou lorsque c’est la première fois qu’un interlocuteur vous contacte.

Votre antispam doit bloquer les extensions malveillantes, exécuter dans une sandbox les pièces jointes, désamorcer les contenus exécutables et analyser tous les liens dans un email pour prévenir des infections et le vol d’informations sensibles.

Finalement, les employés doivent être sensibilisés afin de pouvoir repérer un email de phishing ou une escroquerie. Plusieurs fois par année, ils doivent être testés sur leurs capacités de reconnaissance de emails suspects. En cas de doute, il est toujours préférable de contacter l’expéditeur via un autre moyen que l’email, afin de valider la véracité de l’échange.

Il n’existe aujourd’hui pas de solution unique pouvant correctement lutter contre l’ampleur et la variété des attaques par email ; une combinaison de procédures préétablies, d’outils technologiques correctement configurés et d’utilisateurs avertis peut assurer à une entreprise de ne pas être la prochaine victime.

Steven Meyer, ZENDATA

Retrouvez l’article original sur le site de ZENDATA

Avec la numérisation galopante de la société qui modifie nos modes de consommation, de partage, de travail et d’échanges, la notion de confiance numérique est sur toutes les lèvres. L’arc lémanique se profile dans ce domaine. Mais dans quel but et à quelle fin? Derrière les effets d’annonce et le vernis communicationnel, les initiatives suisses oublient deux acteurs centraux: les citoyens et les PME.

Depuis dix-huit mois, l’ «Economy of Trust» (économie de la confiance) tient le devant de la scène. Avec la numérisation galopante de la société qui modifie nos modes de consommation, de partage, de travail et d’échanges, la notion de confiance numérique est sur toutes les lèvres. Celles des politiques, des dirigeant.e.s d’entreprises technologiques, des ONG, de l’administration ou encore des expert.e.s tous azimuts de la transformation numérique. Pourquoi ce soudain engouement alors que les dérives de notre société numérique sont dénoncées depuis belle lurette? Est-ce là le signe que la confiance est rompue?

Les explications sont multiples. La confiance numérique, c’est d’abord l’aveu d’un problème. Face à des applications toujours plus curieuses, face à la démultiplication des scandales de vols de données, et face à la robolution grandissante de la société, la confiance conférée aux entreprises et aux services à qui nous déléguons une part croissante de nos quotidiens d’hommes et de femmes connectés est mise à mal. C’est ensuite le constat d’un paradoxe: comment accompagner cette évolution technologique inéluctable, à la fois protectrice de la sphère privée des citoyen.ne.s et garante de la démocratie, face à des outils toujours plus gourmands en données personnelles afin de nous proposer des services performants?

Une «Valley» de plus

Loin de la naïveté des débuts d’Internet, la confiance numérique accapare aujourd’hui le débat. Mais à quelle fin et de quel niveau de confiance avons-nous besoin pour avancer sereinement dans cette société numérique? La discussion est ouverte et se matérialise sur l’arc lémanique. En automne 2019, Genève a inauguré la Swiss Digital Initiative (SDI). Une fondation qui réunit le gotha de la tech et qui vise à développer des lignes de conduite, des outils et des mécanismes pour la mise en place de standards éthiques dans le monde numérique. Tout un programme sous le haut patronage de la Confédération, mais pour répondre à quels défis concrets? Ces derniers restent encore… à définir.

La Swiss Digital Initiative s’adresse en grande partie aux entreprises suisses qui jouissent d’une présence mondiale. Parmi les participants, on retrouve ainsi Adecco, Ringier, Siemens, les deux EPF suisses, Facebook, Kudelski, Swisscom, l’Université de Genève, les Nations Unies… Tous ces participants ont la lourde tâche de développer des principes éthiques applicables au monde numérique afin de renforcer la confiance de la société civile dans les nouvelles technologies et les nouvelles pratiques.

Après la Silicon, la Health ou la Crypto, l’économie numérique accouche d’une Trust Valley. Le 8 octobre dernier, les cantons de Vaud et Genève ont en effet inauguré cette «Vallée de la confiance» afin de promouvoir l’excellence scientifique et économique de l’arc lémanique dans le domaine de la cybersécurité et de la confiance numérique. Au sein de cette alliance public-privé, nous retrouvons peu ou prou les mêmes acteurs que dans la SDI, ainsi que Sicpa. A mesure que le cash disparaît, le leader des encres pour billets de banque saute à pieds joints dans le marché de la confiance numérique.

Vallée de la confiance ou usine à gaz?

La naissance de cette énième «Valley» divise. De même que ses buts et ses missions. S’agit-il d’une alliance multipartite inédite dont la vocation est de construire collectivement une société numérique résiliente et participative? Ou s’agit-il d’un opportunisme économique visant à positionner l’arc lémanique – et plus largement la Suisse – sur un marché prometteur? Un peu des deux? A ce stade, la confiance numérique est un mot-valise qui recouvre des domaines, des secteurs et des griefs très divers, tels que la collecte des données personnelles et leur exploitation par l’intelligence artificielle, l’e-administration, l’automatisation, la cybercriminalité, les «fake news» en passant par les problèmes éthiques…

Pourquoi ce soudain engouement? Les chiffres le rappellent. Selon la Trust Valley, le marché mondial du numérique pèse aujourd’hui 19 milliards de francs suisses. Cela représente 4.54 milliards d’internautes sur la planète, soit 60% de taux de pénétration. Mais également plus de 8 milliards d’objets connectés, dont le marché mondial avoisine les 383 milliards de francs suisses. Cette croissance s’accompagne d’une hausse des cyber attaques. Au niveau mondial, celles-ci représentent 6 milliards de francs suisses. Toujours selon les statistiques de la Trust Valley, deux tiers des internautes sont préoccupés de la façon dont les entreprises utilisent leurs données. On comprend mieux les appétits de la région lémanique qui compte bien jouer les pionnières en fédérant les quelques 300 entreprises actives dans la confiance numérique, et ses 500 experts.

Aussi louable soit-elle, ces initiatives divisent donc jusque dans les rangs des expert.e.s. Certain.e.s lui reprochent une approche mercantile. D’autres, une vision élitiste de la problématique. En effet, deux grands acteurs brillent par leur absence autour de la table de discussions: les citoyens et les PME suisses. Ces dernières représentent tout de même 90% du tissu économique suisse. Parmi les chef.fe.s d’entreprise, ce faux-pas suscite un certain agacement. A l’instar d’Aline Isoz. L’entrepreneure vaudoise spécialisée dans la transformation numérique des entreprises est la fondatrice de Blackswan et administratrice indépendante de plusieurs sociétés.

