Depuis le covid-19, 80% des employés plébiscitent le télétravail et réclament son accès (reportage RTS d’après un sondage GFS). Confort, Efficacité, Sentiment de reprise de contrôle de sa vie privée en modulant sa vie professionnelle par rapport à ses contraintes personnelles.

Pour l’employeur, tout le monde le sait, le télétravail représente un gros défi, à la fois technique, organisationnel et sécuritaire, dans certains secteurs plus que d’autres, comme le secteur public ou les banques.

Dans la quadrature du cercle, il est un aspect de plus en plus abordé dans les médias : l’impact humain et social. S’il est négligé, il peut avoir à moyen et long terme de lourdes conséquences pour l’entreprise, y compris pour la sécurité informatique.

Les risques humains et sociaux du télétravail

Numéro UN, c’est l’hyper-connectivité, entre les téléconférences Skype ou Zoom, un rythme de travail décalé des heures de bureau, les applications mobiles et pour certains, l’incapacité de poser ses limites ou bien gérer son temps. La journée de huit heures peut vite s’allonger à dix-douze heures ou plus, sans compter les obligations familiales ou personnelles. A ce rythme, la surcharge mentale et les tensions familiales peuvent faire leur apparition. Pas vraiment compatible avec la performance.

Numéro DEUX, sans surprise, le manque d’échanges, d’interactions avec ses collègues, plus ou moins pesant selon le caractère et les responsabilités endossées. Dans le cas d’un travail à tâches répétitives, le « home office » peut accentuer le sentiment de monotonie de son job, générant par extension une démotivation grandissante. Et si, de surcroît, le collaborateur vit une période de crise dans sa vie privée, il peut développer une impression d’être oublié, négligé ou placardisé.

Une dernière dimension, plus spirituelle ou psychologique, ne doit pas être oubliée : une remise en question de son rôle dans l’entreprise ou du choix de son métier. Recherche de sens, comme l’explique cet article.

Tous ces malaises et questionnements peuvent concourir à une baisse de vigilance quant aux règles élémentaires de cybersécurité, voire leur mépris ou leur rejet – surtout lorsque le télétravail est pratiqué à plein temps.

La communication interne, autre clef de la sécurité

Les départements de ressources humaines et de communication interne ont été dès la première phase de la crise du covid-19 des alliés précieux pour garder les risques sécuritaires sous contrôle, en accompagnant les collaborateurs dans le télétravail. Objectif : maintenir la confiance et la motivation.

Accompagner signifie renforcer le dialogue, individuel et collectif, et guider ses équipes quant aux mesures de sécurité informatique mais aussi aux bonnes-pratiques du télétravail.

Renforcer le dialogue

Cela veut dire tout d’abord informer régulièrement, sur un ton factuel, des différentes événements, décisions ou changements au sein de l’entreprise. Il peut s’agir de nouvelles règles de fonctionnement, de certaines mesures de précaution, les menaces de hacking rencontrées, les nouveaux outils de communication, une liste mise à jour des numéros de téléphone des personnes à contacter pour telle ou telle question, etc. 

Cela signifie aussi soutenir les managers, qui connaissent bien les membres de leur équipe et leur environnement privé, à renforcer le lien avec eux. Prendre le pouls régulièrement, travailler son écoute, encourager l’expression du ressenti.

Guider sur les bonnes-pratiques

Une charte de télétravail peut être utile pour cadrer les points suivants :

  • Les bonnes habitudes de santé
  • Le bon environnement de travail
  • Les bonnes relations de travail
  • Les bons gestes de sécurité technologique

Les bonnes habitudes de santé

  1. Se décoller régulièrement de son écran pour s’aérer la tête.
  2. Compter trente minutes de pause entre deux conférences téléphoniques pour reposer le cerveau.
  3. Equilibrer son temps de travail entre plages de communication et plages de réflexion ou d’exécution.
  4. Sortir régulièrement à l’extérieur, prendre l’air – une courte marche ?
  5. Faire des exercices d’assouplissement, des étirements pour relâcher les muscles.

Le bon environnement de travail

  1. Si possible, se réserver un espace de travail confortable, au calme et hors des sollicitations familiales.
  2. Installer son ordinateur proche d’une fenêtre, pour la lumière et son esprit.
  3. Veiller à l’ergonomie de son espace de travail. L’écran à hauteur des yeux. Un fauteuil confortable. Les pieds légèrement surélevés. Voir cet article.

Les bonnes relations de travail

  1. Revoir en équipe les rites de travail et d’échange, à accorder avec des horaires réalistes en accord avec les besoins de l’entreprise et le respect de la vie privée.
  2. Revoir ou rappeler les règles du jeu de l’équipe, en version télétravail, pour éviter de laisser ses collaborateurs seuls face à la prise de décision en cas critiques.
  3. Trouver le bon équilibre entre « home office » et présence au bureau, au sein de l’équipe mais aussi en coordination avec les autres départements.

La bonne sécurité technologique

Tous les experts le disent, les attaques ont largement augmenté depuis le covid-19, comme l’explique cet article. Depuis mars, c’est un accroissement de 20% par mois avec des méthodes de plus en plus sophistiquées (voir article cnet – anglais) pour récolter le maximum de données de l’entreprise.

Un phénomène qui oblige les entreprises à revoir leur gouvernance en termes de sécurité informatique pour sécuriser de manière pérenne son infrastructure informatique et ses outils de communication. Des conseillers accompagnent les dirigeants dans ce travail. Exemple : Marie de Fréminville.

Un point essentiel est, via un webinar et avec document à l’appui, d’alerter et former ses collaborateurs sur les attaques malveillantes les plus courantes, les plus dangereuses et leurs dernières versions. Leur expliquer le phishing, les malwares, les noms de domaine frauduleux, les ransomware, etc. et décrire les bons réflexes de sécurité.

Pour cette communication, on peut s’appuyer sur les services gratuits de sociétés informatiques, que ce soient des géants comme Microsoft concernant la sécurité de Office 365 et d’autres, plus petites. A ne pas oublier non plus les MOOC – Massive Online Open Courses – dédiés à la sécurité informatique. Des cours sérieux et complets, donnés par des experts dans leur domaine. On peut les suivre gratuitement, la certification seule est payante.

Dernier point, les formations internes ou non de cybersécurité doivent être faites tous les ans et les documents s’y reportant mis à jour. Les technologies évoluent et les attaques aussi.

Maryse Rebillot, Professionnelle Marketing & Communication
Informatique – Nouvelles Technologies – Digital

Cyber security is too often narrowly considered a purely information technology (IT) issue.

This may be partly true in certain service sectors such as finance or insurance; however, industrial systems depend on operational technology (OT), which must be taken into account for cyber risks.

This is the primary purpose of the IEC 62443 series of Standards, prepared by IEC Technical Committee (TC) 65: Industrial-process measurement, control and automation, in collaboration with members of Committee 99 of the International Society of Automation (ISA99).

Securing industrial automation and control systems comprehensively

The IEC 62443 series was developed to secure industrial communication networks and industrial automation and control systems (IACS) through a systematic approach.

It currently includes nine Standards, Technical Reports (TR) and Technical Specifications (TS) with four parts still under development. IACS are found in an ever-expanding range of domains and industries many, such as power and energy supply and distribution, transportation, manufacturing, etc. are central to critical infrastructure. IACS also include Supervisory Control and Data Acquisition (SCADA) systems that are commonly used by organizations that operate in critical infrastructure industries, such as electricity generation, transmission and distribution, gas, water distribution networks. Ensuring risk mitigation and resilience is thus essential.

Prevention of illegal or inappropriate access

In IEC 62443 publications “the term ‘security’ is considered to mean the prevention of illegal or unwanted penetration, intentional or unintentional interference with the proper and intended operation, or inappropriate access to confidential information in IACS.”

Security “includes computers, networks, operating systems, applications and other programmable configurable components of the system”.

IEC 62443 Standards cover all aspects of cyber security at all stages and are a cornerstone of a secure-by-design approach.

As such a broad overview of IEC 62443 publications is necessary, as they are relevant to all industrial communication networks and IACS users, including asset owners, system integrators, “equipment manufacturers, suppliers, facility operators, maintenance practitioners and all private and government organizations involved with, or affected by, control system cyber security” (IEC/TS 62443-1-1 Industrial communication networks – Network and system security – Part 1-1: Terminology, concepts and models).

The IEC 62443 series of Standards is organized into four parts covering the following:

  • General (IEC 62443-1.* – one part of four published)
  • Policies and procedures (IEC 62443-2.* – three parts of four published)
  • System (IEC 62443-3.* – all three parts published)
  • Components (IEC 62443-4.* – both parts published).

Distinctive and wide-ranging approach

Many businesses and industries using IT have had well-established cyber security management systems (CSMS) in place as defined in the ISO/IEC 27001 and ISO/IEC 27002 standards for information security, developed by the Joint Technical Committee for Information Technology (ISO/IEC JTC 1), established by IEC and ISO.

For its part, the IEC 62443 series includes security for both IT and OT. This IT-OT integration covers multiple aspects and provides a flexible framework to address and mitigate current and future security vulnerabilities in IACS.

The IEC 62443 general part, IEC/TS 62443-1-1:2009 “defines the terminology, concepts and models for IACS security. It establishes the basis for the remaining standards in the IEC 62443 series.” It lists the following seven foundational requirements:

  • identification and authentication control (IAC),
  • use control (UC),
  • system integrity (SI),
  • data confidentiality (DC),
  • restricted data flow (RDF),
  • timely response to events (TRE), and
  • resource availability (RA).

In policies and procedures, IEC 62443-2-1:2010 “defines the elements necessary to establish a CSMS for IACS and provides guidance on how to develop those elements. The CSMS elements described in this standard are mostly policy, procedure, practice and personnel-related, describing what shall or should be included in the final CSMS for the organization.”

IEC TR 62443-2-3:2015, deals with patch management in the IACS environment, and “describes requirements for asset owners and IACS product suppliers that have established and are now maintaining an IACS patch management programme.

This Technical Report recommends a defined format for the distribution of information about security patches from asset owners to IACS product suppliers. It also provides a definition for some of the activities associated with the development of the patch information by IACS product suppliers and deployment and installation of the patches by asset owners.

The exchange format and activities are defined for use in security-related patches; however, it may also be applicable for non-security related patches or updates. (…) It does not differentiate between the product suppliers that supply the infrastructure components or the IACS applications; it provides guidance for all patches applicable (…)”

IEC 62443-2-4:2017, specifies requirements for security capabilities for IACS service providers that they can offer to the asset owner during integration and maintenance activities of an automation solution.

The system part, IEC TR 62443-3-1:2009, Industrial communication networks – Network and system security – Security technologies for IACS, “provides a current assessment of various cyber security tools, mitigation counter-measures and technologies that may effectively apply to the modern electronically-based IACSs regulating and monitoring numerous industries and critical infrastructures.

It describes several categories of control system-centric cyber security technologies, the types of products available in those categories, the pros and cons of using those products in the automated IACS environments, relative to the expected threats and known cyber vulnerabilities, and, most importantly, the preliminary recommendations and guidance for using these cyber security technology products and/or countermeasures.

IEC 62443-3-2:2020, Security for IACS focuses on security risk assessment for system design. Among other things, it establishes requirements for:

• defining a system under consideration (SUC) for an IACS

• partitioning the SUC into zones and conduits

• assessing risk for each zone and conduit

• establishing the target security level (SL-T) for each zone and conduit

• documenting the security requirements.

As regards components, IEC 62443-4-1:2018, focuses on secure product development lifecycle requirements. “It specifies the process requirements for the secure development of products used in industrial automation and control systems (…).
It defines secure development life-cycle requirements related to cyber security for products intended for use in the IACS environment and provides guidance on how to meet the requirements described for each element. The life-cycle description includes security requirements definition, secure design, secure implementation (including coding guidelines), verification and validation, defect management, patch management and product end-of-life.
These requirements can be applied to new or existing processes for developing, maintaining and retiring hardware, software or firmware.”

These requirements only apply to the developer and maintainer of the product, and are not applicable to the integrator or the user of the product.

As for IEC 62443-4-2:2019, Technical security requirements for IACS components, it provides detailed technical control system component requirements associated with the seven foundational requirements listed [above] in IEC TS 62443-1-1, including defining the requirements for control system capability security levels and their components.

IEC 62443 set to be adopted in more systems and sectors

Ensuring cyber security is a growing concern for industries where cyber attacks can be directed at both IT and OT systems. For this reason, many rely increasingly on the IEC 62443 series for cyber protection, risk mitigation and resilience in addition to other standards.

In the energy sector, utility grids and systems depend on IEC 62443 standards, among others, to reduce cyber risks. This applies also to nuclear power plants and a range of energy storage systems. Hydropower facilities rely also on IEC 62443.

In transportation systems railway networks, shipping and aviation depend also on IEC 62443 to prevent or mitigate cyber risks.

Likewise IEC 62443 Standards are essential for industrial automation, particularly with the rapid introduction of Industrial Internet of Things devices.

International engineering companies and classification societies mention their compliance to IEC 62443 Standards as evidence of the quality of the products and services they provide.

The wider adoption of IEC 62443 Standards is thus set to advance apace.

By Morand Fachot original article published on IEC website

De nos jours les enfants reçoivent un Smartphone lorsqu’ils sont en primaire voire au plus tard pour leur entrée au CO / collège. Regardez le matin à l’arrêt de bus pour l’école combien d’entre eux ont les yeux rivés à leur écran.

Commence  alors  la  compétition  avec  les copains/copines afin d’avoir le modèle le plus récent puis le début de l’addiction aux réseaux sociaux, volontaire ou non. Il faut alors faire partie de groupes Instagram, Twitter, Snapchat, et autres.

Les jeunes passent ainsi une grande partie de leur temps  sur  leur  Smartphone  et  dès  qu’une notification arrive (de jour comme de nuit) ils se précipitent pour la consulter et y répondre, les parents peuvent attendre…

Téléchargez l’article complet en format pdf “Nos enfants et Internet” par Jacques Schell

Conseils d’administration, demandez à la direction de l’entreprise un bilan de la situation, évaluez les risques et les dispositifs à mettre en place : cybersécurité, impact social et environnemental.

Il va falloir faire un bilan du confinement, concernant la sécurité, mais aussi l’impact social et environnemental.

