DOSSIER – « L’industrie 4.0 à l’épreuve de la cybersécurité »
3 leçons à retenir pour préparer son entreprise aux cybermenaces
Selon Thierry Matusiak, d’IBM, seulement 25% des entreprises utilisent aujourd’hui l’IA pour détecter les cybermenaces.
Organisée mardi 25 juin par L’Usine digitale à l’hôtel Le Marois, à Paris, la conférence « Comment protéger concrètement son entreprise en 2019-2020 » a été l’occasion pour la vingtaine d’intervenants, issus de start-up, de grands groupes, de l’administration ou d’associations cyber, de balayer l’ensemble des bonnes pratiques pour adopter une stratégie de défense face aux menaces grandissantes de cyberattaques.
« Qui veut la paix prépare la guerre. » Cette maxime reprise par Sébastien Bombal, officier du ministère des Armées, ne s’adressait pas à d’autres militaires mais à des représentants d’entreprises venus assister ce 25 juin à la conférence cybersécurité de L’Usine Digitale. Les attaques contre les entreprises sont de plus en plus fréquentes et les coûts induits augmentent. Dans une étude publiée le même jour, l’IRT SystemX estime ainsi que les attaques par crypto-virus, ou ransomwares, coûtent quelque 700 millions d’euros par an aux PME/TPE (moins de 50 personnes) françaises. Se protéger s’impose. Industrie & Technologies a retenu trois leçons pour anticiper aux mieux les attaques.
Mener une veille constante sur les failles connues
Se tenir informé des failles identifiées dans les logiciels et machines est une première étape indispensable puisque, selon le cabinet Gartner, 99% des vulnérabilités concernent des failles déjà connues, a rappelé Maxime Alay-Eddine, président de Cyberwatch. Une vulnérabilité a par exemple été identifiée en avril sur la dernière version (v15) du TIA Portal de Siemens, qui peut permettre à un attaquant d’usurper des privilèges « Système » dans les automates programmables de la marque allemande qui peuplent des milliers d’usines. Siemens travaille encore à résoudre cette faille, a indiqué Robert Wakim, de l’entreprise Stormshield, qui pointe d’autres vulnérabilités de ce type chez les automates de Schneider Electric.
Les entreprises disposent pour cette veille de plusieurs bases de données recensant ces failles. Parmi elles, les indicateurs CVE (Common Vulnerabilities and Exposures), mis à jour par l’organisme américain MITRE et disponibles à l’adresse cve.mitre.org ou sur le site CVE Details. MITRE gère également MITRE ATT&CK, une base de données ouverte et modifiable par tous, exploitable par les logiciels EDR des entreprises, par exemple. Maxime Alay-Eddine a aussi évoqué le CERT de l’Anssi ou encore le site Shodan, « Google des vulnérabilités ».
Impliquer l’ensemble des acteurs de l’entreprise
« Une bonne gouvernance est essentielle pour sensibiliser les collaborateurs à tous les niveaux de l’entreprise, de l’hôtesse d’accueil au top management », a insisté Lucile Coupez, du Cercle des femmes de la cybersécurité (Cefcys).
Il faut donc être « ferme sur les règles de base, comme le changement de mots de passe », a-t-elle poursuivi. Mais aussi assurer une collaboration entre les équipes IT et cyber, juge Christophe Guillon, vice-président d’OcSSImore, une association d’entreprises en région Occitanie qui veut réunir UX designers et responsables de la sécurité des systèmes d’information (RSSI) autour d’un projet de « Safe UX ».
Bertrand Helfre, du cabinet de conseil Onepoint X Weave, conseille lui aux RSSI de troquer le terme cybersécurité par celui de cyber-résilience pour s’adresser au comité exécutif de leur entreprise. « Il faut leur présenter la cyber comme un enjeu stratégique, un avantage concurrentiel », a-t-il conclu.
Ne pas croire que l’IA peut tout
L’intelligence artificielle (IA), et notamment le machine learning, s’imposent aujourd’hui au cœur de la détection des menaces. 50% des cyber-incidents seraient détectables par l’IA, affirme ainsi Thierry Matusiak, architecte de la sécurité de l’information chez IBM qui intervenait en tant que représentant du Club de la sécurité de l’information français. « Mais l’IA n’a pas vocation à remplacer les méthodes qui marchent, pointe le spécialiste. Et elle ne peut se passer de l’humain. Bien souvent, les experts de la détection des menaces, au sein des centres d’opération de sécurité (SOC), doivent ensuite prendre la main eux-mêmes pour un travail complet.
Pour fonctionner, les logiciels de machine learning nécessitent aussi beaucoup de données, lisibles et exploitables. Toutes les entreprises n’ont pas atteint un niveau de maturité suffisant dans cette gestion des données, prévient Thierry Matusiak.
Sans compter que « l’entrainement d’une IA prend du temps », ajoute-t-il. « Si un vendeur vous promet une IA utilisable presque instantanément, c’est qu’il l’a entraînée chez lui, donc avec sa base de données. Pas sûr qu’elle soit adaptée à la situation de votre entreprise. »