L’accaparement d’une démarche

Aline Isoz reste dubitative face aux effets d’annonce de la SDI et de la Trust Valley: «J’ai toujours eu un positionnement orienté sur les PME. En observant ces deux initiatives, je constate que les PME représentant la majeure partie du tissu économique sont les grandes absentes», explique-t-elle. L’entrepreneure jouit également d’un passé dans la communication et le marketing: «Les leviers de communication me sont familiers. De mon point de vue, nous nous retrouvons aujourd’hui davantage dans des ressorts marketing que dans une réelle volonté d’inscrire la région lémanique comme un pôle d’expertises dans la confiance numérique. »

L’experte critique entre autre l’accaparement, par des  grands acteurs suisses , d’un domaine très hétérogène et dont, justement, l’hégémonie de certains provoquent une crise de confiance, et la confiscation d’un « label intangible» : «Ces grands acteurs ne sont pas toujours les plus respectueux des principes qu’ils défendent. C’est une bonne chose de vouloir aider les start-up. Mais cela n’empêche pas de valoriser les PME également». Aline Isoz ajoute: «J’assiste davantage à la création d’un super modèle d’affaires qui ne profitera pas au plus grand nombre. Ces grands acteurs doivent investir dans des structures. Mais ils ne peuvent pas “brander” une démarche. Cela me pose un problème.»

Selon Aline Isoz, la responsabilité est partagée: «D’un côté, les PME doivent apprendre à unir leurs forces et travailler dans le même sens,  en jouant la complémentarité des expertises et la concurrence. De l’autre, ces initiatives ne devraient pas laisser les PME sur le carreau. L’autre problème réside dans le soutien étatique pour ces deux initiatives. En tant qu’administrations publiques, elles ont le devoir de défendre les PME, et, in fine, les citoyens et consommateurs». Pour l’heure, le cahier des charges de la Swiss Digital Initiative et de la Trust Valley reste à définir. Faut-il encore savoir si les PME suisses auront voix au chapitre pour ne pas rester hors course.

Cyber security is too often narrowly considered a purely information technology (IT) issue.

This may be partly true in certain service sectors such as finance or insurance; however, industrial systems depend on operational technology (OT), which must be taken into account for cyber risks.

This is the primary purpose of the IEC 62443 series of Standards, prepared by IEC Technical Committee (TC) 65: Industrial-process measurement, control and automation, in collaboration with members of Committee 99 of the International Society of Automation (ISA99).

Securing industrial automation and control systems comprehensively

The IEC 62443 series was developed to secure industrial communication networks and industrial automation and control systems (IACS) through a systematic approach.

It currently includes nine Standards, Technical Reports (TR) and Technical Specifications (TS) with four parts still under development. IACS are found in an ever-expanding range of domains and industries many, such as power and energy supply and distribution, transportation, manufacturing, etc. are central to critical infrastructure. IACS also include Supervisory Control and Data Acquisition (SCADA) systems that are commonly used by organizations that operate in critical infrastructure industries, such as electricity generation, transmission and distribution, gas, water distribution networks. Ensuring risk mitigation and resilience is thus essential.

Prevention of illegal or inappropriate access

In IEC 62443 publications “the term ‘security’ is considered to mean the prevention of illegal or unwanted penetration, intentional or unintentional interference with the proper and intended operation, or inappropriate access to confidential information in IACS.”

Security “includes computers, networks, operating systems, applications and other programmable configurable components of the system”.

IEC 62443 Standards cover all aspects of cyber security at all stages and are a cornerstone of a secure-by-design approach.

As such a broad overview of IEC 62443 publications is necessary, as they are relevant to all industrial communication networks and IACS users, including asset owners, system integrators, “equipment manufacturers, suppliers, facility operators, maintenance practitioners and all private and government organizations involved with, or affected by, control system cyber security” (IEC/TS 62443-1-1 Industrial communication networks – Network and system security – Part 1-1: Terminology, concepts and models).

The IEC 62443 series of Standards is organized into four parts covering the following:

• General (IEC 62443-1.* – one part of four published)
• Policies and procedures (IEC 62443-2.* – three parts of four published)
• System (IEC 62443-3.* – all three parts published)
• Components (IEC 62443-4.* – both parts published).

Distinctive and wide-ranging approach

Many businesses and industries using IT have had well-established cyber security management systems (CSMS) in place as defined in the ISO/IEC 27001 and ISO/IEC 27002 standards for information security, developed by the Joint Technical Committee for Information Technology (ISO/IEC JTC 1), established by IEC and ISO.

For its part, the IEC 62443 series includes security for both IT and OT. This IT-OT integration covers multiple aspects and provides a flexible framework to address and mitigate current and future security vulnerabilities in IACS.

The IEC 62443 general part, IEC/TS 62443-1-1:2009 “defines the terminology, concepts and models for IACS security. It establishes the basis for the remaining standards in the IEC 62443 series.” It lists the following seven foundational requirements:

• identification and authentication control (IAC),
• use control (UC),
• system integrity (SI),
• data confidentiality (DC),
• restricted data flow (RDF),
• timely response to events (TRE), and
• resource availability (RA).

In policies and procedures, IEC 62443-2-1:2010 “defines the elements necessary to establish a CSMS for IACS and provides guidance on how to develop those elements. The CSMS elements described in this standard are mostly policy, procedure, practice and personnel-related, describing what shall or should be included in the final CSMS for the organization.”

IEC TR 62443-2-3:2015, deals with patch management in the IACS environment, and “describes requirements for asset owners and IACS product suppliers that have established and are now maintaining an IACS patch management programme.

This Technical Report recommends a defined format for the distribution of information about security patches from asset owners to IACS product suppliers. It also provides a definition for some of the activities associated with the development of the patch information by IACS product suppliers and deployment and installation of the patches by asset owners.

The exchange format and activities are defined for use in security-related patches; however, it may also be applicable for non-security related patches or updates. (…) It does not differentiate between the product suppliers that supply the infrastructure components or the IACS applications; it provides guidance for all patches applicable (…)”

IEC 62443-2-4:2017, specifies requirements for security capabilities for IACS service providers that they can offer to the asset owner during integration and maintenance activities of an automation solution.

The system part, IEC TR 62443-3-1:2009, Industrial communication networks – Network and system security – Security technologies for IACS, “provides a current assessment of various cyber security tools, mitigation counter-measures and technologies that may effectively apply to the modern electronically-based IACSs regulating and monitoring numerous industries and critical infrastructures.

It describes several categories of control system-centric cyber security technologies, the types of products available in those categories, the pros and cons of using those products in the automated IACS environments, relative to the expected threats and known cyber vulnerabilities, and, most importantly, the preliminary recommendations and guidance for using these cyber security technology products and/or countermeasures.

IEC 62443-3-2:2020, Security for IACS focuses on security risk assessment for system design. Among other things, it establishes requirements for:

• defining a system under consideration (SUC) for an IACS

• partitioning the SUC into zones and conduits

• assessing risk for each zone and conduit

• establishing the target security level (SL-T) for each zone and conduit

• documenting the security requirements.

As regards components, IEC 62443-4-1:2018, focuses on secure product development lifecycle requirements. “It specifies the process requirements for the secure development of products used in industrial automation and control systems (…).
It defines secure development life-cycle requirements related to cyber security for products intended for use in the IACS environment and provides guidance on how to meet the requirements described for each element. The life-cycle description includes security requirements definition, secure design, secure implementation (including coding guidelines), verification and validation, defect management, patch management and product end-of-life.
These requirements can be applied to new or existing processes for developing, maintaining and retiring hardware, software or firmware.”

These requirements only apply to the developer and maintainer of the product, and are not applicable to the integrator or the user of the product.