Il a fallu quelques jours, voire quelques semaines, pour que les entreprises et leurs collaborateurs, déstabilisés, s’adaptent au confinement. Les cybercriminels ont profité de cette situation inédite: attaques sur les établissements de santé, faux sites web et phishing exploitant le sujet numéro 1: coronavirus / covid-19, simulations de communications gouvernementales, création de sociétés fictives pour « livrer » des masques et des tests, ou recevoir des dons…

Que s’est-il passé pour que la cyber criminalité augmente ?

Première raison : la surface d’exposition augmente. La population en télétravail est passée brutalement de 20% à 60% augmentant la charge de travail des équipes informatiques : achat d’ordinateurs, installation de logiciels de sécurité, formation aux outils et aux bonnes pratiques de télétravail, surveillance des activités à distance. L’utilisation d’applications non-sécurisées se développe, le cadre de travail est désorganisé. Les nouvelles attaques liées au Covid-19 (malwares, attaques DNS, noms de domaines frauduleux, faux sites, spams, phishing, faux installeurs) ne sont pas identifiées par les systèmes de sécurité. Par ailleurs, les comportements changent (l’horaire de travail par exemple) ce qui crée de fausses anomalies dans les systèmes de détection.

Deuxième raison : L’utilisation d’ordinateurs personnels et du wifi domestique, de logiciels qui ne sont pas à mis à jour (patch de sécurité), et de connexions non sécurisées rend possible les vols ou pertes de données. L’équipe informatique est moins disponible pour contrôler le système d’information. Enfin, les données sont éparpillées, les sauvegardes ne sont pas assurées selon les processus habituels !

L’état de confusion et d’anxiété des collaborateurs peuvent engendrer de mauvaises manipulations.

Troisième raison : les outils de visioconférence sont utilisés dans des campagnes de phishing pour récolter les informations d’identification des utilisateurs, via des emails, ou encore un lien qui invite le destinataire à cliquer pour activer son compte et le rediriger vers une fausse page web afin qu’il saisisse ses identifiants. Un autre type de mail prétexte une réunion manquée, comprenant un lien vers une fausse page d’identification.

Par ailleurs, les niveaux de sécurité des plateformes sont divers (des études ont été publiées à ce sujet).

D’un point de vue environnemental, les applications de vidéoconférence et la sécurité sont consommatrices en énergie, surtout lorsque la caméra est activée, comme l’indique une analyse de la société « Greenspector » (source : ICT journal). Par ailleurs, les réseaux sont très sollicités et le recours durable au télétravail exigera une augmentation des capacités. Les économies réalisées en diminuant les transports sont-elles supérieures aux dépenses énergétiques liées à la digitalisation des entreprises et au télétravail ?

Reste l’aspect social à analyser : nouveau rythme de travail, espace de travail inadapté, employabilité, formation, capacité à travailler ensemble malgré la distance, frustrations non exprimées, signaux faibles non détectés par un management distant, et bien d’autres effets à lister.

Marie de Fréminville, Starboard Advisory

Retrouvez l’article original sur le site de Starboard Advisory

“Qui connaît l’autre et se connaît lui-même peut livrer cent batailles sans jamais être en péril. Qui ne connaît pas l’autre, mais se connaît lui-même, pour chaque victoire, connaîtra une défaite. Qui ne connaît ni l’autre ni lui-même perdra inéluctablement toutes les batailles.“ Sun Tzu, l’Art de la guerre, 5e siècle av. J.-C.

Se préparer à défendre votre organisation contre des attaquants correctement identifiés est bien plus efficace et rentable que d’essayer de vous défendre contre l’inconnu. C’est pour cela que connaitre les hackeurs, leurs motivations et leur façon de procéder vous permettra de mieux vous protéger et, en cas d’attaque, de retrouver votre productivité plus rapidement.

Les types de hackeurs

Pour commencer, il est donc important de discerner les différents groupes de hackeurs et leurs motivations. Nous distinguons principalement six catégories :

Les hackeurs gouvernementaux (généralement nommé les APT pour « Advanced Persistent Threats ») sont financés, dirigés et parrainés par des gouvernements. Ils sont connus pour leurs détermination, persistance, moyens financiers et compétences techniques. Ils exécutent principalement des opérations de sabotage ou d’espionnage. Parmi les plus connus dans ce groupe nous trouvons :

  • L’Iran (APT39, 33, & 34), qui a attaqué Saudi Aramco en détruisant plus de 30’000 ordinateurs avec Shamoon
  • La Chine (APT1, APT3, APT10, APT12, APT16, APT17, APT18, APT19, APT30, APT40 & APT41) qui a espionné plus de 30 opérateurs téléphoniques afin de voler des informations sur leurs utilisateurs avec Soft Cell.
  • La Russie (APT28 & APT29) qui a interrompu l’alimentation électrique de Kiev la veille de Noël avec Industroyer.
  • Israël (Unit 8200) qui a espionné un nombre d’hôtels pour acquérir de l’intelligence sur les négociations nucléaires entre les États-Unis et l’Iran avec Duqu.
  • La Corée du Nord (APT37, APT38) qui a développé le ransomware WannaCry, infectant plus de 200’000 ordinateurs.
  • Et les États-Unis (Equation Group, NSA, APT-C-39) qui ont détruit des centrifugeuses iraniennes d’enrichissement d’uranium avec Stuxnet.

Le crime organisé, dont le but est le gain monétaire. Ils s’efforcent à rentabiliser leurs attaques et à optimiser leurs opérations. Généralement, ils effectuent des Arnaques au Président (usurpation d’identité afin d’exécuter des virements frauduleux), ransomware, vols financiers et ventes de données sur le darkweb.

Si vous êtes victime d’une cyber-attaque, il y a de fortes chances que son origine vienne du crime organisé. Ces criminels ont rapidement développé leurs capacités à s’enrichir illégalement via le monde en ligne. Actuellement, la cyber-criminalité leur rapporte plus d’argent que la prostitution, drogue et vente d’armes ! Ils sont donc très qualifiés, méthodiques et ont peu de scrupules – ils ont notamment visé des hôpitaux qui soignent les victimes du COVID-19.


Les script kiddies, n’ont ni les compétences ni le savoir-faire des « vrais » hackeurs. Ils ont tendance à réutiliser des attaques déjà existantes et s’en prennent à des cibles très faciles. Ils le font habituellement par défi personnel ou pour gagner un peu d’argent.

Généralement, les antivirus, firewall et antispam de base vous protégeront contre ce type d’attaque.


Les hacktivistes sont des activistes idéologiques avec des bonnes compétences, ayant souvent un emploi légitime dans le secteur digital ou cyber. Ils cherchent généralement à perturber un système ou voler des informations sensibles afin de les publier.

Malgré leur présente diminution d’activité, il ne faut surtout pas les négliger ; dans le passé, le groupe Anonymous s’en est pris à de nombreux gouvernements et multinationales, causant d’importants dommages réputationnels et économiques.


Les menaces internes sont malheureusement très courantes et difficiles à empêcher. Que ce soit de façon malveillante ou non, un employé ou un utilisateur peut utiliser ses accès et privilèges pour voler, modifier et détruire du contenu digital.

Dans la majorité des cas, nous voyons que les hackeurs sont motivés par la cupidité ou le désir de provoquer la destruction. Toutefois, lorsqu’on analyse nos adversaires, nous découvrons d’autres possible motivations, telles que la curiosité, le divertissement, le pouvoir, l’ego, l’idéologie, la reconnaissance et la vengeance. Il est donc important de comprendre ce qui motive votre adversaire ainsi que son objectif, afin de pouvoir vous défendre correctement.

Connaître son hackeur

Systématiquement, lorsque je suis appelé à intervenir suite à une cyber-attaque, l’une des premières questions que nous pose la victime est : « qui est le hackeur ?». Outre l’assouvissement de la curiosité de la victime, ce renseignement nous est très utile, car souvent il permet de comprendre les méthodes, procédures et intentions de l’attaquant. Par exemple, nous savons que le groupe de hackeurs derrière le ransomware Phobos vient d’Europe de l’Est et se nomme Derxan (aka Phobos777). Basés sur cette information, nous remarquons qu’à de nombreuses reprises, dans le passé, ce hackeur n’a pas délivré une clef de décryptage fonctionnelle, même après paiement de la rançon.

Ainsi, deux questions sont essentielles lors de la mise en place des stratégies de protection : qui sont les hackeurs susceptibles de pirater mon entreprise et quelles sont leurs méthodes opératoires. Ces deux questions sont fortement corrélées : en connaissant l’identité d’un hackeur nous pouvons déduire ses méthodes ; inversement, en détectant des méthodes d’attaque, nous pouvons souvent deviner qui est le hackeur.

TTP & IoC

Les (groupes de) hackeurs ne réinventent pas la roue à chacune de leurs attaques. Ils développent une expertise, des outils, une infrastructure, un savoir-faire et des méthodes pour mener un piratage qu’ils amortissent ensuite en le réutilisant. Si nous reprenons notre exemple du ransomware Phobos, nous savons que, dans la majorité des cas, il pénètre par des accès RDP (bureau à distance) achetés sur le dark/deep-web, qu’il efface les backups Windows, qu’il enlève les modes de récupération du système et enfin désactive le firewall. Grâce à ces informations, nous pouvons non seulement avoir une bonne idée sur les failles exploitées par les hackeurs, mais aussi sur leurs actions. Dans le cyber-jargon, nous parlons de TTP pour décrire leurs méthodes et IoC pour décrire les artefacts laissés lors de leur passage.

Les Indicateurs de Compromission (Indicator of Compromise), IoC, sont des éléments observés à la suite d’une attaque, tels des signatures de virus, adresses IP, hash de fichier, URL ou noms de domaines. Ces IoC peuvent aider à prévenir une attaque identique, détecter si un autre système a aussi été compromis et aider à faire des corrélations entre plusieurs incidents.

Les tactiques, techniques et procédures (TTP) expliquent comment les hackeurs orchestrent et opèrent leurs attaques. Les TTP sont donc des modèles d’activités ou de méthodes associées à des hackeurs spécifiques. Lorsque nous définissons quels sont les types ou groupes de hackeurs qui vous visent, nous pouvons analyser leurs TTP afin de mettre en place des outils et procédures spécifiques pour prévenir ces attaques.

L’inverse est aussi possible ; à la suite d’une attaque, nous analysons les TTP utilisées pour en déduire qui étaient les hackeurs et comprenons ainsi leurs motivations et intentions. Cette démarche est aussi très intéressante à mettre en place lorsqu’une attaque a été correctement bloquée, car ceci nous permet d’anticiper les éventuelles prochaines offensives menées par le même hackeur.

Alors, qui risque de m’attaquer ?

Nous sommes tous des cibles potentielles des hackeurs : Que ce soit par des script kiddies qui scannent les ordinateurs connectés à internet pour exploiter des vulnérabilités connues ou abuser des mots de passe faibles, ou par le crime organisé qui développe ses propres outils et procédures pour optimiser les attaques. Il faut donc mettre en place une sécurité proportionnelle à la valeur des données et de la dépendance au système informatique.

Les VIP, les personnes politiquement exposées (PEP), les leaders de leur industrie et les contracteurs gouvernementaux sont les cibles des APT et hacktivistes. Ainsi, ils doivent attentivement analyser les TTP des APT susceptibles de les viser, afin de correctement détecter, bloquer et répondre aux cyber-attaques.

Finalement, les menaces internes visent quasiment toutes les entreprises. Nous voyons souvent des employés mal sensibilisés et mal formés effectuer des erreurs causant des cyber-incidents. De l’autre côté du spectre, nous trouvons des employés malveillants : ces derniers sont le plus souvent des personnes insatisfaites de leur carrière professionnelle et souhaitant soit faire du mal à l’employeur, soit acquérir par leur action un gain personnel.

Steven Meyer, ZENDATA

Retrouvez l’article original sur le site de ZENDATA




Avec la crise sanitaire, le télétravail s’est imposé dans les entreprises. Désormais, il semble qu’un retour au tout présentiel sera difficile. Mais faut-il pour autant généraliser le travail à distance? L’avenir s’esquisse dans un doux équilibre entre ces deux modes de fonctionnement.

Une rupture brutale avec le passé. C’est le sentiment vécu par bon nombre de PME romandes depuis le 16 mars, date de la mise sous cloche de l’économie helvétique par les autorités fédérales. Du jour au lendemain, grâce à la généralisation du télétravail, elles ont appris à fonctionner différemment. Les prémices d’une généralisation du travail à distance? Trop tôt pour y répondre. Néanmoins la question reste brûlante et en soulève d’autres. Car un mois après le début du déconfinement, beaucoup de bureaux restent à moitié vides. Que s’est-il passé?

Les rapports changent

Selon le sondage publié fin mai 2020 par l’institut gfs.bern sur mandat du syndicat de la communication Syndicom, 79% des personnes sondées souhaitent poursuivre le travail à distance de manière intégrale, ou au moins en partie. Près de 89% d’entre elles estiment que les entreprises doivent encourager ce mode de fonctionnement. Le sondage a été réalisé entre le 23 avril et le 10 mai auprès de 1126 personnes. Ce plébiscite soviétique souligne que le télétravail fait son nid dans les entreprises. A elles de s’adapter. Pourtant, ce mode de fonctionnement est d’ores et déjà une réalité dans bons nombres de PME suisses. Ce que la crise actuelle change en revanche, c’est le rapport entre le télétravail et le présentiel.

Au coeur du semi-confinement de ce printemps, le télétravail contraint et généralisé n’a pas été vécu de la même manière d’un collaborateur à l’autre. Il y a bien sûr celles et ceux qui ont trouvé leur mode de fonctionnement, gagnent en efficacité et renouent avec un équilibre vie privée et vie professionnelle. Puis il y a les autres qui ont besoin de leurs repères professionnels, d’une structure et de rapports sociaux que l’on ne retrouve plus via les visioconférences. On l’oublierait presque, mais l’homme est un animal social. Désormais, il semble certain qu’un retour au tout présentiel sera difficile. Mais faut-il pour autant le jeter définitivement à la poubelle?