As for IEC 62443-4-2:2019, Technical security requirements for IACS components, it provides detailed technical control system component requirements associated with the seven foundational requirements listed [above] in IEC TS 62443-1-1, including defining the requirements for control system capability security levels and their components.

IEC 62443 set to be adopted in more systems and sectors

Ensuring cyber security is a growing concern for industries where cyber attacks can be directed at both IT and OT systems. For this reason, many rely increasingly on the IEC 62443 series for cyber protection, risk mitigation and resilience in addition to other standards.

In the energy sector, utility grids and systems depend on IEC 62443 standards, among others, to reduce cyber risks. This applies also to nuclear power plants and a range of energy storage systems. Hydropower facilities rely also on IEC 62443.

In transportation systems railway networks, shipping and aviation depend also on IEC 62443 to prevent or mitigate cyber risks.

Likewise IEC 62443 Standards are essential for industrial automation, particularly with the rapid introduction of Industrial Internet of Things devices.

International engineering companies and classification societies mention their compliance to IEC 62443 Standards as evidence of the quality of the products and services they provide.

The wider adoption of IEC 62443 Standards is thus set to advance apace.

By Morand Fachot original article published on IEC website

Conseils d’administration, demandez à la direction de l’entreprise un bilan de la situation, évaluez les risques et les dispositifs à mettre en place : cybersécurité, impact social et environnemental.

Il va falloir faire un bilan du confinement, concernant la sécurité, mais aussi l’impact social et environnemental.

Il a fallu quelques jours, voire quelques semaines, pour que les entreprises et leurs collaborateurs, déstabilisés, s’adaptent au confinement. Les cybercriminels ont profité de cette situation inédite: attaques sur les établissements de santé, faux sites web et phishing exploitant le sujet numéro 1: coronavirus / covid-19, simulations de communications gouvernementales, création de sociétés fictives pour « livrer » des masques et des tests, ou recevoir des dons…

Que s’est-il passé pour que la cyber criminalité augmente ?

Première raison : la surface d’exposition augmente. La population en télétravail est passée brutalement de 20% à 60% augmentant la charge de travail des équipes informatiques : achat d’ordinateurs, installation de logiciels de sécurité, formation aux outils et aux bonnes pratiques de télétravail, surveillance des activités à distance. L’utilisation d’applications non-sécurisées se développe, le cadre de travail est désorganisé. Les nouvelles attaques liées au Covid-19 (malwares, attaques DNS, noms de domaines frauduleux, faux sites, spams, phishing, faux installeurs) ne sont pas identifiées par les systèmes de sécurité. Par ailleurs, les comportements changent (l’horaire de travail par exemple) ce qui crée de fausses anomalies dans les systèmes de détection.

Deuxième raison : L’utilisation d’ordinateurs personnels et du wifi domestique, de logiciels qui ne sont pas à mis à jour (patch de sécurité), et de connexions non sécurisées rend possible les vols ou pertes de données. L’équipe informatique est moins disponible pour contrôler le système d’information. Enfin, les données sont éparpillées, les sauvegardes ne sont pas assurées selon les processus habituels !

L’état de confusion et d’anxiété des collaborateurs peuvent engendrer de mauvaises manipulations.

Troisième raison : les outils de visioconférence sont utilisés dans des campagnes de phishing pour récolter les informations d’identification des utilisateurs, via des emails, ou encore un lien qui invite le destinataire à cliquer pour activer son compte et le rediriger vers une fausse page web afin qu’il saisisse ses identifiants. Un autre type de mail prétexte une réunion manquée, comprenant un lien vers une fausse page d’identification.

Par ailleurs, les niveaux de sécurité des plateformes sont divers (des études ont été publiées à ce sujet).

D’un point de vue environnemental, les applications de vidéoconférence et la sécurité sont consommatrices en énergie, surtout lorsque la caméra est activée, comme l’indique une analyse de la société « Greenspector » (source : ICT journal). Par ailleurs, les réseaux sont très sollicités et le recours durable au télétravail exigera une augmentation des capacités. Les économies réalisées en diminuant les transports sont-elles supérieures aux dépenses énergétiques liées à la digitalisation des entreprises et au télétravail ?

Reste l’aspect social à analyser : nouveau rythme de travail, espace de travail inadapté, employabilité, formation, capacité à travailler ensemble malgré la distance, frustrations non exprimées, signaux faibles non détectés par un management distant, et bien d’autres effets à lister.

Marie de Fréminville, Starboard Advisory

Retrouvez l’article original sur le site de Starboard Advisory

Avec la crise sanitaire, le télétravail s’est imposé dans les entreprises. Désormais, il semble qu’un retour au tout présentiel sera difficile. Mais faut-il pour autant généraliser le travail à distance? L’avenir s’esquisse dans un doux équilibre entre ces deux modes de fonctionnement.

Une rupture brutale avec le passé. C’est le sentiment vécu par bon nombre de PME romandes depuis le 16 mars, date de la mise sous cloche de l’économie helvétique par les autorités fédérales. Du jour au lendemain, grâce à la généralisation du télétravail, elles ont appris à fonctionner différemment. Les prémices d’une généralisation du travail à distance? Trop tôt pour y répondre. Néanmoins la question reste brûlante et en soulève d’autres. Car un mois après le début du déconfinement, beaucoup de bureaux restent à moitié vides. Que s’est-il passé?

Les rapports changent

Selon le sondage publié fin mai 2020 par l’institut gfs.bern sur mandat du syndicat de la communication Syndicom, 79% des personnes sondées souhaitent poursuivre le travail à distance de manière intégrale, ou au moins en partie. Près de 89% d’entre elles estiment que les entreprises doivent encourager ce mode de fonctionnement. Le sondage a été réalisé entre le 23 avril et le 10 mai auprès de 1126 personnes. Ce plébiscite soviétique souligne que le télétravail fait son nid dans les entreprises. A elles de s’adapter. Pourtant, ce mode de fonctionnement est d’ores et déjà une réalité dans bons nombres de PME suisses. Ce que la crise actuelle change en revanche, c’est le rapport entre le télétravail et le présentiel.

Au coeur du semi-confinement de ce printemps, le télétravail contraint et généralisé n’a pas été vécu de la même manière d’un collaborateur à l’autre. Il y a bien sûr celles et ceux qui ont trouvé leur mode de fonctionnement, gagnent en efficacité et renouent avec un équilibre vie privée et vie professionnelle. Puis il y a les autres qui ont besoin de leurs repères professionnels, d’une structure et de rapports sociaux que l’on ne retrouve plus via les visioconférences. On l’oublierait presque, mais l’homme est un animal social. Désormais, il semble certain qu’un retour au tout présentiel sera difficile. Mais faut-il pour autant le jeter définitivement à la poubelle?

Des impacts plus profonds

C’est le grand débat de ce déconfinement. Mais il s’agit surtout d’une formidable occasion de redéfinir collectivement le travail, sa place et son organisation. Pourquoi? Simplement parce que la covid-19 a joué le rôle d’un stress test à grande échelle pour toutes les entreprises. Les pros et les antis télétravail compris, dans les TPE comme les multinationales. En trois mois, elles ont pu expérimenter de nouveaux modes de collaborations, et juger de ce qui fonctionne ou ne marche pas. Le travail à distance n’est pas une solution toute faite. Il s’agit d’une possibilité qui questionne la bonne marche d’une entreprise, le bien-être d’un collaborateur, la notion de leadership, les processus décisionnels, les rapports sociaux dans l’entreprise, le travail en équipes, l’organisation.

En bref, le débat actuel autour du télétravail impacte l’ensemble de l’entreprise, ses structures et ses forces. L’avenir s’esquisse (s’annonce)donc dans un semi équilibre entre le travail à distance et le présentiel. Plusieurs voix se font entendre dans les médias pour définir un rapport 60%/40% entre le présentiel et le télétravail. D’autres vont plus loin en revendiquant des modes de fonctionnement «à la carte» à choix selon les préférences des collaborateurs. Où placer le curseur? La décision revient à chaque entreprise selon sa structure, sa culture et son secteur d’activité. Ce qui est certain, c’est qu’elles vont devoir faire preuve d’agilité pour s’adapter à cette nouvelle réalité.

Retrouvez l’article original sur le site de Softcom

J’ai vécu la révolution numérique assez tardivement acquérant mon premier iPhone en 2014 en m’installant à New-York. Ma vie en a été totalement bouleversée. Google map m’a permis de trouver n’importe quelle adresse, l’application Metro m’a rendue indépendante, celle d’Airbnb de trouver un logement et Currency de connaitre le cours du change au moment de faire un achat. J’ai pu écouter de la musique sur iTunes, lire sur Kindle, et gérer mes rendez-vous d’un siège de taxi sur l’email intégré de mon téléphone. Je pouvais prendre des photos sur le pouce que je partageais ensuite instantanément sur Facebook et converser en direct sur WhatsApp avec mes proches sur un autre continent. Pour trouver une information, internet n’était pas plus éloigné que la poche de ma veste.

Les nouvelles technologies m’ont offert une autonomie grisante et permis de monter une affaire de façon fluide et surtout, rapide !

Mot clé, la rapidité est le prix à payer pour l’hyper-connectivité. Pour nous tous, le rythme s’est accéléré. Joignable en tout temps par email ou téléphone, la pression s’est accentuée sur le monde du travail. Le rythme est devenu si soutenu que la période de quarantaine due à la pandémie a secrètement été accueillie avec soulagement par de nombreuses personnes soumises à un rythme devenu infernal.

Ainsi, les nouvelles technologies, qui nous offrent une autonomie magnifique, ont dévoilé un autre versant, plus sombre et plus difficile à gérer : celui de la dépendance. La soumission au rythme accéléré du monde et à l’impératif d’une productivité et d’une efficacité exponentielles, à tous les niveaux et dans tous les secteurs de la société d’une part. La soumission aux GAFA d’autre part, ces quatre entreprises les plus puissantes du monde de l’internet (Google, Apple, Facebook et Amazon) qui collectent de nombreuses données personnelles minute après minute vis WhatsApp, nos payements par carte, notre GPS, nos multiples applications et nos recherches internet.

Un nouveau tournant technologique est pris aujourd’hui avec une toute dernière innovation, l’application Covid de traçage de la population pour enrayer la pandémie. Elle est mise en place en Suisse, mais aussi en France, en Autriche, en Islande et à Singapour. Une étape cruciale puisqu’elle ne provient pas d’un géant privé des GAFA, mais de l’État lui-même, ce qui est très différent. Ouvre-t-elle l’ère de la surveillance généralisée des citoyens par l’Etat puisqu’elle permet potentiellement de nous identifier, de nous localiser, nous ainsi que les lieux et les personnes que nous fréquentons ? Est-elle un premier pas vers la visibilité absolue ? Augure-t-elle la fin de notre liberté ?

Pour l’économiste et historien Nicolas Bavarez, « La technologie n’est ni liberticide ni incompatible avec l’état de droit, à l’image des démocraties d’Asie, telles que la Corée du Sud, Taiwan et le Japon qui ont su faire face à la crise en conjuguant anticipation et agilité des pouvoirs publics, utilisation responsable des technologies, respect de l’Etat de droit et mobilisation des citoyens ». Il est vrai que dans la démocratique Corée du Sud, par exemple, l’application et la base de données sont gérées en dehors du gouvernement. Il n’y a pas de traçage individuel ou collectif. Les accès aux données sont cantonnés et contrôlés.

Mais ce n’est pas le cas dans la très non-démocratique Chine où Xi Jinping a saisi l’occasion de renforcer son système de surveillance via le croisement des données de santé et de la géolocalisation. Cette Chine qui a mis en place depuis deux ans déjà une stratégie globale de surveillance de masse à l’aide des nouvelles technologies. Elle les utilise pour la géolocalisation (via la reconnaissance faciale), mais aussi pour stocker d’autres données telles que l’analyse des comportements, le mode de vie, les opinions politiques, les habitudes d’achat et des informations sur l’état émotionnel de ses citoyens. Ces données sont aujourd’hui utilisées pour autoriser ou non l’accès à certains services, (un restaurant ou un magasin un diplôme, un crédit, un passeport etc..).

Nos sociétés démocratiques sont des garde-fous à une telle dérive mais la Chine n’est pas un cas isolé. Selon la Fondation Carnegie pour la Paix Internationale, « la technologie de surveillance globale de l’intelligence artificielle prolifère de façon rapide dans un nombre croissant d’Etats pour recenser, suivre et surveiller les citoyens afin d’atteindre un éventail d’objectifs politiques certains légaux, d’autres qui violent les droits de l’homme et dont beaucoup tombent en milieu trouble ».

Le mois dernier, le milliardaire Elon Musk a devancé les États et place en orbite son projet Starlink, à terme des dizaines de milliers de petits satellites, afin de pourvoir en internet les zones les plus reculées de la planète, devançant Amazon, Oneweb, Link et Facebook qui travaillent sur des projets similaires. Autant dire que les nouvelles technologies seront très bientôt incontournables où que l’on se trouve sur la planète.

Leur impact écologique n’est pas négligeable non plus. La pollution de l’espace due à la multiplication des satellites entraine aussi au sol le déploiement inévitable des antennes 5G sans lesquelles ces nouvelles technologies, application COVID comprise, ne peuvent pas fonctionner.

Les risques liés au traçage des contacts sont donc nombreux : danger que les données récoltées soient utilisées à d’autres fins – ou reliées à d’autres données pour identifier et éventuellement profiler davantage les personnes, ainsi que le risque toujours présent d’une fuite de données ou d’une cyber-attaque. Risque que cette application soit obligatoire dans un autre pays que nous souhaitons visiter et qui ne garantit pas la protection des données. Risque enfin que la surveillance numérique soit si efficace que les pouvoirs publics y reviendraient à la première occasion pour contrer une autre menace, à commencer par celle du terrorisme, justifiant ainsi la poursuite du contrôle des citoyens, jusqu’à ce que ce contrôle devienne la norme.