Des impacts plus profonds

C’est le grand débat de ce déconfinement. Mais il s’agit surtout d’une formidable occasion de redéfinir collectivement le travail, sa place et son organisation. Pourquoi? Simplement parce que la covid-19 a joué le rôle d’un stress test à grande échelle pour toutes les entreprises. Les pros et les antis télétravail compris, dans les TPE comme les multinationales. En trois mois, elles ont pu expérimenter de nouveaux modes de collaborations, et juger de ce qui fonctionne ou ne marche pas. Le travail à distance n’est pas une solution toute faite. Il s’agit d’une possibilité qui questionne la bonne marche d’une entreprise, le bien-être d’un collaborateur, la notion de leadership, les processus décisionnels, les rapports sociaux dans l’entreprise, le travail en équipes, l’organisation.

En bref, le débat actuel autour du télétravail impacte l’ensemble de l’entreprise, ses structures et ses forces. L’avenir s’esquisse (s’annonce)donc dans un semi équilibre entre le travail à distance et le présentiel. Plusieurs voix se font entendre dans les médias pour définir un rapport 60%/40% entre le présentiel et le télétravail. D’autres vont plus loin en revendiquant des modes de fonctionnement «à la carte» à choix selon les préférences des collaborateurs. Où placer le curseur? La décision revient à chaque entreprise selon sa structure, sa culture et son secteur d’activité. Ce qui est certain, c’est qu’elles vont devoir faire preuve d’agilité pour s’adapter à cette nouvelle réalité.

Retrouvez l’article original sur le site de Softcom

Le principal objectif du conseil d’administration est d’assurer la prospérité de l’entreprise tout en répondant aux intérêts de ses actionnaires. Afin d’assurer cette fonction, le conseil d’administration doit, entre autres, s’assurer que les risques pouvant atteindre à la réputation et le bénéfice de la compagnie sont minimisés.

Ainsi, en 2020, il est indispensable pour la direction ou le conseil d’administration d’une entreprise de prendre en compte les cyber-risques. La dépendance des entreprises à leur système informatique n’est que rarement évaluée à sa juste valeur ; ce n’est, généralement, qu’à la suite d’un incident que les employés et la direction constatent le rôle stratégique que leur infrastructure digitale joue dans l’accomplissement de leur mission. Cette prise de conscience est essentielle afin de pouvoir démarrer une conversation constructive autour de la cyber-sécurité :

Quelle est la présence en ligne de mon entreprise et dans quelle mesure cette présence influence les décisions d’achat de mes clients ? Quelle est notre dépendance à notre système informatique et quels sont les acteurs tiers en jeu ? Quel dommage nous causeraient la perte de fonctionnalité de notre système, la publication de nos données internes, la modification d’informations liées à nos processus métiers ?Le but de la cyber-sécurité, qu’elle soit gérée en interne ou outsourcée à une compagnie spécialisée, est de comprendre et mitiger ces risques. Toutefois, ces dangers ne sont souvent pas aussi tangibles et sont généralement plus techniques que ceux historiquement traités lors des conseils d’administration, entravant ainsi la capacité des décideurs à comprendre et saisir toute l’ampleur des risques inhérents à la cyber-sécurité. Il est essentiel de traiter les cyber-risques comme tous les autres risques business de l’entreprise et ne pas les réduire à une simple problématique IT : connaître les processus les plus critiques de l’entreprise et évaluer l’impact d’une interruption n’est pas un problème informatique mais une nécessité stratégique. Ce biais généralisé trouve aussi sa faute dans l’approche des informaticiens. En effet, plutôt que de se concentrer sur les activités commerciales les plus importantes qui pourraient être perturbées par une cyber-attaque, les responsables se focalisent souvent sur les technologies individuelles pour résoudre les problèmes spécifiques au sein de leurs systèmes informatiques. Mettre l’accent sur la correction des vulnérabilités informatiques est séduisant, car c’est de tangible et calculable. Ainsi, une entreprise peut dépenser toutes ses ressources, qui sont déjà rares, pour corriger ces vulnérabilités sans jamais s’attaquer au problème fondamental : la protection des activités commerciales pour lesquelles les ordinateurs ont été achetés. Probablement, l’un des plus grands défis auquel les conseils d’administration doivent faire face, dans le contexte de la cyber-sécurité, est de se familiariser avec les cyber-menaces et de comprendre quelles sont les stratégies de défense possibles. Il y a donc deux points différents à considérer : la compréhension des cyber-risques auxquels l’entreprise est confrontée, et comment ils peuvent affecter le business.

L’impact d’une cyber-attaque

Pas une semaine ne passe sans qu’on entende parler d’un cyber-incident ou d’une cyber-attaque contre une entreprise. Généralement, une fuite de données entraîne immédiatement une chute du cours des actions, nuit à la réputation de la marque, remet en cause la compétence du conseil d’administration et du leadership, et l’expose à des poursuites légales. Pour les PME le risque est bien réel ; en 2018 on estime que plus de 40% des PME suisses ont eu un cyber-incident et que 33% d’entre elles ont subi une perte financière due à ces attaques. On observe aussi que plus de la moitié des PME victimes d’une cyber-attaque grave doivent déposer leur bilan dans l’année suivante. Du côté des grandes structures, le risque est très différent. Aucune des entreprises victimes des plus grands piratages des sept dernières années, soit Target (2013), Sony (2014), Yahoo (2016), Equifax (2017), Maersk (2017), Marriott (2018) et Capital One (2019), n’a été contrainte de se mettre en faillite. Cela étant,  les attaques ont couté entre $200 et $400 millions chacune et, dans la majorité des cas, des membres de la direction ont été licenciés. C’est pour cela que, quel que soit le segment industriel ou la taille d’une entreprise, sa pérennité dépendra à terme d’une solide gestion pro-active des cyber-risques.

Les menaces qui visent votre compagnie

Chaque compagnie est confrontée à des risques qui lui sont propres. Certes, il y a des dangers communs à tous, tels une attaque de ransomware, un vol de donnée ou la corruption d’un système, mais c’est en connaissant ses propres particularités qu’une entreprise arrive à avoir une cyber-résilience efficace. Pour se faire, il faut correctement comprendre quels sont les processus critiques pour l’entreprise et leurs interdépendances, il faut ensuite évaluer quels sont les risques et dangers liés à ces processus. C’est en effectuant cette démarche de façon systématique que les entreprises peuvent mettre en place un programme de gestion des cyber-risque et établir leur modèle de cyber-maturité. C’est uniquement une fois ces démarches effectuées que les informations récoltées peuvent être traduites en termes techniques ; ainsi, il sera possible de définir les outils et procédures à mettre en place afin de minimiser les risques. Prenons pour exemple une entreprise qui décide de migrer leur ERP (Enterprise Resource Planning) vers le cloud pour faciliter la mobilité et le télétravail de ses employés (décision stratégique afin d’avoir un avantage compétitif). L’ERP a été défini comme un système critique de la compagnie et sa migration dans le cloud l’expose à des nouveaux risques d’accès non autorisés (danger identifié comme non acceptable par la direction). L’équipe cyber peut alors proposer de mettre en place de l’authentification forte, un accès limité aux appareils préautorisés et de l’analytique comportementale sur l’activité des utilisateurs (plan de mitigation).

Conformité VS sécurité

La sécurité et la conformité sont souvent vues comme les deux faces d’une même pièce, et très souvent les conseils d’administration pensent qu’en étant conformes ils seront d’office protégés contre des cyber-attaques : toutefois, ceci n’est pas forcément le cas. La sécurité consiste à mettre en œuvre des contrôles et processus pour protéger les biens. La conformité, à l’inverse, est la validation des points de contrôle afin de répondre correctement aux exigences réglementaires ou contractuelles d’un tiers. La sécurité est adaptée aux particularités et réalités de chaque organisation. Elle se concentre sur l’atténuation globale des risques pouvant nuire à la pérennité de l’entreprise. La conformité mesure si un programme de sécurité répond à un ensemble particulier de normes génériques concernant une industrie ou un secteur d’activité.Aussi, les exigences de conformité changent lentement et de façon prévisible, tandis que le paysage de la sécurité / des menaces est en perpétuel changement ; cela signifie que la conformité est souvent en retard par rapport aux menaces actuelles. Les régulateurs se soucient de la conformité, mais les hackeurs sont opportunistes et exploitent les vulnérabilités ou contournent les règles. C’est pour cela que, même en suivant scrupuleusement les règles de conformité, la sécurité recherchée n’est pas pour autant assurée.

Planifier en cas d’incident

Malgré tous les efforts mis en place par les entreprises afin de se protéger correctement contre les cyber-attaques, des incidents arrivent régulièrement et certaines entreprises se font hacker. Les plans de continuité et de reprise d’activité sont donc des éléments indissociables d’une stratégie de cyber-sécurité. Ces plans permettent à une entreprise de se relever après une cyber-attaque et de retourner le plus rapidement possible à la routine. De nombreuses régulations exigent que le conseil d’administration supervise la mise en place de ces plans. Il faut donc, entre autres, établir la durée maximal tolérable pendant lequel les systèmes informatiques pourraient être perturbés ou dysfonctionnels et mettre en place une stratégie réaliste pour s’y conformer.

Que demander à son équipe de cyber-sécurité ?

Pour que l’équipe cyber d’une entreprise puisse être efficace, le conseil d’administration doit être clair sur son appétit du risque et le niveau de risque maximum que l’entreprise est prête à prendre en vue d’atteindre ses objectifs stratégiques. Des renseignements exhaustifs concernant les craintes (employé malveillant, espionnage gouvernemental, etc.) et la tolérance au risque (travail depuis la maison, portail web pour les clients, etc.) permettront aux responsables de la cyber-sécurité d’effectuer un travail efficace aligné avec les attentes de la direction. Il est important de relever qu’habituellement les indicateurs utilisés par les équipes cyber pour estimer la résilience et la posture de cyber-sécurité de l’organisation ne sont pas directement transférable à une approche business. Afficher sur un PowerPoint la liste et le nombre d’attaques bloquées présente bien, mais n’apporte en pratique qu’une très petite valeur à la conversation. Essentiellement, nous voyons trois points essentiels à présenter à un conseil d’administration :

  1. Quelle est la maturité du programme cyber, quels en sont les points faibles et comment ils impactent l’entreprise. 
  2. Quelles ont été les activités entreprises par l’équipe cyber afin de résoudre ces problèmes et diminuer ces risques. 
  3. Quel est l’avancement du processus et quelles sont les éventuelles complexités à venir (en terme business).

La cyber-sécurité aujourd’hui n’est plus une problématique informatique, mais bien un impératif stratégique. Elle doit s’adapter en permanence à l’innovation de l’entreprise, aux nouvelles attaques, aux besoins des employés et aux exigences des clients. Pour ce faire, elle doit donc être indépendante du département informatique, et le conseil d’administration doit directement et régulièrement s’impliquer dans les stratégies et décisions concernant la cyber-sécurité.

Steven Meyer, ZENDATA

Retrouvez l’article original sur le site de ZENDATA

J’ai vécu la révolution numérique assez tardivement acquérant mon premier iPhone en 2014 en m’installant à New-York. Ma vie en a été totalement bouleversée. Google map m’a permis de trouver n’importe quelle adresse, l’application Metro m’a rendue indépendante, celle d’Airbnb de trouver un logement et Currency de connaitre le cours du change au moment de faire un achat. J’ai pu écouter de la musique sur iTunes, lire sur Kindle, et gérer mes rendez-vous d’un siège de taxi sur l’email intégré de mon téléphone. Je pouvais prendre des photos sur le pouce que je partageais ensuite instantanément sur Facebook et converser en direct sur WhatsApp avec mes proches sur un autre continent. Pour trouver une information, internet n’était pas plus éloigné que la poche de ma veste.

Les nouvelles technologies m’ont offert une autonomie grisante et permis de monter une affaire de façon fluide et surtout, rapide !

Mot clé, la rapidité est le prix à payer pour l’hyper-connectivité. Pour nous tous, le rythme s’est accéléré. Joignable en tout temps par email ou téléphone, la pression s’est accentuée sur le monde du travail. Le rythme est devenu si soutenu que la période de quarantaine due à la pandémie a secrètement été accueillie avec soulagement par de nombreuses personnes soumises à un rythme devenu infernal.

Ainsi, les nouvelles technologies, qui nous offrent une autonomie magnifique, ont dévoilé un autre versant, plus sombre et plus difficile à gérer : celui de la dépendance. La soumission au rythme accéléré du monde et à l’impératif d’une productivité et d’une efficacité exponentielles, à tous les niveaux et dans tous les secteurs de la société d’une part. La soumission aux GAFA d’autre part, ces quatre entreprises les plus puissantes du monde de l’internet (Google, Apple, Facebook et Amazon) qui collectent de nombreuses données personnelles minute après minute vis WhatsApp, nos payements par carte, notre GPS, nos multiples applications et nos recherches internet.

Un nouveau tournant technologique est pris aujourd’hui avec une toute dernière innovation, l’application Covid de traçage de la population pour enrayer la pandémie. Elle est mise en place en Suisse, mais aussi en France, en Autriche, en Islande et à Singapour. Une étape cruciale puisqu’elle ne provient pas d’un géant privé des GAFA, mais de l’État lui-même, ce qui est très différent. Ouvre-t-elle l’ère de la surveillance généralisée des citoyens par l’Etat puisqu’elle permet potentiellement de nous identifier, de nous localiser, nous ainsi que les lieux et les personnes que nous fréquentons ? Est-elle un premier pas vers la visibilité absolue ? Augure-t-elle la fin de notre liberté ?

Pour l’économiste et historien Nicolas Bavarez, « La technologie n’est ni liberticide ni incompatible avec l’état de droit, à l’image des démocraties d’Asie, telles que la Corée du Sud, Taiwan et le Japon qui ont su faire face à la crise en conjuguant anticipation et agilité des pouvoirs publics, utilisation responsable des technologies, respect de l’Etat de droit et mobilisation des citoyens ». Il est vrai que dans la démocratique Corée du Sud, par exemple, l’application et la base de données sont gérées en dehors du gouvernement. Il n’y a pas de traçage individuel ou collectif. Les accès aux données sont cantonnés et contrôlés.

Mais ce n’est pas le cas dans la très non-démocratique Chine où Xi Jinping a saisi l’occasion de renforcer son système de surveillance via le croisement des données de santé et de la géolocalisation. Cette Chine qui a mis en place depuis deux ans déjà une stratégie globale de surveillance de masse à l’aide des nouvelles technologies. Elle les utilise pour la géolocalisation (via la reconnaissance faciale), mais aussi pour stocker d’autres données telles que l’analyse des comportements, le mode de vie, les opinions politiques, les habitudes d’achat et des informations sur l’état émotionnel de ses citoyens. Ces données sont aujourd’hui utilisées pour autoriser ou non l’accès à certains services, (un restaurant ou un magasin un diplôme, un crédit, un passeport etc..).

Nos sociétés démocratiques sont des garde-fous à une telle dérive mais la Chine n’est pas un cas isolé. Selon la Fondation Carnegie pour la Paix Internationale, « la technologie de surveillance globale de l’intelligence artificielle prolifère de façon rapide dans un nombre croissant d’Etats pour recenser, suivre et surveiller les citoyens afin d’atteindre un éventail d’objectifs politiques certains légaux, d’autres qui violent les droits de l’homme et dont beaucoup tombent en milieu trouble ».

Le mois dernier, le milliardaire Elon Musk a devancé les États et place en orbite son projet Starlink, à terme des dizaines de milliers de petits satellites, afin de pourvoir en internet les zones les plus reculées de la planète, devançant Amazon, Oneweb, Link et Facebook qui travaillent sur des projets similaires. Autant dire que les nouvelles technologies seront très bientôt incontournables où que l’on se trouve sur la planète.

Leur impact écologique n’est pas négligeable non plus. La pollution de l’espace due à la multiplication des satellites entraine aussi au sol le déploiement inévitable des antennes 5G sans lesquelles ces nouvelles technologies, application COVID comprise, ne peuvent pas fonctionner.

Les risques liés au traçage des contacts sont donc nombreux : danger que les données récoltées soient utilisées à d’autres fins – ou reliées à d’autres données pour identifier et éventuellement profiler davantage les personnes, ainsi que le risque toujours présent d’une fuite de données ou d’une cyber-attaque. Risque que cette application soit obligatoire dans un autre pays que nous souhaitons visiter et qui ne garantit pas la protection des données. Risque enfin que la surveillance numérique soit si efficace que les pouvoirs publics y reviendraient à la première occasion pour contrer une autre menace, à commencer par celle du terrorisme, justifiant ainsi la poursuite du contrôle des citoyens, jusqu’à ce que ce contrôle devienne la norme.

Mais peut-on au final aller contre l’évolution technologique ? Il est peut-être illusoire de s’opposer à l’avancée de la science. L’application COVID n’est qu’un élément isolé dans tout un arsenal de moyens numériques. Parmi ceux-ci on peut mentionner la technologie « smart city », c’est-à-dire des villes dotées de capteurs qui transmettent des données en temps réel pour faciliter la gestion des villes et la sécurité publique, celle de la « smart police », un ensemble de technologies analytiques pour faciliter les enquêtes et interventions de la police et prévenir les crimes futurs ainsi que la technologie de reconnaissance des sentiments via la reconnaissance faciale des foules. Tous ces outils sont déjà mis en place dans environ 60% du monde, dont la France, l’Italie et d’autres Etats européens.

Il nous faudra en fin de compte agir comme nous l’avons toujours fait. Se renseigner, s’informer développer notre discernement et notre vigilance. Le monde qui se dessine sous nos yeux est celui d’une révolution en marche qui va continuer de bouleverser nos habitudes et notre mode de vie, agrandir notre champ d’action et nous obliger, en tant que citoyen, d’user de nos droits civiques, et défendre encore et toujours nos libertés individuelles et le respect de notre sphère privée. Au final, notre seul rempart sont des institutions démocratiques fortes, transparentes et saines.

Virginie Claret

Virginie Claret est une journaliste freelance qui publie régulièrement dans différentes publications en Suisse et à l’étranger

L’impact global créé aujourd’hui au niveau mondial par la crise du coronavirus doit nous interroger sur la maîtrise de la gestion des risques et la pertinence des méthodes utilisées.

Concernant les risques créés par l’homme, les exemples guerriers ne manquent pas : attaque de Pearl Harbour le 7 décembre 1941, destruction du Word Trade Center et d’autres bâtiments symboliques à New-York le 11 septembre 2001. Cependant, les attaques dues à l’imagination de l’adversaire ne permettaient guère de faire une analyse de risque en tenant compte de la probabilité de l’évènement puisque, par nature, l’ennemi jouait sur l’effet de surprise.

Dans un contexte d’évènements naturels ou d’accidents relevant d’infrastructures critiques (pandémies, inondations, tremblements de terre, accidents liés aux centrales nucléaires, …), la situation est différente puisqu’il existe des cas précédents. Dans cas, on peut bien sûr élaborer une gestion de risques qui tienne compte de ces expériences passées. Pourtant, il faut constater que certaines mesures qui ont été élaborées pour répondre à certaines menaces n’ont pas été très appropriées. Si l’on prend acte des diverses pandémies dans l’histoire de l’humanité, les exemples ne manquent pas concernant le nombre de décès (François-Guillaume Lorrain, 2020)[1] : peste antonine, 3.5 à 7 millions de décès (empire romain – années 165-180), peste justinienne, 25 à 100 millions (années 541-542), grippe espagnole, 20 à 50 millions (années 1918-1919). Plus récemment, le VIH, 32 millions depuis 1981. Dans une moindre mesure, on note également le Stras (2002), la grippe A (H1N1), le Mers depuis 2012 et Ebola (années 2013-2016).  Pourtant, si l’on prend le cas de la France aujourd’hui concernant le Covid-19, une polémique fait débat sur le stock de masques disponibles qui étaient de 1,4 milliards en 2010 et de 117 millions en 2019. Une enquête du Monde (Davet et Lhomme, 2020)[2] montre une dilution des responsabilités, des lacunes de gouvernance avec l’argumentaire d’une logique économique au détriment de la santé de la population. Ces choix structurels ont eu un impact important sur le nombre de décès à ce jour en regard avec la pandémie actuelle. Dans ce cas précis, il n’y a pas qu’une probabilité faible de survenance de la menace qu’il faut considérer mais également le choix des décisions étatiques, lien entre la microéconomie et macroéconomie.

Voici quelques pistes de réflexion en tenant compte des questions suivantes :

  1. Est-ce que les évènements improbables (probabilités hors courbe de Gauss) ne doivent-ils pas être reconsidérés ?
  2. Est-ce qu’il serait possible de modéliser des scénarios de manière plus robuste ?
  3. Est-ce que les méthodologies existantes de gestion de risques sont fiables ?
  4. Comment considérer le rôle de l’Etat et les liens micro-économiques ?

Le hasard et les probabilités

Imaginons une personne qui marche dans la rue. Cette personne sait évidement si elle tournera ou pas au prochain croisement. Il n’y a de hasard que pour l’observateur extérieur qui ne peut prédire la loi qui régit les intentions de cette personne. Si on lance des dés, ils « savent » où ils vont aller selon un parcours optimal mais les approximations faites lors de cette mesure sont amplifiées par des effets non linéaires (Philippe Pagot, 2019)[3]. Lorsque l’on répète ces gestes, la loi des grands nombres[4] permet d’élaborer une moyenne qui se stabiliserait autour d’une valeur limite. Par exemple, le lancer d’une pièce pour obtenir pile serait de 0.5 après un nombre conséquent de lancers. Cette loi des grands nombres et le théorème de la limite centrale décrivent le comportement de la moyenne d’un grand nombre de petites contributions indépendantes mais ne tiennent pas assez compte d’évènements rares. Cette courbe en cloche est mise pourtant à contribution dans beaucoup de domaines tels que les sciences sociales, la physique, l’économie, la biologie et plus récemment la sécurité de l’information. Cependant, certains projets d’infrastructures critiques ont tenu compte de cette probabilité rare de la survenance d’une menace pondérée par l’impact. Ainsi, le barrage d’Oosterschelde, aux Pays-Bas, a été conçu pour que la probabilité qu’une marée le dépasse soit inférieure à 1/10’000. La théorie des valeurs extrêmes indiqua que la hauteur des digues devait être de 5 mètres au moins (Cont, 2018)[5].

La prise en compte d’une approche systémique

D’autres exemples sont malheureusement moins heureux. Si l’on prend l’exemple de Fukushima en 2011, des mesures de protection avaient été prises mais avec une mauvaise évaluation de l’impact cumulé d’un séisme de magnitude 9 qui déclencha un tsunami. Autre exemple en 2011, une gigantesque panne de courant dans le sud de la Californie a impacté 1.4 millions de clients avec pour effets : embouteillages sur les autoroutes du sud de la Californie, perturbation de l’approvisionnement en eau dans les comtés de San Diego et de Tijuana, fermetures d’écoles à San Diego, annulation de vols à l’aéroport international de San Diego. En Suisse, une simulation d’un tremblement de terre à Bâle en 2008 a montré que les impacts directs concernaient des blessés et des bâtiments détruits mais également les secteurs suivants : l’énergie, la finance, les télécommunications, le traitement des eaux et les systèmes de transport. La difficulté réside donc dans l’appréciation des impacts en considérant les facteurs de dépendances. Les liens de causes à effets sont multidimensionnels. Les mathématiques et les statistiques permettent de répondre à des scénarios complexes. Ainsi, la modélisation du climat tient de plus en plus compte de l’impact de la végétation et des sols pour établir des scénarios d’évolution (Delbecq, 2019)[6]. Ceci nécessite cependant une très grande puissance informatique. Dans le cas d’une pandémie, des chercheurs ont analysé les facteurs tels que le comportement des microbes, celui des personnes, les liens entre les populations, l’organisation des transports (Poletto, 2019)[7].

Sécurité de l’information : la fiabilité des méthodes de gestion des risques

Dans le cas plus précis du domaine de la sécurité de l’information, il est possible d’être confronté à plusieurs types de situation : des évènements répétitifs qui vont pouvoir ajuster votre probabilité en tenant compte du vécu de l’entreprise. Par exemple, des attaques périodiques passées qui vont permettre de valider la valeur de votre indicateur. Dans le cas contraire, la probabilité de survenance d’un évènement est donc faible. Le nombre proposé est de nature plus subjective et certainement difficilement quantifiable. Nous sommes dans le cas du hasard sauvage. Cependant, de nombreuses méthodes de gestion de risques (Octave Allegro, Mehari, …) utilisent le ratio probabilité x impact. On peut donc légitimement se poser la question sur la véracité des modèles proposés. De plus, les menaces sont souvent considérées selon une approche silo. Ainsi, la norme ISO 27001 vous indique quelles sont les procédures à suivre pour permettre une future certification. Les contrôles sont répertoriés selon une liste exhaustive par chapitres. Par exemple dans la partie annexe : A.8 la gestion des actifs, A.11 la sécurité physique et environnementale, A12 la sécurité liée à l’exploitation. Imaginons cependant le cas d’une inondation dans une salle informatique, qui va affecter un serveur puis les données stockées sur ce serveur. Est-ce que chaque élément doit être traité de manière indépendante ? Dans un domaine très voisin concernant le management des systèmes d’information, de nombreuses publications utilisent des modèles statistiques pour expliquer des dépendances possibles (Frantz Rowe, 2002)[8] depuis de nombreuses années. Aujourd’hui, des auteurs utilisent des méthodes statistiques pour valider leur recherche, y compris dans le domaine spécifique de la sécurité de l’information (Barlette & Jaouen, 2019)[9].

Conclusion

Il semble donc que ce domaine de la prévision soit peut-être plus complexe qu’il n’y paraît, en tout cas, qu’il dépasse les approches classiques que l’on peut répertorier dans des analyses classiques, y compris dans le domaine spécifique de la sécurité de l’information. Il y a lieu d’élaborer des scénarios plus élaborés de gestion de risques en tenant compte de cette approximation concernant la qualité des indicateurs, mais également de considérer des systèmes avec toutes leurs complexités et leurs liens de dépendances. Ceci devrait permettre d’ouvrir de nouvelles pistes de recherche.  

Jean-Luc Pillet, Université de Genève
Membre du comité Clusis



[1] François-Guillaume Lorrain, 2020, « Et les puces précipitèrent la chute de l’empire romain … », Le point, N°2486, p. 58.

[2] Gérard Davet et Fabrice Lhomme, 2020, « Masques : comment la France a détruit ses stocks », Le Monde, 9 mai 2020, p. 22.

[3] Philippe Pagot (2019), « Le hasard fait bien les choses », Le hasard et ses lois, La recherche, juillet-août 2019, p. 38

[4] Cette loi des grands nombres, établies au XVIIIe siècle par Jacques Bernoulli, assure que, lorsque la taille de l’échantillon est assez grande, la moyenne empirique de l’échantillon tend vers la moyenne théorique de la variable aléatoire qu’il représente

[5] Rama Cont, « Prévoir l’improbable », Pour la science, février-mars 2018, p. 14

[6] Denis Delbecq, 2019, « La modélisation du climat, gourmande en calcul », La recherche, N°31, p. 78

[7] Chiara Poletto, « Nous modélisons la propagation des virus », Les Maths et le réel, La recherche, N°31, p. 81

[8] Frantz Rowe, 2002, Faire de la recherche en systèmes d’information, Vuibert Fnege

[9] Yves Barlette & Annabelle Jaouen, 2019, « Information security in SMEs : determinants of CEOs’, prospective and supportive behaviors », Systèmes d’information et Management, ed. Eska, N°3, vol. 24 – 2019

A l’arrêt, plusieurs entreprises se sont rendues compte qu’elles pouvaient fonctionner plus ou moins normalement, et plus efficacement. Les prémices d’un changement en terme de process, de management, de recrutement et de gestion des coûts?

Une rupture brutale avec le passé. C’est le sentiment vécu par bon nombre de PME romandes depuis le 16 mars, date de la mise sous cloche de l’économie helvétique par les autorités fédérales. Du jour au lendemain, grâce à la généralisation du télétravail, elles ont gagné en agilité. Une agilité contrainte pour certaines et organisée dans l’urgence pour ne pas laisser trop de plumes dans cette crise qui promet de durer. Celles qui adoptaient déjà cette légèreté traversent la tempête avec sérénité.