Mais peut-on au final aller contre l’évolution technologique ? Il est peut-être illusoire de s’opposer à l’avancée de la science. L’application COVID n’est qu’un élément isolé dans tout un arsenal de moyens numériques. Parmi ceux-ci on peut mentionner la technologie « smart city », c’est-à-dire des villes dotées de capteurs qui transmettent des données en temps réel pour faciliter la gestion des villes et la sécurité publique, celle de la « smart police », un ensemble de technologies analytiques pour faciliter les enquêtes et interventions de la police et prévenir les crimes futurs ainsi que la technologie de reconnaissance des sentiments via la reconnaissance faciale des foules. Tous ces outils sont déjà mis en place dans environ 60% du monde, dont la France, l’Italie et d’autres Etats européens.

Il nous faudra en fin de compte agir comme nous l’avons toujours fait. Se renseigner, s’informer développer notre discernement et notre vigilance. Le monde qui se dessine sous nos yeux est celui d’une révolution en marche qui va continuer de bouleverser nos habitudes et notre mode de vie, agrandir notre champ d’action et nous obliger, en tant que citoyen, d’user de nos droits civiques, et défendre encore et toujours nos libertés individuelles et le respect de notre sphère privée. Au final, notre seul rempart sont des institutions démocratiques fortes, transparentes et saines.

Virginie Claret

Virginie Claret est une journaliste freelance qui publie régulièrement dans différentes publications en Suisse et à l’étranger

A l’arrêt, plusieurs entreprises se sont rendues compte qu’elles pouvaient fonctionner plus ou moins normalement, et plus efficacement. Les prémices d’un changement en terme de process, de management, de recrutement et de gestion des coûts?

Une rupture brutale avec le passé. C’est le sentiment vécu par bon nombre de PME romandes depuis le 16 mars, date de la mise sous cloche de l’économie helvétique par les autorités fédérales. Du jour au lendemain, grâce à la généralisation du télétravail, elles ont gagné en agilité. Une agilité contrainte pour certaines et organisée dans l’urgence pour ne pas laisser trop de plumes dans cette crise qui promet de durer. Celles qui adoptaient déjà cette légèreté traversent la tempête avec sérénité.

Plusieurs semaines de confinement plus tard, les PME, actives dans les services administratifs, réfractaires prennent petit à petit conscience qu’elles fonctionnent plus ou moins normalement, et plus efficacement. Les prémices d’une généralisation du télétravail et d’une culture d’agilité? Quels impacts cette contrainte de travail à distance a-t-elle sur les processus internes d’antan, le management, le recrutement et la gestion des coûts? Les observateurs et les experts sont formels: la crise va impacter définitivement la manière de travailler.

Remise en question des processus

La surprise viendrait d’un retour aux modes de fonctionnement d’avant. Tout simplement parce que la situation sanitaire a forcé l’ensemble des acteurs d’une entreprise à penser différemment, révélant au passage la lourdeur ou l’inutilité de certains processus, du caractère parfois chronophage du présentiel et des séances. Une fois que le confinement sera levé, les processus d’avant seront remis en question par les collaborateurs, car ils devront évoluer, et de nouveaux indicateurs devront être définis. Le management va devoir s’adapter pour ne pas retomber dans les anciens schémas.

Le changement va donc venir d’en bas, c’est-à-dire de la part des collaborateurs qui ont pris leurs marques dans ce confinement. Celles et ceux qui réalisent un gain d’efficacité à la maison. Ils ont découvert qu’ils pouvaient travailler deux heures le matin, s’occuper des enfants ensuite et retravailler l’après-midi, voire le soir, selon l’organisation familiale. Il est certain qu’un retour en arrière après le confinement pourrait être difficile. Les entreprises se disent déjà qu’elles n’ont pas besoin de si grands bureaux, et autant de présentiel.

Un profond changement culturel

Cette évolution n’est pas nouvelle, mais elle généralise une méthodologie agile déjà présente dans de nombreuses PME suisses, dont Softcom. Ces dernières misent sur le travail dit intelligent: le work smart en jargon managérial. C’est-à-dire la mise en place de conditions de travail plus flexibles et intelligentes. Par exemple une réduction des bureaux au profit du télétravail, une réorganisation des équipes et une gestion collaborative des projets, la mise en place d’outils de travail à distance, des horaires libres, une plus grande responsabilité décisionnelle conférée au collaborateur… Bref, la situation vécue par une partie des actifs suisses depuis le confinement.

En pratique, la mise en place de telles initiatives imposent aux entreprises un profond changement culturel. Elles exigent un effort continu de flexibilité afin de s’adapter aux changements à venir dans le monde du travail, car il y en aura d’autres après le coronavirus. Le vieux management qui résistait au télétravail pour des raisons de contrôle a été mis en échec par le covid-19. Tous les managers vont devoir faire preuve d’intelligence pour digérer les changements en cours et insuffler davantage d’agilité dans leurs départements et leurs pratique. Avec le confinement, ils ont dû gérer les équipes à distance. Ils ont dû faire confiance, car dans l’impossibilité de tout contrôler.

La fin des vieux schémas managériaux

Le manager traditionnel va devoir faire confiance, déléguer et guider plutôt que gérer des collaborateurs. L’avenir se nicherait donc dans le management bienveillant. Pourtant, en Suisse comme à l’étranger, le mot d’ordre des chefs d’Etats est une reprise rapide de l’économie. Reprendre et produire pour retrouver le niveau d’avant. Dans cette urgence de sauver les meubles, n’y a-t-il pas le risque de renouer avec les vieux schémas? Trop tard. Le changement est en cours. C’est certain, la hiérarchie dans des entreprises même très pyramidales va s’assouplir. Avec la crise, tout le monde s’est responsabilisé. Cette tendance montante vers l’autogestion va perdurer.

Retrouvez l’article original sur le site de Softcom

Romain Gueugneau, Les Echos, 11 octobre 2019

Les risques de piratage et d’incidents informatiques vont croissant, à mesure que les banques numérisent leurs services. L’externalisation et la bascule vers le cloud augmentent aussi la probabilité d’accidents. La Banque centrale européenne prend de plus en plus au sérieux ces risques.

Les risques liés à la sécurité informatique sont pris de plus en plus au sérieux dans les couloirs de la Banque centrale européenne (BCE). Dans la cartographie des risques 2020 , publiée ce lundi, le superviseur bancaire pointe “la cybercriminalité et les carences informatiques” comme “l’un des trois principaux facteurs de risque auxquels le système bancaire de la zone euro devrait faire face au cours des trois prochaines années”, juste après “les défis économiques et politiques en matière de soutenabilité de la dette” et la “résilience du modèle d’activité des banques” dans un environnement de taux bas et de concurrence exacerbée.

Dans ce contexte, la conversion du secteur bancaire au cloud peut devenir source de problème. L’américain Capital One l’a appris à ses dépens : la banque, qui travaille avec le géant du cloud Amazon Web Services, a vu les données de 106 millions de clients dérobées. “Avec la migration de services et de données dans le cloud, les banques offrent une porte d’entrée supplémentaire aux hackers”, considère Loïc Guézo, directeur de la stratégie cybersécurité chez Proofpoint, un éditeur de logiciels de sécurité.