Plusieurs semaines de confinement plus tard, les PME, actives dans les services administratifs, réfractaires prennent petit à petit conscience qu’elles fonctionnent plus ou moins normalement, et plus efficacement. Les prémices d’une généralisation du télétravail et d’une culture d’agilité? Quels impacts cette contrainte de travail à distance a-t-elle sur les processus internes d’antan, le management, le recrutement et la gestion des coûts? Les observateurs et les experts sont formels: la crise va impacter définitivement la manière de travailler.

Remise en question des processus

La surprise viendrait d’un retour aux modes de fonctionnement d’avant. Tout simplement parce que la situation sanitaire a forcé l’ensemble des acteurs d’une entreprise à penser différemment, révélant au passage la lourdeur ou l’inutilité de certains processus, du caractère parfois chronophage du présentiel et des séances. Une fois que le confinement sera levé, les processus d’avant seront remis en question par les collaborateurs, car ils devront évoluer, et de nouveaux indicateurs devront être définis. Le management va devoir s’adapter pour ne pas retomber dans les anciens schémas.

Le changement va donc venir d’en bas, c’est-à-dire de la part des collaborateurs qui ont pris leurs marques dans ce confinement. Celles et ceux qui réalisent un gain d’efficacité à la maison. Ils ont découvert qu’ils pouvaient travailler deux heures le matin, s’occuper des enfants ensuite et retravailler l’après-midi, voire le soir, selon l’organisation familiale. Il est certain qu’un retour en arrière après le confinement pourrait être difficile. Les entreprises se disent déjà qu’elles n’ont pas besoin de si grands bureaux, et autant de présentiel.

Un profond changement culturel

Cette évolution n’est pas nouvelle, mais elle généralise une méthodologie agile déjà présente dans de nombreuses PME suisses, dont Softcom. Ces dernières misent sur le travail dit intelligent: le work smart en jargon managérial. C’est-à-dire la mise en place de conditions de travail plus flexibles et intelligentes. Par exemple une réduction des bureaux au profit du télétravail, une réorganisation des équipes et une gestion collaborative des projets, la mise en place d’outils de travail à distance, des horaires libres, une plus grande responsabilité décisionnelle conférée au collaborateur… Bref, la situation vécue par une partie des actifs suisses depuis le confinement.

En pratique, la mise en place de telles initiatives imposent aux entreprises un profond changement culturel. Elles exigent un effort continu de flexibilité afin de s’adapter aux changements à venir dans le monde du travail, car il y en aura d’autres après le coronavirus. Le vieux management qui résistait au télétravail pour des raisons de contrôle a été mis en échec par le covid-19. Tous les managers vont devoir faire preuve d’intelligence pour digérer les changements en cours et insuffler davantage d’agilité dans leurs départements et leurs pratique. Avec le confinement, ils ont dû gérer les équipes à distance. Ils ont dû faire confiance, car dans l’impossibilité de tout contrôler.

La fin des vieux schémas managériaux

Le manager traditionnel va devoir faire confiance, déléguer et guider plutôt que gérer des collaborateurs. L’avenir se nicherait donc dans le management bienveillant. Pourtant, en Suisse comme à l’étranger, le mot d’ordre des chefs d’Etats est une reprise rapide de l’économie. Reprendre et produire pour retrouver le niveau d’avant. Dans cette urgence de sauver les meubles, n’y a-t-il pas le risque de renouer avec les vieux schémas? Trop tard. Le changement est en cours. C’est certain, la hiérarchie dans des entreprises même très pyramidales va s’assouplir. Avec la crise, tout le monde s’est responsabilisé. Cette tendance montante vers l’autogestion va perdurer.

Retrouvez l’article original sur le site de Softcom

Contrecarrer les cybermenaces sur les centrales nucléaires

Des normes internationales et des bonnes pratiques sont nécessaires pour assurer la cyber-résilience des centrales nucléaires. La Commission électrotechnique internationale (IEC) coopère avec l’Agence internationale de l’énergie atomique et d’autres organismes de normalisation, des organisations nationales et internationales, ainsi qu’avec l’industrie nucléaire de tous les pays pour assurer cette cyber-résilience.

par Morand Fachot, rédacteur technique à la Commission électrotechnique internationale (IEC). Journaliste à la BBC sur les questions géopolitiques et technologiques liées à la sécurité internationale (1991-2002) et freelance pour la BBC depuis 2018. A écrit également pour le Financial Times Business Group; analyste média pour la BBC et, depuis 2010, pour l’Association for International Broadcasting (GB).

La protection des infrastructures critiques – une priorité pour tous les pays

La portée et le coût des cyber-activités malveillantes (“cyberattaques”) augmentent dans le monde entier. Outre les pertes financières, les attaques contre les infrastructures critiques suscitent de plus en plus d’inquiétude en raison de conséquences catastrophiques possibles.

Le concept d’infrastructure critique couvre des domaines différents selon les pays. Le gouvernement américain répertorie 16 secteurs d’infrastructures critiques. Trois d’entre eux, les barrages, l’énergie et les “réacteurs nucléaires, matériaux et déchets” sont directement liés aux systèmes électriques. Les listes d’autres pays peuvent être similaires ou regrouper les centrales hydroélectriques et nucléaires et l’approvisionnement électrique dans un seul secteur “énergie”, ce qui est le cas en Suisse.

La protection des infrastructures critiques contre les cyberattaques devient une priorité pour une majorité de pays.

Les installations énergétiques sont au cœur même de l’ensemble de l’infrastructure critique. Ces dernières années, elles sont devenues une cible de choix des cyberattaques, dont certaines visaient, très probablement également, à identifier d’éventuelles vulnérabilités susceptibles d’être exploitées dans l’avenir.

Des réseaux électriques ont été ciblés (Irlande 2017) et même paralysés (Ukraine 2015-2016), ainsi que des installations hydroélectriques (États-Unis 2013) et nucléaires (États-Unis 2014, Inde septembre 2019, etc.).

La compagnie Symantec annonçait, en octobre 2017, une recrudescence des cyberattaques dirigées contre les secteurs de l’énergie en Europe et en Amérique du Nord et affectant, entre autres, des opérateurs de centrales nucléaires aux Etats-Unis.  

Les cyberattaques contre des centrales nucléaires, si elles réussissaient, auraient certainement les conséquences les plus dévastatrices en ce qui concerne l’approvisionnement électrique, mais également en raison d’un impact potentiel très grave et à très long terme sur l’environnement et la santé des populations avoisinantes.

Centrales nucléaires construites pour la sécurité, pas les cybermenaces

Selon Bill Gross, chef de projet principal à l’US Nuclear Energy Institute (NEI), les systèmes d’une centrale nucléaire se divisent en deux catégories principales.

  1. Les systèmes primaires qui contrôlent le réacteur lui-même et, si nécessaire, le débranchent et le maintiennent dans les conditions de sureté nécessaires pour le protéger.
  2. Les systèmes secondaires qui eux contrôlent les équipements de production d’énergie. Un grand nombre de ces systèmes, construits il y a des années, reposent toujours sur un équipement analogique non connecté au réseau et donc moins vulnérable aux cyberattaques.

“Les systèmes primaires sont conçus dès le départ pour assurer la fonction de sécurité voulue indépendamment de tout type de phénomène naturel ou d’origine humaine. Il n’y a pas de cyberattaque susceptible d’empêcher nos systèmes de sécurité d’arrêter efficacement le réacteur”, car, selon Bill Gross, les systèmes primaires et secondaires des centrales nucléaires sont isolés les uns des autres pour une plus grande protection.

Cependant, les deux systèmes des anciennes centrales nucléaires sont progressivement équipés d’équipements numériques, tandis que les nouvelles centrales sont conçues avec des systèmes primaires et secondaires entièrement numériques.

Protection protéiforme contre multiplicité d’acteurs hostiles et de menaces

Les attaques contre les infrastructures critiques sont fréquentes et peuvent être lancées par une multiplicité d’acteurs – états, organisations non-étatiques ou criminelles et également, dans le cas spécifique des installations nucléaires, activistes antinucléaires.

Sans compter les cyberattaques, la protection des infrastructures critiques, nucléaires en particulier, nécessite des mesures physiques comme le contrôle d’accès aux installations et aux matières radioactives sur site et pendant leur transport, et la prévention des menaces internes (employés, fournisseurs de systèmes et services, etc.)

La cyberprotection des centrales nucléaires exige un ensemble de mesures techniques, l’adoption de normes internationales et de bonnes pratiques de la part des entreprises productrices d’énergie, et de l’ensemble de leurs chaînes logistiques, y compris les prestataires de services, fournisseurs et leur personnel.

Outre l’Agence internationale de l’énergie atomique (AIEA), dont le rôle est d’assurer un usage sûr et pacifique des technologies et des sciences liées au nucléaire, d’autres organisations nationales et internationales s’occupent d’assurer la protection des installations nucléaires, en particulier dans le domaine de la cyberprotection.

Le nucléaire en Suisse – présent et futur

Selon les dernières indications de l’Office fédéral de l’énergie, la part de l’énergie nucléaire dans la production d’électricité en Suisse s’élève à 36% en moyenne annuelle sur 10 ans, avec des pointes pouvant atteindre 47% en hiver. Les cinq centrales nucléaires suisses ont une puissance globale de 3,3 GW. Leur taux d’utilisation annuel avoisine les 83%.

L’accident nucléaire de Fukushima (Japon) de mars 2011, suite à un tsunami, a conduit certains pays à reconsidérer le rôle de l’énergie nucléaire dans leur production d’électricité. C’est le cas de l’Allemagne qui a annoncé en avril 2011 sa décision de se retirer du nucléaire à l’horizon 2020. En Suisse, suite à la votation de mars 2017, le Conseil fédéral et le Parlement décident de sortir progressivement le pays de l’énergie nucléaire, avec la mise à l’arrêt des cinq centrales du pays à la fin de leur durée d’exploitation entre 2019 – en commençant par la centrale de Mühleberg qui a arrêté sa production le 20 décembre 2019 – et 2034. Les autres centrales restant en service “aussi longtemps que la sécurité est garantie” et elles ne seront pas remplacées par de nouvelles centrales nucléaires.

Selon le classement du Nuclear Threat Initiative (NTI), organisme indépendant estimant les risques d’attaques catastrophiques au moyen d’armes de destruction massive (nucléaires, biologiques, radiologiques, chimiques et cyber) la Suisse, avec un score de 80/100, se range dans les pays disposant d’un haut niveau de cybersécurité. Ce classement repose sur les cinq cyber critères suivants: cybersécurité obligatoire, protection des systèmes numériques critiques, cybersécurité pour les menaces de référence [DBT – design basis threats], évaluations de la cybersécurité, dispositif de réponse à des cyber incidents.

Cependant ce bon classement ne doit pas donner lieu à une certaine suffisance en raison de la multiplicité des vulnérabilités et de la détermination de certains acteurs hostiles.

Engagement de longue date de l’IEC dans la cybersécurité

L’IEC est étroitement associée au développement de normes liées à la cybersécurité depuis des années grâce à ses travaux au sein de l’ISO/IEC JTC 1/SC 27, un sous-comité développant les normes internationales pour les Techniques de sécurité informatique, cybersécurité et protection de la vie privée, mis en place par ISO/IEC JTC 1, le Comité d’étude commun pour les Technologies de l’information, créé par l’IEC et l’Organisation internationale de normalisation (ISO), dont le siège, comme celui de l’IEC, se trouve à Genève. A noter que le siège de la troisième organisation globale de normalisation, l’Union internationale des télécommunications (UIT/ITU) se trouve également à Genève. Ces trois organisations forment le World Standards Cooperation (WSC).

ISO/IEC JTC 1/SC 27 a préparé des dizaines de documents couvrant divers aspects des techniques de sécurité informatique, y compris la famille de normes ISO/IEC 270** sur les systèmes de gestion de la sécurité de l’information.

Les centrales nucléaires ont des besoins distincts

Pour combler les besoins spécifiques [manquants] de l’industrie nucléaire, le sous-comité SC 45A de l’IEC: Instrumentation, systèmes de contrôle et systèmes électriques des installations nucléaires, un sous-comité du TC 45: Instrumentation nucléaire, a été chargé de développer des normes spécifiques pour la cyberprotection de ces installations.

Jusqu’à récemment, le SC 45A n’avait pas abordé le problème générique de la cybersécurité des centrales nucléaires. Son objectif a donc été de développer des normes pour prévenir, détecter et réagir aux cyberattaques sur les centrales nucléaires.

Cela a conduit à la publication en août 2014 de la norme IEC 62645, première norme internationale IEC visant à définir “des mesures programmatiques adéquates pour la prévention, la détection et la réaction aux actes de malveillance commis par les cyberattaques” sur les systèmes informatiques des centrales nucléaires.

La deuxième édition de cette norme: “Centrales nucléaires de puissance – Systèmes d’instrumentation, de contrôle-commande [I&C] et d’alimentation électrique – Exigences relatives à la cybersécurité”, a été publiée en novembre 2019.

Ce document précise que “les normes telles que l’ISO/IEC 27001 et l’ISO/IEC 27002 ne sont pas directement applicables à la cyberprotection des systèmes numériques programmables d’I&C du nucléaire. Ceci est principalement dû aux spécificités propres à ces systèmes, qui comprennent les exigences de sureté et réglementaires inhérentes aux installations nucléaires”. Cependant, il est également précisé que “ce document est construit sur les principes pertinents de haut niveau et les principaux concepts de l’ISO/IEC 27002, les adapte et les complète pour qu’ils s’accordent au contexte nucléaire.”

IEC 62645 compare également le cadre de sécurité global à celui développé par le NIST (Institut national de la normalisation et de la technologie, des Etats-Unis).

IEC 62645 couvre les domaines suivants:

  • Mise en place et gestion d’un programme de sécurité des systèmes nucléaires. Cela inclut des concepts généraux pour la préparation du programme, des politiques et procédures, des rôles et des responsabilités, la mise en œuvre et le fonctionnement du programme.
  • Mise en œuvre du cycle de vie pour la sécurité du système, comprenant les activités liées aux exigences, à la planification, conception, installation, exploitation, maintenance, etc.
  • Tous les aspects des contrôles de sécurité, tels que la stratégie, l’organisation de la sécurité, la gestion des actifs, le contrôle d’accès, etc.