“Il ne s’agit pas de limiter cette migration, qui est une tendance lourde. Mais il faut que les banques soient bien conscientes des risques, de ce que cela implique en termes de gestion et de disponibilité des données”, avertit un expert de la BCE, qui signale par ailleurs que certains établissements font parfois machine arrière dans l’adoption du cloud.

Les risques liés à la numérisation

Outre le cloud, l’augmentation du risque informatique va de pair avec la numérisation des services financiers. Les banques proposent de plus en plus aux clients de réaliser leurs opérations en ligne ou sur leurs smartphones. De quoi “amplifier la vulnérabilité des banques face à la cybercriminalité et les carences informatiques opérationnelles”, écrit la BCE dans son rapport.

Le risque cyber vient aussi d’une fragmentation croissante des systèmes informatiques à l’intérieur des banques, qui dépensent plusieurs milliards par an dans leur infrastructure IT. “Le système devient si complexe que les établissements peinent à véritablement pouvoir le protéger, constate un expert à Francfort. Les hackers, eux, savent comment exploiter cette complexité.” En externalisant certaines parties de leur informatique, les banques délèguent la gestion des risques à des tiers.

Intensifier les inspections

D’une manière générale, le superviseur bancaire promet d’être plus attentif aux pratiques en la matière. Il va multiplier les missions d’inspection “sur site”, au cours desquelles il peut dépêcher six à sept personnes pour auditer pendant plusieurs semaines les dispositifs. Objectif : s’assurer que les bonnes pratiques en termes de sécurité informatique sont bel et bien appliquées.

Dans une récente note, la BCE remarquait que la plupart des problèmes de sécurité relevaient d’un défaut dans l’application des règles de détection des risques. “Dans certains cas, les patches logiciels, qui permettent de mettre à jour le système de défense contre de nouvelles vulnérabilités, ne sont tout simplement pas installés”, regrette le superviseur.

Recherches scientifiques, banque, blockchain, monde académique… A l’occasion de son événement au Musée Olympique de Lausanne le 19 septembre 2019, le Clusis a convoqué quatre experts pour débattre des enjeux liés à la confiance numérique.

C’est d’abord l’aveu d’un problème. Face à des applications toujours plus curieuses, face à la démultiplication des scandales de vols de données, et face à la robolution grandissante de la société, pouvons-nous – en tant qu’individus – faire confiance aux entreprises et aux services à qui nous déléguons une part croissante de nos quotidiens d’hommes et de femmes connectés ?

C’est ensuite le constat d’un paradoxe : comment accompagner cette évolution technologique inéluctable, à la fois protectrice de la sphère privée des citoyen.ne.s et garante de la démocratie, face à des outils toujours plus gourmands en données personnelles afin de nous proposer des services performants? Loin de la naïveté des débuts d’Internet, la confiance numérique est l’enjeu crucial de ce siècle.

Confiance numérique : les défis

C’est pour en débattre que le Clusis a convoqué quatre experts, le 19 septembre dernier, dans l’intimité du Musée Olympique de Lausanne. Au fil des conférences et des débats, cet événement soutenu par l’entreprise de cybersécurité Darktrace Limited, a permis de saisir les enjeux de la confiance numérique dans quatre domaines-clés : la recherche scientifique, la banque et la finance, le monde académique et la blockchain.

Pour en parler, et esquisser des pistes de solutions, le Clusis a convoqué Kevin Warwick, professeur de cybernétique à l’Université de Coventry (UK), Christian Meixenberger, Directeur général de la division des services informatiques de la Banque cantonale vaudoise. Mais aussi Jean-Henry Morin, professeur Associé ISS à l’Université de Genève et Mike Gault, fondateur et directeur général de Guardtime. Compte-rendu

Dans la peau d’un cyborg

En Grande-Bretagne, Kevin Warwick peut se targuer d’être le premier cyborg dans l’histoire de l’humanité. A 65 ans, le professeur au département de cybernétique de l’Université de Reading est un expert mondial dans les domaines de la robotique, de la bioéthique, et plus récemment, de l’intelligence artificielle. Depuis la fin des années 1990, il joue les cobayes – avec sa femme – pour la recherche scientifique en implantant dans son corps des composants électroniques qui lui permettent d’interagir avec des ordinateurs et des robots.

C’est en 1998 que ce Frankenstein contemporain augmente son corps pour la première fois. Il s’agit d’une puce RFID qu’il s’implante sous le coude du bras gauche. Kevin Warwick ne vivra que neuf jours dans la peau d’un cyborg. Mais le souvenir « phénoménal » des nouveaux pouvoirs qui lui ont été conférés le poussent à aller plus loin. Avec son projet baptisé « The Brain Gate », le scientifique franchit les portes du cerveau. D’abord celui d’une souris, qu’il équipe d’une puce pendant 72 heures. Puis le sien, et plus tard, celui de sa femme.

A l’avenir, tous augmentés ?

Nous sommes en 2002. Une interface neuronale conçue par le Docteur Mark Gasson est implantée dans le système nerveux de Kevin Warwick. L’expérience inédite va durer trois mois. Cette technologie lui permet de prendre le contrôle à distance d’une main robotique en s’appuyant sur n’importe quel réseau Wi-Fi pour établir la connexion avec la main bionique. Ces expériences scientifiques sur le cerveau fascinent ou rebutent, mais elles ouvrent les portes à des remèdes pour les personnes atteintes d’une maladie neurodégénérative, victimes d’une amputation ou souffrant d’un handicap.

Selon Kevin Warwick, cette technologie ne doit pas s’appliquer uniquement aux personnes handicapées, mais à l’ensemble des individus car nous sommes tous handicapés d’une manière ou d’une autre dans notre manière de communiquer. Certes, mais quid de l’éthique? Les « body hackers » ne démocratisent pas la technologie, mais se rendent plus dépendants des sociétés qui la fournissent. Avant de la démocratiser, il faut donc savoir à qui elle profite sur le marché.

Fait rare dans un secteur si confidentiel, Christian Meixenberger a dévoilé une partie des enjeux numériques et de sécurité qui touchent le monde bancaire. Celui qui siège à la direction générale de la Banque cantonale vaudoise sait de quoi il parle, puisqu’il dirige également la division Services et IT de la banque. Spécialiste des projets de migration, de réingénierie de processus et de réduction des coûts, Christian Meixenberger a répondu aux défis posés par les mutations rapides et toujours plus complexes de cet univers bancaire.

Parmi eux, l’évolution de la notion de confiance et la gestion du risque dans un écosystème où toute une série de prestataires externes assurent la sécurité des services de la banque.

La Blockchain gage de confiance

«Se marier, divorcer et vendre sa maison sont les seules choses que l’on ne peut pas faire par internet en Estonie» dixit Mike Gault. Ce natif d’Irlande, ingénieur en informatique quantique, peut se targuer d’être à la tête d’une des rares entreprises à gagner de l’argent avec la blockchain, cette technologie comparable à un registre numérique, décentralisé, partagé et infalsifiable. Mike Gault est le CEO de Guardtime, société née en 2007 à Tallinn, en Estonie.

L’entreprise de sécurité numérique, qui compte 200 employés, vient de déménager son siège à Prilly (VD) où elle vient de sceller un partenariat stratégique avec Sicpa dans les solutions d’e-gouvernement.