IEC 62645, développée pour prévenir et / ou minimiser l’impact des attaques contre les systèmes informatiques, est destinée aux concepteurs et aux exploitants de centrales nucléaires, aux titulaires de licence, évaluateurs de systèmes, sous-traitants et autres.

Il s’agit de la première norme spécifiquement conçue pour la cybersécurité dans les centrales nucléaires. En tant que tel, elle devrait s’avérer essentielle pour le secteur nucléaire.

Deuxième norme traite de la coordination entre sécurité et cybersécurité

Une deuxième norme du SC 45A, IEC 62859, Centrales nucléaires – Systèmes d’instrumentation et de contrôle – Exigences pour la coordination de la sécurité et de la cybersécurité, “fournit un cadre pour la gestion des interactions entre la sécurité et la cybersécurité pour les systèmes de centrales nucléaires traitant de ces questions et des spécificités des systèmes numériques programmables d’instrumentation et de contrôle-commande nucléaire”.

Elle établit des exigences et des directives pour:

  • Intégrer les dispositions relatives à la cybersécurité dans les architectures et les systèmes d’instrumentation et de contrôle-commande nucléaire, qui sont fondamentalement conçus pour la sécurité
  • Éviter les conflits potentiels entre les dispositions relatives à la sécurité et à la cybersécurité
  • Permettre d’identifier et d’exploiter les synergies potentielles entre sécurité et cybersécurité.

Cette norme indique qu’elle adapte et complète les normes ISO/IEC 27001 et ISO/IEC 27002 au contexte nucléaire et est coordonnée avec la série IEC 62443: Réseaux de communication industriels – Sécurité des réseaux et des systèmes, préparé par le TC 65: Mesure, commande et automatisation dans les processus industriels.

Comme les autres normes IEC pour les centrales nucléaires IEC 62645 et IEC 62859 ont été élaborées en tenant compte des “principes et aspects fondamentaux de sécurité énoncés dans le code de l’AIEA sur la sécurité des centrales nucléaires”. La terminologie et les définitions utilisées par les normes du SC 45A sont cohérentes avec celles utilisées par l’AIEA.

La présente norme et les travaux en cours de l’IEC SC 45A devraient apporter une contribution significative à une meilleure protection des centrales nucléaires civiles contre les cybermenaces.

Nous remercions la Revue Militaire Suisse qui a aimablement donné son accord à la reprise de cet article, initialement publié dans la RMS en février 2020.

Romain Gueugneau, Les Echos, 11 octobre 2019

Les risques de piratage et d’incidents informatiques vont croissant, à mesure que les banques numérisent leurs services. L’externalisation et la bascule vers le cloud augmentent aussi la probabilité d’accidents. La Banque centrale européenne prend de plus en plus au sérieux ces risques.

Les risques liés à la sécurité informatique sont pris de plus en plus au sérieux dans les couloirs de la Banque centrale européenne (BCE). Dans la cartographie des risques 2020 , publiée ce lundi, le superviseur bancaire pointe “la cybercriminalité et les carences informatiques” comme “l’un des trois principaux facteurs de risque auxquels le système bancaire de la zone euro devrait faire face au cours des trois prochaines années”, juste après “les défis économiques et politiques en matière de soutenabilité de la dette” et la “résilience du modèle d’activité des banques” dans un environnement de taux bas et de concurrence exacerbée.

Dans ce contexte, la conversion du secteur bancaire au cloud peut devenir source de problème. L’américain Capital One l’a appris à ses dépens : la banque, qui travaille avec le géant du cloud Amazon Web Services, a vu les données de 106 millions de clients dérobées. “Avec la migration de services et de données dans le cloud, les banques offrent une porte d’entrée supplémentaire aux hackers”, considère Loïc Guézo, directeur de la stratégie cybersécurité chez Proofpoint, un éditeur de logiciels de sécurité.

“Il ne s’agit pas de limiter cette migration, qui est une tendance lourde. Mais il faut que les banques soient bien conscientes des risques, de ce que cela implique en termes de gestion et de disponibilité des données”, avertit un expert de la BCE, qui signale par ailleurs que certains établissements font parfois machine arrière dans l’adoption du cloud.

Les risques liés à la numérisation

Outre le cloud, l’augmentation du risque informatique va de pair avec la numérisation des services financiers. Les banques proposent de plus en plus aux clients de réaliser leurs opérations en ligne ou sur leurs smartphones. De quoi “amplifier la vulnérabilité des banques face à la cybercriminalité et les carences informatiques opérationnelles”, écrit la BCE dans son rapport.

Le risque cyber vient aussi d’une fragmentation croissante des systèmes informatiques à l’intérieur des banques, qui dépensent plusieurs milliards par an dans leur infrastructure IT. “Le système devient si complexe que les établissements peinent à véritablement pouvoir le protéger, constate un expert à Francfort. Les hackers, eux, savent comment exploiter cette complexité.” En externalisant certaines parties de leur informatique, les banques délèguent la gestion des risques à des tiers.

Intensifier les inspections

D’une manière générale, le superviseur bancaire promet d’être plus attentif aux pratiques en la matière. Il va multiplier les missions d’inspection “sur site”, au cours desquelles il peut dépêcher six à sept personnes pour auditer pendant plusieurs semaines les dispositifs. Objectif : s’assurer que les bonnes pratiques en termes de sécurité informatique sont bel et bien appliquées.

Dans une récente note, la BCE remarquait que la plupart des problèmes de sécurité relevaient d’un défaut dans l’application des règles de détection des risques. “Dans certains cas, les patches logiciels, qui permettent de mettre à jour le système de défense contre de nouvelles vulnérabilités, ne sont tout simplement pas installés”, regrette le superviseur.

Recherches scientifiques, banque, blockchain, monde académique… A l’occasion de son événement au Musée Olympique de Lausanne le 19 septembre 2019, le Clusis a convoqué quatre experts pour débattre des enjeux liés à la confiance numérique.

C’est d’abord l’aveu d’un problème. Face à des applications toujours plus curieuses, face à la démultiplication des scandales de vols de données, et face à la robolution grandissante de la société, pouvons-nous – en tant qu’individus – faire confiance aux entreprises et aux services à qui nous déléguons une part croissante de nos quotidiens d’hommes et de femmes connectés ?

C’est ensuite le constat d’un paradoxe : comment accompagner cette évolution technologique inéluctable, à la fois protectrice de la sphère privée des citoyen.ne.s et garante de la démocratie, face à des outils toujours plus gourmands en données personnelles afin de nous proposer des services performants? Loin de la naïveté des débuts d’Internet, la confiance numérique est l’enjeu crucial de ce siècle.

Confiance numérique : les défis

C’est pour en débattre que le Clusis a convoqué quatre experts, le 19 septembre dernier, dans l’intimité du Musée Olympique de Lausanne. Au fil des conférences et des débats, cet événement soutenu par l’entreprise de cybersécurité Darktrace Limited, a permis de saisir les enjeux de la confiance numérique dans quatre domaines-clés : la recherche scientifique, la banque et la finance, le monde académique et la blockchain.

Pour en parler, et esquisser des pistes de solutions, le Clusis a convoqué Kevin Warwick, professeur de cybernétique à l’Université de Coventry (UK), Christian Meixenberger, Directeur général de la division des services informatiques de la Banque cantonale vaudoise. Mais aussi Jean-Henry Morin, professeur Associé ISS à l’Université de Genève et Mike Gault, fondateur et directeur général de Guardtime. Compte-rendu

Dans la peau d’un cyborg

En Grande-Bretagne, Kevin Warwick peut se targuer d’être le premier cyborg dans l’histoire de l’humanité. A 65 ans, le professeur au département de cybernétique de l’Université de Reading est un expert mondial dans les domaines de la robotique, de la bioéthique, et plus récemment, de l’intelligence artificielle. Depuis la fin des années 1990, il joue les cobayes – avec sa femme – pour la recherche scientifique en implantant dans son corps des composants électroniques qui lui permettent d’interagir avec des ordinateurs et des robots.

C’est en 1998 que ce Frankenstein contemporain augmente son corps pour la première fois. Il s’agit d’une puce RFID qu’il s’implante sous le coude du bras gauche. Kevin Warwick ne vivra que neuf jours dans la peau d’un cyborg. Mais le souvenir « phénoménal » des nouveaux pouvoirs qui lui ont été conférés le poussent à aller plus loin. Avec son projet baptisé « The Brain Gate », le scientifique franchit les portes du cerveau. D’abord celui d’une souris, qu’il équipe d’une puce pendant 72 heures. Puis le sien, et plus tard, celui de sa femme.

A l’avenir, tous augmentés ?

Nous sommes en 2002. Une interface neuronale conçue par le Docteur Mark Gasson est implantée dans le système nerveux de Kevin Warwick. L’expérience inédite va durer trois mois. Cette technologie lui permet de prendre le contrôle à distance d’une main robotique en s’appuyant sur n’importe quel réseau Wi-Fi pour établir la connexion avec la main bionique. Ces expériences scientifiques sur le cerveau fascinent ou rebutent, mais elles ouvrent les portes à des remèdes pour les personnes atteintes d’une maladie neurodégénérative, victimes d’une amputation ou souffrant d’un handicap.

Selon Kevin Warwick, cette technologie ne doit pas s’appliquer uniquement aux personnes handicapées, mais à l’ensemble des individus car nous sommes tous handicapés d’une manière ou d’une autre dans notre manière de communiquer. Certes, mais quid de l’éthique? Les « body hackers » ne démocratisent pas la technologie, mais se rendent plus dépendants des sociétés qui la fournissent. Avant de la démocratiser, il faut donc savoir à qui elle profite sur le marché.

Fait rare dans un secteur si confidentiel, Christian Meixenberger a dévoilé une partie des enjeux numériques et de sécurité qui touchent le monde bancaire. Celui qui siège à la direction générale de la Banque cantonale vaudoise sait de quoi il parle, puisqu’il dirige également la division Services et IT de la banque. Spécialiste des projets de migration, de réingénierie de processus et de réduction des coûts, Christian Meixenberger a répondu aux défis posés par les mutations rapides et toujours plus complexes de cet univers bancaire.

Parmi eux, l’évolution de la notion de confiance et la gestion du risque dans un écosystème où toute une série de prestataires externes assurent la sécurité des services de la banque.

La Blockchain gage de confiance

«Se marier, divorcer et vendre sa maison sont les seules choses que l’on ne peut pas faire par internet en Estonie» dixit Mike Gault. Ce natif d’Irlande, ingénieur en informatique quantique, peut se targuer d’être à la tête d’une des rares entreprises à gagner de l’argent avec la blockchain, cette technologie comparable à un registre numérique, décentralisé, partagé et infalsifiable. Mike Gault est le CEO de Guardtime, société née en 2007 à Tallinn, en Estonie.

L’entreprise de sécurité numérique, qui compte 200 employés, vient de déménager son siège à Prilly (VD) où elle vient de sceller un partenariat stratégique avec Sicpa dans les solutions d’e-gouvernement.

L’histoire de Guardtime est intimement liée à celle de l’Estonie. L’ex-pays soviétique, devenu indépendant en 1991, s’est totalement reconstruit de zéro pour devenir au fil des années l’avant-garde de la sécurité numérique. Mais en 2007, l’Estonie a vécu une cyberattaque massive. Guardtime est née pour répondre à cet enjeu sécuritaire. Son objectif fut de créer une technologie qui puisse satisfaire le besoin de pouvoir faire confiance.

Et répondre à des questions telles que: comment savoir si ce document de l’Etat est authentique ou si ce formulaire de santé est conforme? Les cryptographes de Guardtime ont donc inventé le blockchain KSI, la technologie de chiffrement déployée avec succès pour le gouvernement estonien. Aujourd’hui, l’Estonie est le seul pays à offrir des services gouvernementaux entièrement numérisés, qui ne nécessitent aucune interaction physique.

Responsabilité numérique

Retour en Suisse avec Jean-Henry Morin. Comme à son habitude, le professeur associé ISS à l’Université de Genève, a mis un coup de pied dans la fourmilière en pointant « l’irresponsabilité numérique » de la Suisse. Selon lui, le pays n’apporte que des solutions techniques aux problèmes liées à la transition numérique. Jean-Henry Morin plaide donc pour la création d’un cercle vertueux pour que la Suisse puisse évaluer les risques et les opportunités des technologies dans une société participative dématérialisée. Et ainsi en finir avec son e-illettrisme. Cette responsabilité numérique concerne l’Etat, les entreprises, les citoyens, les politiques publiques. Il n’y a que par elle, conclut Jean-Henry Morin, que nous serons capables de bâtir une société numérique éclairée et transparente.

Depuis le 7 mai 2019, la liste des municipalités infectées, puis paralysées par un logiciel malveillant ne cesse de s’allonger. Après Baltimore et Riviera Beach, le virus informatique a frappé les villes de Zaventem (Belgique) et de Sarrebourg (France). À l’origine de ces attaques, la faille humaine.

À force de devenir «smart», les villes sont-elles armées contre les cyberattaques? La question peut paraître provocatrice, mais elle est légitime. Depuis le 7 mai 2019, la liste des municipalités infectées, puis paralysées par un logiciel malveillant ne cesse de s’allonger. Au point que les experts en sécurité informatique parlent d’épidémie. C’est à Baltimore que lefoyer infectieux est localisé pour la première fois. Au début du mois de mai donc, la ville de la côte est des Etats-Unis apprend sa contamination par un virus informatiquequi paralyse plus de 10’000 ordinateurs municipaux pendant plusieurs semaines. 

Plus de 18 millions de dommages

Baptisé «Robin des Bois», ce virus est capable d’extorquer les utilisateurs en bloquant partiellement leur ordinateur ou smartphone. Il s’appuie sur un outil (Eternal Blue) développé par l’Agence de renseignements américaine (NSA) permettant d’exploiter une faille des systèmes d’exploitation Windows XP et Vista. Mais à quelle fin avec quelles conséquences? À Baltimore, ce sont ainsi plusieurs milliers d’ordinateurs municipaux qui ont été bloqués. Tous contenaient des informations sensibles pour le bon fonctionnement et la sécurité de la ville: messagerie électronique des employés de la mairie, fichiers de travail, données liées aux caméras de surveillance. Selon Henry Raymond, le directeur des finances de la ville, les dommages s’élèvent à plus de 18 millions de dollars. 

La faille humaine

Les cybercriminels identifiés derrière le groupuscule Shadow Brokers ont exigé une rançon de 13 bitcoins – environ 140’000 dollars au cours actuel – à Baltimore afin de lui redonner l’accès à ses informations et services. La ville n’a pas plié, mais le virus s’est démultiplié faisant de nouvelles victimes aux Etats-Unis. Parmi elles, Riviera Beach. Le 29 mai 2019, cette ville de Floride subit les mêmes assauts que Baltimore après qu’un agent de la police municipale ouvre un courriel d’hameçonnage contenant le logiciel malveillant. Riviera Beach a cédé et versé les 600’000 dollars de rançon. Selon le Washington Post, les villes américaines ont subi plus de 170 cyberattaques de ce type depuis 2013, dont une cinquantaine ces deux dernières années.

Le virus touche l’Europe

Puis c’est au tour de l’Europe d’être frappée par l’épidémie. Début juin, la ville de Zaventem, près de Bruxelles est attaquée. Le virus cible tout particulièrement l’équipementier aéronautique Asco. Il paralyse non seulement le siège de l’entreprise, mais également ses filiales au Canada, aux Etats-Unis et en Allemagne. Plus de 1000 employés sont toujours au chômage technique plusieurs semaines après l’attaque. Dans la nuit du 5 au 6 juin 2019, c’est la ville française de Sarrebourg, en Moselle, de se voir rançonner 55’000 euros pour le retour à la normale de ses services municipaux. 

Vers une recrudescence des cyberattaques

Comment interpréter cette vague mondiale de cyberattaques contre les municipalités? Celles-ci ont-elles failli dans la sécurité de leurs systèmes d’information? Faut-il craindre à l’avenir une recrudescence des cas de piratage? Comment s’en prémunir? Selon Gilles Peter, expert suisse au sein de la société Kaspersky et membre du comité de Clusis, ce n’est qu’un début: «Nous allons connaître une recrudescence du nombre et de la puissance de ces cyberattaques. Cela ne fait aucun doute. Aussi longtemps que l’on n’aura pas pris en compte l’aspect humain, il sera difficile de se protéger.» Tous les acteurs de la sécurité doivent donc discuter, s’organiser, former et sensibiliser les entreprises et leurs collaborateurs. «D’ailleurs, la Suisse n’est pas épargnée. La question n’est pas savoir si cela va arriver, mais quand.»

Les vulnérabilités des chaînes logistiques en font des cibles de choix pour les cyberattaques,
par Morand Fachot, Rédacteur technique à la Commission électrotechnique internationale (IEC). A travaillé auparavant comme journaliste à la BBC, a écrit également pour le Financial Times Business Group et plusieurs publications internationales sur les questions géopolitiques, de sécurité et technologiques (défense, renseignement et audiovisuel).

Comme jusqu’à 80% des cyberattaques peuvent provenir de chaînes logistiques, la protection de celles-ci est une priorité absolue pour toutes les organisations. Les actifs industriels et d’infrastructure critique sont les plus exposés. La Commission électrotechnique internationale (IEC) a développé de nombreuses normes pour cela. Elle travaille également sur l’évaluation de la conformité (CA) et sur les systèmes de certification mondiaux par le biais de groupes de travail (WG) mis en place par son Comité d’évaluation de la conformitéii (CAB) et par le Comité de gestion de la certification (CMC) de IECEEiii, le système IEC pour les procédés d’évaluation des équipements et composants. Les deux devraient permettre de mieux protéger les chaînes d’approvisionnement.

Les infrastructures critiques importent plus

L’impact global et la gravité des cyberattaques varient selon les cibles. Celles visant les entreprises et l’industrie peuvent avoir des conséquences désastreuses pour les firmes touchées, et parfois pour la société. Elles peuvent même conduire à la fermeture de certaines entreprises ou industries. Cependant, les cybermenaces les plus graves au niveau des pays concernent les infrastructures critiques, qui rassemblent les actifs et systèmes essentiels au fonctionnement de la société et de l’économie d’un pays. Ces infrastructures critiques comprennent des secteurs essentiellement similaires dans de nombreux pays. Les dommages causés à l’une d’elles peuvent avoir de graves conséquences pour l’ensemble d’une société.

La chaîne logistique, un concept la fois flexible et complet

ISO/IEC 27036-1:iv Technologies de l’information – Techniques de sécurité – Sécurité d’information pour la relation avec le fournisseur – Partie 1: Aperçu général et concepts, la norme développée conjointement par l’Organisation internationale de normalisation (ISO) et l’IEC, donne une définition très complète de la chaîne d’approvisionnement dans le domaine des Technologies de l’information et de la communication (TIC). Elle se compose, selon cette norme, d’un “ensemble d’organisations partageant des ressources et des processus liés, chacune agissant en tant qu’acquéreur, fournisseur ou les deux afin de créer des relations de fournisseur successives établies dès la passation d’un bon de commande, d’un accord ou de toute autre procédure formelle d’approvisionnement (…)

Une définition de la chaîne logistique pour actifs industriels et autres, tels que réseaux de distribution électriques, systèmes de transport, fabrication intelligente (Smart manufacturing), etc. serait plus complète et complexe, car elle engloberait non seulement les TIC, mais également la chaîne d’approvisionnement des technologies opérationnelles (OT), les personnes (développeurs, fournisseurs, installateurs, personnel travaillant sur OT), les processus ainsi que les produits, c’est-à-dire les composants et systèmes essentiels pour OT, tels les systèmes de contrôle et d’automatisation industriels (IACS) et, de plus en plus, l’Internet des objets (IoT). La numérisation dans tous les secteurs industriels signifie davantage de vulnérabilités pour les chaînes logistiques industrielles.

Différents secteurs et activités confrontés à des défis similaires

Une conférence sur la gestion des cyberrisques pour infrastructures critiques, organisée par le Financial Times à Londres en juin 2018, a tenu une session-débat sur la sécurisation de la chaîne logistique critique. Parmi les participants figuraient des responsables de la sécurité de l’information (RSSI) et des responsables de l’information des industries aéronautique et de l’énergie, lesquels ont expliqué la gestion de leur chaîne logistique et de leurs fournisseurs. Ils ont décrit les défis auxquels ils sont confrontés et les solutions qu’ils déploient pour y faire face, tout en gardant à l’esprit que la sécurité constitue également une préoccupation majeure pour eux. Kevin Jones, responsable de l’architecture cybersécurité chez Airbus, a expliqué qu’Airbus avait trois domaines d’activité principaux: la production d’avions commerciaux, d’hélicoptères et d’équipements de défense. “Cela implique un nombre important de fournisseurs à un moment où Airbus évolue, à l’instar de nombreux autres fabricants suite à un vaste programme de transformation”, a déclaré Jones.

Afin de protéger sa chaîne logistique, Airbus a mis en place un certain nombre de mesures, notamment un accès à distance sécurisé pour ses fournisseurs et un certain degré de compartimentalisation des accès, un audit complet des installations de production d’Airbus et de ses fournisseurs ainsi que l’identification des vulnérabilités. Les fournisseurs sont contraints de revoir leur processus et s’assurer que ceux-ci respectent les normes d’Airbus.

En ce qui concerne le développement de codes informatiques pour les environnements de sécurité, Airbus dispose d’équipes internes composées d’experts en rétro-ingénierie de codes et en évaluation de la fiabilité. “Nous investissons beaucoup d’argent, de temps et d’efforts pour nous assurer que notre code est bien validé. Comme toute grande entreprise, nous avons une chaîne logistique très complexe et très étendue et la façon dont nous la traitons dépend en grande partie des risques que cette chaîne pose pour notre entreprise”, a-t-il ajouté.

Peter Merker, RSSI de Skyguide, qui fournit des services de gestion du trafic aérien pour la Suisse et certaines régions limitrophes des pays voisins, a expliqué que l’ensemble du secteur de contrôle du trafic aérien était en profonde transformation technologique liée à la numérisation. Cette transformation numérique signifie l’abandon d’un ensemble d’équipements d’une durée de vie de plus de 20 ans au profit de systèmes issus de l’environnement informatique et de “l’introduction de logiciels commerciaux standards dès que cela est possible, en raison de pression sur les coûts et de la flexibilité. L’ensemble du système de contrôle de la navigation aérienne est géré de manière centralisée et de plus en plus intégré sur le continent au sein d’Eurocontrol, ce qui signifie que la transformation numérique et la manière dont le secteur du contrôle du trafic aérien utilise les fournisseurs se produisent partout,” a indiqué Merker “Skyguide achète des logiciels directement. Nous examinons les aspects contractuels lors de la révision du code source, ce qui est nouveau pour nous puisque nous avons développé les codes nous-mêmes.” Skyguide est propriétaire de SkySoft, une entreprise de développement de logiciels spécialisée dans les systèmes de gestion du contrôle du trafic aérien. “Nous gérons ce que nous développons nous-mêmes et ce que nous achetons sur le marché”, a déclaré Merker.

Dexter Casey, RSSI du groupe Centrica, multinationale britannique de l’énergie et des services, a expliqué que Centrica avait deux divisions principales, la première, British Gas, pour l’énergie [gaz et électricité] “dispose d’équipements très importants, de plates-formes et de stations pour le gaz. La deuxième division de Centrica, Connected Home, est une société IoT, “qui connaît également des problèmes similaires en ce qui concerne les puces et les jeux de puces (chipsets) provenant d’un seul fournisseur. Il est extrêmement difficile, contractuellement, de demander aux fournisseurs de modifier la configuration ou de rendre ces composants uniques”, a déclaré Casey, ajoutant que Centrica comptait plus de 30 000 fournisseurs et une équipe d’environ 15 employés chargés de passer en revue les contrats et d’effectuer les évaluations de sécurité. “Ce que Centrica doit faire, c’est concentrer ses efforts sur les 100 à 200 fournisseurs qui ont un impact déterminant sur la prestation de ses services”, a-t-il expliqué.

Plusieurs intervenants ont évoqué les risques liés aux “attaques de points d’eau”, dans lesquelles des programmes malveillants sont implantés sur certains sites web de fournisseurs susceptibles d’être visités par les organisations ciblées. La chaîne d’approvisionnement en logiciels est une cible attrayante pour les attaquants. Un rapportvi du centre national de contre-espionnage et de sécurité (NCSC) des États-Unis, publié en juillet 2018, avertit que “l’infiltration de la chaîne d’approvisionnement en logiciels menace déjà le secteur des infrastructures critiques et est sur le point de menacer d’autres secteurs”. Tous les intervenants ont convenu qu’ils étaient confrontés à des problèmes similaires, car les infrastructures et les processus reposaient de plus en plus sur les technologies de l’information et opérationnelles (IT et OT), rendant la gestion des chaînes logistiques bien plus complexe qu’avant, lorsque la numérisation était moins répandue et que les cybermenaces n’étaient pas un problème.

Impact croissant de la conformité et de la certification sur la cybersécurité

Les activités étendues de l’IEC dans le domaine de la cybersécurité comprennent les normes, les exigences techniques et les spécifications et, de plus en plus, les certificats de conformité et la certification. Outre la famille de normes ISO/IEC 27000vii pour la gestion des services informatiques et la série de publications horizontales IEC 62443viii Réseaux industriels de communication sur les réseaux de communication industriels (IACS), relatives à de nombreux domaines, plusieurs comités techniques et sous-comités d’études de l’IEC (SC) ont élaboré des normes, spécifications techniques et exigences spécifiques pour certains secteurs.

Le CAB de l’IEC a mis en place le groupe de travail CAB WG 17ix: Cyber security. Les tâches de ce WG consistent notamment à examiner les besoins du marché et le calendrier des services de CA pour les produits, services, personnel et systèmes intégrés dans le domaine de la cybersécurité. Cependant, ils excluent le champ d’application des applications d’automatisation industrielle couvertes par IECEE CMC WG 31x: Cyber security. Le WG 17 du CAB communique également aux autres secteurs de l’industrie l’approche en matière de cyber sécurité adoptée par l’IECEE CMC WG 31 et la manière dont elle peut s’appliquer à ces autres secteurs.

La tâche principale de l’IECEE CMC WG 31 est de “créer une approche unique de la série IEC 62443 pour l’évaluation de la conformité.” Pour ce faire, il a préparé un document opérationnel, OD-2061xi, publié en juin 2018, qui décrit comment gérer l’évaluation de la conformité et son application à certaines normes de la série IEC 62443.

De plus, ce document opérationnel explique dans quelles conditions les certificats de conformité IECEE en matière de compétence en cyber sécurité industrielle peuvent être délivrés. Ceux-ci ne sont valables que lorsqu’ils sont “signés par un laboratoire d’essais agréé par un organisme de certification (CB) reconnu et annexés à un certificat délivré par un CB national (NCB)”.

Ces certificats sont actuellement définis pour un ensemble d’évaluations concernant produit, processus, applications de capacités du produit, des processus et de mise en oeuvre de solutions, chacune de ces évaluations s’appliquant à une ou plusieurs normes de la série IEC 62443.

Conjointement avec les normes de cybersécurité de l’IEC, l’introduction récente de systèmes complets de certification et d’évaluation de la conformité devrait permettre de mieux protéger les systèmes reposant sur les réseaux de communication industriels et le système IACS, y compris les chaînes logistiques, contre les cybermenaces.

Sources et lexique:

Les réseaux de distribution électrique font partie des infrastructures critiques les plus vulnérables aux cyberattaques

Didier Giarratano : Responsable de la plateforme cybersécurité de Schneider Electric. M.Giarratino est également membre du Certification Management Committee (CMC) du Système d’évaluation de la conformité pour équipements et composants électrotechniques (IECEE), et membre du Groupe de travail (WG 17) sur la cybersécurité de l’IEC Conformity Assessment Board

Défis émergents

Le besoin pressant d’améliorer la disponibilité de l’infrastructure de distribution d’énergie contraint à un changement exigeant un réseau de distribution électrique moderne automatisé. Alors que la demande d’activités numérisées, connectées et intégrées augmente dans tous les secteurs, le défi des services publics est de fournir de manière fiable une énergie reposant sur l’efficacité et la durabilité des sources. Cependant, à mesure que les réseaux de distribution électrique fusionnent et deviennent plus intelligents, les avantages d’une connectivité améliorée entraînent également des risques croissants en matière de cybersécurité, menaçant ainsi de ralentir le progrès. En Europe, les systèmes de distribution électrique ont été conçus à l’origine pour une production centralisée d’énergie et des demandes relativement statiques – et non pas pour gérer des niveaux de consommation ou une complexité en constante évolution. Nous entrons maintenant dans un nouveau modèle énergétique, avec une production plus décentralisée, des sources renouvelables intermittentes (d’origine solaire ou éolienne), un flux d’énergie décarbonisée bidirectionnel et un engagement croissant des consommateurs du côté de la demande.