L’histoire de Guardtime est intimement liée à celle de l’Estonie. L’ex-pays soviétique, devenu indépendant en 1991, s’est totalement reconstruit de zéro pour devenir au fil des années l’avant-garde de la sécurité numérique. Mais en 2007, l’Estonie a vécu une cyberattaque massive. Guardtime est née pour répondre à cet enjeu sécuritaire. Son objectif fut de créer une technologie qui puisse satisfaire le besoin de pouvoir faire confiance.

Et répondre à des questions telles que: comment savoir si ce document de l’Etat est authentique ou si ce formulaire de santé est conforme? Les cryptographes de Guardtime ont donc inventé le blockchain KSI, la technologie de chiffrement déployée avec succès pour le gouvernement estonien. Aujourd’hui, l’Estonie est le seul pays à offrir des services gouvernementaux entièrement numérisés, qui ne nécessitent aucune interaction physique.

Responsabilité numérique

Retour en Suisse avec Jean-Henry Morin. Comme à son habitude, le professeur associé ISS à l’Université de Genève, a mis un coup de pied dans la fourmilière en pointant « l’irresponsabilité numérique » de la Suisse. Selon lui, le pays n’apporte que des solutions techniques aux problèmes liées à la transition numérique. Jean-Henry Morin plaide donc pour la création d’un cercle vertueux pour que la Suisse puisse évaluer les risques et les opportunités des technologies dans une société participative dématérialisée. Et ainsi en finir avec son e-illettrisme. Cette responsabilité numérique concerne l’Etat, les entreprises, les citoyens, les politiques publiques. Il n’y a que par elle, conclut Jean-Henry Morin, que nous serons capables de bâtir une société numérique éclairée et transparente.

Les vulnérabilités des chaînes logistiques en font des cibles de choix pour les cyberattaques,
par Morand Fachot, Rédacteur technique à la Commission électrotechnique internationale (IEC). A travaillé auparavant comme journaliste à la BBC, a écrit également pour le Financial Times Business Group et plusieurs publications internationales sur les questions géopolitiques, de sécurité et technologiques (défense, renseignement et audiovisuel).

Comme jusqu’à 80% des cyberattaques peuvent provenir de chaînes logistiques, la protection de celles-ci est une priorité absolue pour toutes les organisations. Les actifs industriels et d’infrastructure critique sont les plus exposés. La Commission électrotechnique internationale (IEC) a développé de nombreuses normes pour cela. Elle travaille également sur l’évaluation de la conformité (CA) et sur les systèmes de certification mondiaux par le biais de groupes de travail (WG) mis en place par son Comité d’évaluation de la conformitéii (CAB) et par le Comité de gestion de la certification (CMC) de IECEEiii, le système IEC pour les procédés d’évaluation des équipements et composants. Les deux devraient permettre de mieux protéger les chaînes d’approvisionnement.

Les infrastructures critiques importent plus

L’impact global et la gravité des cyberattaques varient selon les cibles. Celles visant les entreprises et l’industrie peuvent avoir des conséquences désastreuses pour les firmes touchées, et parfois pour la société. Elles peuvent même conduire à la fermeture de certaines entreprises ou industries. Cependant, les cybermenaces les plus graves au niveau des pays concernent les infrastructures critiques, qui rassemblent les actifs et systèmes essentiels au fonctionnement de la société et de l’économie d’un pays. Ces infrastructures critiques comprennent des secteurs essentiellement similaires dans de nombreux pays. Les dommages causés à l’une d’elles peuvent avoir de graves conséquences pour l’ensemble d’une société.

La chaîne logistique, un concept la fois flexible et complet

ISO/IEC 27036-1:iv Technologies de l’information – Techniques de sécurité – Sécurité d’information pour la relation avec le fournisseur – Partie 1: Aperçu général et concepts, la norme développée conjointement par l’Organisation internationale de normalisation (ISO) et l’IEC, donne une définition très complète de la chaîne d’approvisionnement dans le domaine des Technologies de l’information et de la communication (TIC). Elle se compose, selon cette norme, d’un “ensemble d’organisations partageant des ressources et des processus liés, chacune agissant en tant qu’acquéreur, fournisseur ou les deux afin de créer des relations de fournisseur successives établies dès la passation d’un bon de commande, d’un accord ou de toute autre procédure formelle d’approvisionnement (…)

Une définition de la chaîne logistique pour actifs industriels et autres, tels que réseaux de distribution électriques, systèmes de transport, fabrication intelligente (Smart manufacturing), etc. serait plus complète et complexe, car elle engloberait non seulement les TIC, mais également la chaîne d’approvisionnement des technologies opérationnelles (OT), les personnes (développeurs, fournisseurs, installateurs, personnel travaillant sur OT), les processus ainsi que les produits, c’est-à-dire les composants et systèmes essentiels pour OT, tels les systèmes de contrôle et d’automatisation industriels (IACS) et, de plus en plus, l’Internet des objets (IoT). La numérisation dans tous les secteurs industriels signifie davantage de vulnérabilités pour les chaînes logistiques industrielles.

Différents secteurs et activités confrontés à des défis similaires

Une conférence sur la gestion des cyberrisques pour infrastructures critiques, organisée par le Financial Times à Londres en juin 2018, a tenu une session-débat sur la sécurisation de la chaîne logistique critique. Parmi les participants figuraient des responsables de la sécurité de l’information (RSSI) et des responsables de l’information des industries aéronautique et de l’énergie, lesquels ont expliqué la gestion de leur chaîne logistique et de leurs fournisseurs. Ils ont décrit les défis auxquels ils sont confrontés et les solutions qu’ils déploient pour y faire face, tout en gardant à l’esprit que la sécurité constitue également une préoccupation majeure pour eux. Kevin Jones, responsable de l’architecture cybersécurité chez Airbus, a expliqué qu’Airbus avait trois domaines d’activité principaux: la production d’avions commerciaux, d’hélicoptères et d’équipements de défense. “Cela implique un nombre important de fournisseurs à un moment où Airbus évolue, à l’instar de nombreux autres fabricants suite à un vaste programme de transformation”, a déclaré Jones.

Afin de protéger sa chaîne logistique, Airbus a mis en place un certain nombre de mesures, notamment un accès à distance sécurisé pour ses fournisseurs et un certain degré de compartimentalisation des accès, un audit complet des installations de production d’Airbus et de ses fournisseurs ainsi que l’identification des vulnérabilités. Les fournisseurs sont contraints de revoir leur processus et s’assurer que ceux-ci respectent les normes d’Airbus.

En ce qui concerne le développement de codes informatiques pour les environnements de sécurité, Airbus dispose d’équipes internes composées d’experts en rétro-ingénierie de codes et en évaluation de la fiabilité. “Nous investissons beaucoup d’argent, de temps et d’efforts pour nous assurer que notre code est bien validé. Comme toute grande entreprise, nous avons une chaîne logistique très complexe et très étendue et la façon dont nous la traitons dépend en grande partie des risques que cette chaîne pose pour notre entreprise”, a-t-il ajouté.