Modèle décentralisé

Le réseau de distribution électrique est en train de passer à un modèle plus décentralisé offrant davantage de possibilités aux consommateurs et aux entreprises pour intégrer davantage des énergies renouvelables et d’autres sources d’énergie. Par conséquent, les prochaines décennies verront un nouveau type de consommateur d’énergie, capable de gérer production et consommation de manière à réduire les coûts, renforcer la fiabilité et la pérennité selon leurs besoins spécifiques.

L’augmentation de l’énergie distribuée augmente la complexité du réseau. Elle fait évoluer le secteur d’une chaîne de valeur de type traditionnel vers un environnement plus collaboratif dans lequel les clients se connectent de manière dynamique au réseau de distribution, aux fournisseurs d’énergie et au marché de l’énergie. Les technologies et les modèles commerciaux devront évoluer pour que le secteur de l’énergie puisse survivre et prospérer.

La nouvelle grille sera considérablement plus numérisée, flexible et dynamique. Elle sera de plus en plus connectée, avec de plus grandes exigences de performance dans un monde où l’électricité occupe une place plus importante dans l’offre énergétique globale. De nouveaux acteurs seront impliqués dans l’écosystème de l’énergie, tels les gestionnaires de réseaux de transport et de réseaux de distribution, les opérateurs de production décentralisée, les agrégateurs et les prosommateurs.

Régulation et conformité

Le déploiement de la cybersécurité vise à respecter les normes et à se conformer à la réglementation. Cette approche profite à l’industrie en sensibilisant davantage aux risques et aux défis associés aux cyberattaques. Au fur et à mesure que le réseau électrique évolue en complexité, avec l’intégration des ressources distribuées et l’automatisation, une nouvelle approche s’impose, axée sur la gestion des risques. À l’heure actuelle, les parties prenantes des services publics appliquent des processus de cybersécurité appris de leurs homologues des technologies de l’information (IT), ce qui les accroit les risques. Dans l’environnement de la sous-station, les dispositifs propriétaires autrefois dédiés à des applications spécialisées sont désormais vulnérables. Les informations sensibles disponibles en ligne décrivant le fonctionnement de ces dispositifs périphériques sont accessibles à tous, y compris à des acteurs malintentionnés. Ceux-ci, possédant les compétences nécessaires, peuvent pirater un service public et détériorer les réseaux de distribution électrique. Ce faisant, ils mettent également en péril l’économie et la sécurité d’un pays ou d’une région desservis par ces réseaux. Les régulateurs ont anticipé le besoin d’une approche structurée de la cybersécurité. Aux États-Unis, les exigences relatives à la protection des infrastructures critiques de la North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP) définissent les éléments nécessaires à la protection du système électrique. Le programme européen de protection des infrastructures critiques (EPCIP) fait à peu près la même chose en Europe. Chaque jour, nous faisons face à de nouvelles attaques complexes, dont certaines sont organisées par des acteurs étatiques, ce qui conduit à une réévaluation de celles-ci et de l’approche de sécurité globale du secteur.

Intégration IT – OT

En raison de la transition vers des technologies et protocoles de communication informatiques ouverts, tels Ethernet et IP (internet protocol), les systèmes gérant les infrastructures critiques sont devenus de plus en plus vulnérables. Lorsque les exploitants d’infrastructures critiques cherchent à sécuriser leurs systèmes, ils se tournent souvent vers des pratiques de cybersécurité plus matures. Cependant, l’approche informatique en matière de cybersécurité n’est pas toujours appropriée, compte tenu des contraintes opérationnelles auxquelles les entités de services publiques sont confrontées. Ces différences d’approche impliquent que les solutions de cybersécurité et l’expertise reposant sur le domaine informatique soient souvent inadaptées pour les applications de technologie opérationnelle (OT). Les attaques sophistiquées réussissent aujourd’hui à tirer parti de services associés tels informatique et télécommunications. À mesure que les services publics font face à la convergence IT-OT, il devient nécessaire de former des équipes multidisciplinaires afin de relever les défis uniques liés à la sécurisation d’une technologie couvrant IT et OT.

La protection contre les cybermenaces nécessite désormais une activité plus étendue couvrantplusieurs domaines, les ingénieurs, les spécialistes en informatique et les responsables de la sécurité étant tenus de partager leur expertise pour identifier les problèmes et les attaques pouvant affecter leurs systèmes.

Une approche en quatre points

Les experts en cybersécurité conviennent que les normes en elles-mêmes n’apportent pas le niveau de sécurité approprié. Il ne s’agit pas d’atteindre un état de cybersécurité. Une protection adéquate contre les cybermenaces nécessite un ensemble complet de mesures, de processus et de moyens techniques, ainsi qu’une organisation adaptée. Il est important que les services publics réfléchissent à la manière dont les stratégies de cybersécurité des organisations évolueront avec le temps. Il s’agit de rester au courant des menaces connues de manière organisée et itérative. Assurer une défense efficace contre les cyberattaques est un processus continu qui nécessite des efforts soutenus et un investissement annuel récurrent. La cybersécurité concerne les personnes, les processus et la technologie.

Les services publics doivent mettre en place un programme complet comprenant une organisation, des processus et des procédures appropriés pour tirer pleinement parti des technologies de protection de la cybersécurité. Pour établir et gérer des systèmes cybersécurisés, les services publics peuvent suivre une approche en quatre points.

Le Comité consultatif de l’IEC (Commission électrotechnique internationale) sur la sécurité de l’information et la confidentialité des données (ACSEC) travaille sur les mêmes questions, qui sont intégrées dans le Guide IEC 120, Aspects liés à la sécurité – Lignes directrices pour leur inclusion dans les publications.

  • Effectuer une évaluation des risques. La première étape consiste à procéder à une évaluation complète des risques en fonction des menaces internes et externes. Ce faisant, les spécialistes en technologie opérationnelle (OT) et les autres parties prenantes des services publics peuvent comprendre où se trouvent les plus grandes vulnérabilités et être en mesure de documenter la création d’une politique de sécurité et la réduction des risques.
  • Concevoir une politique et des processus de sécurité. La stratégie de cybersécurité des entreprises de service public fournit un ensemble formel de règles à suivre. Celles-ci devraient suivre la famille de normes du Système de Management de la Sécurité de l’Information (SMSI) de la série ISO/IEC 270** sur les techniques de sécurité informatique, qui fournit des recommandations de meilleures pratiques à adopter en matière de gestion de la sécurité de l’information. Cette série de normes est développée par ISO/IEC JTC 1/SC 27. Ce sous-comité d’ISO/IEC JTC 1, le Comité d’étude commun, créé par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), élabore les normes internationales pour les Techniques de sécurité informatique.

La politique d’une entreprise de service public a pour objet d’informer les employés, les fournisseurs et utilisateurs autorisés sur leurs obligations en matière de protection des actifs technologiques et informatiques. Il décrit la liste des actifs à protéger, identifie les menaces qui pèsent sur eux et décrit les responsabilités des utilisateurs autorisés et les privilèges d’accès associés, ainsi que les actions non autorisées et la responsabilité qui en résulte en cas de violation de la politique de sécurité. Des processus de sécurité bien conçus sont également importants. À mesure que les fondements de la sécurité des systèmes changent pour faire face aux vulnérabilités émergentes, les processus du système de cybersécurité doivent être examinés et actualisés régulièrement. Un élément clé pour maintenir une base de sécurité efficace consiste à effectuer une évaluation une ou deux fois par an.

  • Mettre en oeuvre le plan de mitigation des risques. Il est nécessaire de choisir une technologie de cybersécurité basée sur les normes internationales afin de garantir la mise en place d’une politique de sécurité appropriée et les mesures d’atténuation des risques adaptées. Une approche sécurisée dès la conception basée sur les normes internationales. Celles-ci peuvent aider à réduire davantage les risques lors de la sécurisation des composants du système. Elles comprennent, entre autres, la série de publications IEC 62443 sur la sécurité pour les réseaux de communication industriels et les systèmes de contrôle et d’automatisation industriels (IACS), la série de normes internationales IEC 62351 sur la gestion des systèmes d’énergie et les échanges d’informations associées, et la norme IEEE 1686 pour les fonctions de cybersécurité des dispositifs électroniques intelligents, développée par l’Institut des ingénieurs électriciens et électroniciens (IEEE).
  • Gérer le programme de cybersécurité. La gestion efficace des programmes de cybersécurité nécessite non seulement de prendre en compte les trois points précédents, mais également de gérer les cycles de vie des actifs d’information et de communication. Pour ce faire, il est important de conserver une documentation vivante et précise sur les micrologiciels, les systèmes d’exploitation et les configurations. Cela nécessite également une compréhension approfondie des calendriers de mise à niveau technologique et d’obsolescence, ainsi qu’une connaissance approfondie des vulnérabilités connues et des correctifs existants. La gestion de la cybersécurité exige également que certains événements provoquent des évaluations, telles que des points particuliers du cycle de vie des actifs ou des menaces détectées.

Pour les services publics, la sécurité est l’affaire de tous. Les politiciens et le public sont de plus en plus conscients que la sécurité nationale dépend également de la robustesse des services publics locaux. Atténuer les risques et anticiper les vulnérabilités des attaques sur les réseaux et les systèmes de distribution ne consiste pas uniquement à installer des technologies. Les services publics doivent également mettre en oeuvre des processus organisationnels pour faire face aux défis d’un réseau décentralisé. Cela signifie une évaluation régulière et une amélioration continue de leur processus de cybersécurité et de sécurité physique afin de protéger notre nouveau monde énergétique.

Liens :

Normes

  • IEC 62443: Réseaux industriels de communication – Sécurité dans les réseaux et les systèmes (Industrial communication networks – Network and system security): https://tinyurl.com/ya9kd238
  • IEC 62351: Gestion des systèmes de puissance et échanges d’informations associés (Power systems management and associated information exchange) : https://tinyurl.com/y9rn5fvj
  • IEEE 1686: Norme IEEE pour les fonctions de cybersécurité des dispositifs électroniques intelligents: https://tinyurl.com/ycftrj7k

Réconcilier le Responsable Sécurité et son management ou anticiper les menaces avancées – Mission impossible ?

La Haute école d’ingénieurs et d’architectes de Fribourg accueille le prochain séminaire organisé par le Clusis le 6 septembre 2016.

Les défis posés aux dirigeants d’entreprises et des services de l’état sont énormes :

  • Maintenir l’organisation compétitive face à une concurrence globalisée
  • Restructurer un service ou une entreprise afin de faire face aux nouvelles contraintes politiques ou économiques
  • Conduire en parallèle des projets ambitieux de développement afin de se positionner à la pointe du marché

Pour y répondre, les directions peuvent se reposer sur des moyens technologiques toujours plus performants.

Depuis quelques années, les services IT développent la mobilité, pratiquement sans interruption de connectivité, via la numérisation des services.

La tendance aujourd’hui est à la déportation dans le cloud pour accroître le service tout en ménageant ses équipes IT.

Pour l’accompagner, des spécialistes lui apportent les bons outils au bon moment. Au milieu de ces spécialistes, le responsable de la sécurité a pour mission d’encadrer et solidifier cette ruée vers l’innovation et ces initiatives ambitieuses. Ceci de manière, en principe, réactive.

Cette conférence – en étroite collaboration avec ELCA, l’une des plus grandes sociétés de développement logiel suisse – a pour but de donner des pistes pour que le responsable de la sécurité puisse passer du rôle de prescripteur à celui de conseiller stratégique pour son organisation.

QUAND FRAIS LANGUE
Mardi, 6 septembre 2016De 09.00 à 17.30 heures Haute école d’ingénieurs et d’architectes de FribourgBoulevard de Pérolles 80CH-1700 Fribourg

Auditoire Edouard Gremaud, bâtiment A

CHF 50.00 (pause café, lunch, apéro y compris), gratuit pour les membres du Clusis Français (sauf l’intervention de Jaonna Rutkowska qui sera en Anglais )

Le matin, nous aborderons la mission impossible numéro 1 – Réconcilier le responsable sécurité et son management : Des responsables de la sécurité parleront de leur expérience de terrain et des difficultés rencontrées. Les aspects juridiques liés à la protection des données personnelles seront également abordés.

L’après-midi, nous nous intéresserons à la mission impossible numéro 2 –Anticiper les menaces avancées : Nous traiterons des nouvelles menaces et des modes opératoires de l’adversaire, des experts présenteront leurs techniques et approches afin de répondre à ces nouvelles menaces.

Deux interventions viendront renforcer les messages de la journée :

  • Les tendances globales dans les systèmes sécurisés, Cubes OS – Joanna Rutkowska (http://blog.invisiblethings.org/ )
  • Où en sommes-nous sur le plan politique ? – Monsieur le Conseiller d’Etat Pierre Maudet en charge du Département de la sécurité et de l’économie du Canton de Genève

En plus de vous apporter des thématiques attrayantes, cette journée renforce le développement du réseau Romand et Suisse en matière de cybersécurité.

A cet effet, un espace de réseautage et de travail vous sera mis à disposition. Des salons de travail vous permettront de régler vos affaires courantes et d’y rencontrer les différents experts et vos partenaires.

Nous nous réjouissons d’ores et déjà de vous y rencontrer et de discuter avec vous les défis actuels qui se posent à votre organisation.

Cordialement,Le comité de programme CLUSIS et ELCA

Association suisse de la sécurité de l’information

Merci à nos sponsors.

Frais d’inscription:inclus dans la cotisation des membres du Clusis. CHF 50.- pour les non-membres.

Membres du Clusis, vous devez vous authentifier pour vous inscrire à cet évènement

X
X