Peter Merker, RSSI de Skyguide, qui fournit des services de gestion du trafic aérien pour la Suisse et certaines régions limitrophes des pays voisins, a expliqué que l’ensemble du secteur de contrôle du trafic aérien était en profonde transformation technologique liée à la numérisation. Cette transformation numérique signifie l’abandon d’un ensemble d’équipements d’une durée de vie de plus de 20 ans au profit de systèmes issus de l’environnement informatique et de “l’introduction de logiciels commerciaux standards dès que cela est possible, en raison de pression sur les coûts et de la flexibilité. L’ensemble du système de contrôle de la navigation aérienne est géré de manière centralisée et de plus en plus intégré sur le continent au sein d’Eurocontrol, ce qui signifie que la transformation numérique et la manière dont le secteur du contrôle du trafic aérien utilise les fournisseurs se produisent partout,” a indiqué Merker “Skyguide achète des logiciels directement. Nous examinons les aspects contractuels lors de la révision du code source, ce qui est nouveau pour nous puisque nous avons développé les codes nous-mêmes.” Skyguide est propriétaire de SkySoft, une entreprise de développement de logiciels spécialisée dans les systèmes de gestion du contrôle du trafic aérien. “Nous gérons ce que nous développons nous-mêmes et ce que nous achetons sur le marché”, a déclaré Merker.

Dexter Casey, RSSI du groupe Centrica, multinationale britannique de l’énergie et des services, a expliqué que Centrica avait deux divisions principales, la première, British Gas, pour l’énergie [gaz et électricité] “dispose d’équipements très importants, de plates-formes et de stations pour le gaz. La deuxième division de Centrica, Connected Home, est une société IoT, “qui connaît également des problèmes similaires en ce qui concerne les puces et les jeux de puces (chipsets) provenant d’un seul fournisseur. Il est extrêmement difficile, contractuellement, de demander aux fournisseurs de modifier la configuration ou de rendre ces composants uniques”, a déclaré Casey, ajoutant que Centrica comptait plus de 30 000 fournisseurs et une équipe d’environ 15 employés chargés de passer en revue les contrats et d’effectuer les évaluations de sécurité. “Ce que Centrica doit faire, c’est concentrer ses efforts sur les 100 à 200 fournisseurs qui ont un impact déterminant sur la prestation de ses services”, a-t-il expliqué.

Plusieurs intervenants ont évoqué les risques liés aux “attaques de points d’eau”, dans lesquelles des programmes malveillants sont implantés sur certains sites web de fournisseurs susceptibles d’être visités par les organisations ciblées. La chaîne d’approvisionnement en logiciels est une cible attrayante pour les attaquants. Un rapportvi du centre national de contre-espionnage et de sécurité (NCSC) des États-Unis, publié en juillet 2018, avertit que “l’infiltration de la chaîne d’approvisionnement en logiciels menace déjà le secteur des infrastructures critiques et est sur le point de menacer d’autres secteurs”. Tous les intervenants ont convenu qu’ils étaient confrontés à des problèmes similaires, car les infrastructures et les processus reposaient de plus en plus sur les technologies de l’information et opérationnelles (IT et OT), rendant la gestion des chaînes logistiques bien plus complexe qu’avant, lorsque la numérisation était moins répandue et que les cybermenaces n’étaient pas un problème.

Impact croissant de la conformité et de la certification sur la cybersécurité

Les activités étendues de l’IEC dans le domaine de la cybersécurité comprennent les normes, les exigences techniques et les spécifications et, de plus en plus, les certificats de conformité et la certification. Outre la famille de normes ISO/IEC 27000vii pour la gestion des services informatiques et la série de publications horizontales IEC 62443viii Réseaux industriels de communication sur les réseaux de communication industriels (IACS), relatives à de nombreux domaines, plusieurs comités techniques et sous-comités d’études de l’IEC (SC) ont élaboré des normes, spécifications techniques et exigences spécifiques pour certains secteurs.

Le CAB de l’IEC a mis en place le groupe de travail CAB WG 17ix: Cyber security. Les tâches de ce WG consistent notamment à examiner les besoins du marché et le calendrier des services de CA pour les produits, services, personnel et systèmes intégrés dans le domaine de la cybersécurité. Cependant, ils excluent le champ d’application des applications d’automatisation industrielle couvertes par IECEE CMC WG 31x: Cyber security. Le WG 17 du CAB communique également aux autres secteurs de l’industrie l’approche en matière de cyber sécurité adoptée par l’IECEE CMC WG 31 et la manière dont elle peut s’appliquer à ces autres secteurs.

La tâche principale de l’IECEE CMC WG 31 est de “créer une approche unique de la série IEC 62443 pour l’évaluation de la conformité.” Pour ce faire, il a préparé un document opérationnel, OD-2061xi, publié en juin 2018, qui décrit comment gérer l’évaluation de la conformité et son application à certaines normes de la série IEC 62443.

De plus, ce document opérationnel explique dans quelles conditions les certificats de conformité IECEE en matière de compétence en cyber sécurité industrielle peuvent être délivrés. Ceux-ci ne sont valables que lorsqu’ils sont “signés par un laboratoire d’essais agréé par un organisme de certification (CB) reconnu et annexés à un certificat délivré par un CB national (NCB)”.

Ces certificats sont actuellement définis pour un ensemble d’évaluations concernant produit, processus, applications de capacités du produit, des processus et de mise en oeuvre de solutions, chacune de ces évaluations s’appliquant à une ou plusieurs normes de la série IEC 62443.

Conjointement avec les normes de cybersécurité de l’IEC, l’introduction récente de systèmes complets de certification et d’évaluation de la conformité devrait permettre de mieux protéger les systèmes reposant sur les réseaux de communication industriels et le système IACS, y compris les chaînes logistiques, contre les cybermenaces.

Sources et lexique:

• IEC: Commission électrotechnique internationale / International Electrotechnical Commission: https://www.iec.ch/
• IEC Conformity Assessment Board (CAB): https://www.iec.ch/cab
• IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components: https://www.iecee.org/
• ISO/IEC 27036-1:2014, Information technology – Security techniques – Information security for supplier relationships – Part 1: Overview and concepts: https://webstore.iec.ch/publication/11314
• FT Managing Cyber Risk in Critical Infrastructure: https://tinyurl.com/yc44r6nl
• NCSC 2018 Foreign Economic Espionage in Cyberspace report: https://www.dni.gov/files/NCSC/documents/news/20180724-economic-espionage-pub.pdf
• Famille de normes ISO/IEC 27000: https://tinyurl.com/ya3qr8cb
• Série de normes IEC 62443 pour Réseaux industriels de communication – Sécurité dans les réseaux et les systèmes: https://tinyurl.com/y96vgr9v
• IEC CAB WG 17: Cyber security: https://tinyurl.com/ybt7mk7y
• IECEE CMC WG 31: Cyber security: https://tinyurl.com/y98o3vwm
• IECEE OD-2061, Industrial Cyber Security Program: https://tinyurl.com/ydbysu77

Réconcilier le Responsable Sécurité et son management ou anticiper les menaces avancées – Mission impossible ?

Membres du Clusis, vous devez vous authentifier pour vous inscrire à cet évènement