Si elle est inévitable et essentielle, la transformation numérique des entreprises suscite des craintes en matière de cybersécurité. Néanmoins, le véritable danger n’est pas forcément où on l’attend et la sécurisation à outrance peut s’avérer contre-productive. Pire : la cybersécurité est parfois une excuse pour abandonner certains projets réputés trop dangereux. C’est en tout cas le point de vue de Jean-Philippe LORINQUER, partner chez OSS Ventures. Il nous a donné quelques pistes pour mieux maîtriser le risque cyber sans tout verrouiller !
OSS Ventures est un start-up studio fondé en 2019 par Renan Devillières. Sa mission est d’accompagner l’industrie française dans une transition technologique, environnementale, sociale et sociétale.
OSS Ventures a aussi une volonté d’évangélisation du monde industriel sur les questions digitales et de cybersécurité.
Techniques de l’ingénieur : Selon vous, à quel niveau le risque cyber se situe-t-il ?
Jean-Philippe Lorinquer : Malheureusement, le véritable risque ne se situe pas où l’on croit. Des industriels me disent parfois que les solutions SAAS sont dangereuses et je leur réponds : « Montrez-moi des exemples de cyberattaques réussies sur des datacenters de Microsoft ou Amazon ». À l’inverse j’ai de nombreux exemples d’entreprises industrielles qui ont subi des piratages lourds de conséquences, dont la porte d’entrée était la boîte mail ou le logiciel RH et non des produits en SAAS.
Il y a aussi les nombreuses clés USB en circulation dans les entreprises ou introduites dans les machines par les maintenanciers pour les mises à jour des équipements.
Et il y a également tout un panel de risques low tech, notamment les arnaques au président qui deviennent de plus en plus élaborées, grâce aux deepfakes (imitation de l’image et de la voix), tout cela avec des outils du marché !
Mais j’ai une anecdote encore plus marquante : il y a quelque temps, nous avions travaillé sur un projet de start-up dans le cyber. Nous avions décidé d’effectuer des tests de pénétration¹ (Pen test) en envoyant un hacker dans une usine, muni des droits d’accès d’un stagiaire et d’une adresse mail. Les résultats étaient effrayants : à 12 heures il était capable d’éteindre la lumière dans l’usine, à 18 heures il était au niveau de l’active directory du groupe (LDAP) et à 20 heures il pouvait mettre HS tous les équipements de production du groupe. Douze heures à peine peuvent donc suffire pour mettre à genoux un groupe industriel.
D’où vient-il, ce manque de maîtrise du risque cyber ?
C’est un fait : du risque il y en a, il est énorme, il n’est pas maîtrisé et les causes sont multiples, la première étant le manque d’accès aux talents en cybersécurité. Ces profils préfèrent en effet gagner beaucoup d’argent en allant dans des secteurs très rémunérateurs, plutôt que d’aller dans des usines qui n’évaluent pas la cybersécurité comme une priorité et payent donc moins bien.
Que diriez-vous aux industriels qui seraient tentés de tout verrouiller par sécurité ?
Tout verrouiller par sécurité n’est pas une solution, pour deux raisons. D’une part, les usines sont un monde d’ingénieur, or il est dans l’ADN des ingénieurs de chercher obstinément à résoudre les problèmes. Si on les empêche de résoudre ces problèmes, en clôturant les accès, il est certain qu’ils vont chercher à contourner ces obstacles. Ce phénomène génère ce qu’on appelle le « Shadow IT », une pratique consistant à utiliser des systèmes et logiciels non autorisés par les responsables de la sécurité informatique de l’entreprise.
J’ai personnellement constaté, dans de grands groupes automobiles internationaux, la présence de serveurs achetés sous le nom d’automates. Le but ? Créer un mini-réseau interne afin de relier les équipements et résoudre des problèmes techniques. Le shadow IT peut donc aller très loin !
D’autre part, il est totalement aberrant, dans un monde où le digital permet d’accroître la performance de l’entreprise ou de développer de nouveaux produits, de « revenir à l’âge de pierre » de l’informatique en espérant survivre. Car c’est bien une question de survie : si tout est verrouillé, il n’y a plus rien à attaquer, mais en quelques années, sans digital, il n’y a tout simplement plus d’entreprise.
Les entreprises sont habituées à gérer des risques. Pourquoi est-ce différent avec le cyber ?
Les entreprises ont en effet une expertise forte de leurs risques opérationnels (chimique, sécurité, environnement, etc.). Cette connaissance à l’avantage d’être bien partagée au sein des organisations, contrairement au risque cyber. En général, le cyber est confié à une seule personne, l’expert DSI ou RSSI, avec souvent un pouvoir de « vie ou de mort » sur les projets. Il y a malheureusement eu des dérives, avec le sentiment, de la part du terrain, que le risque cyber est parfois un prétexte d’abandon, par manque de volonté.
Mais ce ressenti qu’ont les opérationnels vient aussi, en partie, d’un manque de communication et de compréhension des risques par le terrain, car il n’est pas non plus possible de laisser les ingénieurs faire ce qu’ils veulent.
Il faut donc développer une culture cyber au sein des entreprises !
Il y a bien un manque d’acculturation globale au risque cyber et donc de formation. Il est capital que la cybersécurité devienne l’affaire de tous. Au même titre que la qualité n’est pas le domaine réservé du directeur Qualité, les questions de cybersécurité ne concernent pas uniquement le DSI ou le RSSI !
Certaines organisations ont aussi décidé de mettre la cybersécurité sous la houlette du directeur de l’usine. Puisque même des États, des hôpitaux ou des services publics se font hacker, il n’y a bien évidemment pas d’obligation de résultat, mais une obligation de moyens. Cette responsabilisation au plus proche du terrain permet ainsi d’avancer.
En cybersécurité il y a un adage qui dit que « le problème se situe souvent entre le clavier et le dossier de la chaise ». L’erreur est humaine, elle est donc systémique. On sait que le risque existe et que tôt ou tard il y aura une attaque. Mais pour « faire tomber » une usine, il faut une conjonction de causes, l’important c’est de tout mettre en œuvre pour se protéger au mieux et éviter le pire.
Comment faire en sorte de sécuriser sans verrouiller ?
De même que la surqualité est synonyme de surcoût, trop de sécurité n’est pas une preuve de maîtrise du risque, au contraire. L’important c’est de protéger au bon niveau. Par exemple, qu’un individu arrive à envoyer des messages sur le réseau interne de l’entreprise est gênant, mais pas forcément grave s’il n’a pas accès à des informations sensibles.
Il y a une stratégie à adopter, que nous appelons « la stratégie de l’oignon ». Elle consiste à sécuriser fortement le noyau, mais à moins de protéger les couches externes. Au contraire, vouloir sécuriser tout le système de la même manière risque d’entraîner une rigidification insupportable pour les équipes de terrain.
Enfin, il est important de rappeler qu’il n’est pas possible de sécuriser une organisation sans effort ni ressources humaines ou budgétaires. Les entreprises doivent aussi mettre l’accent sur l’accompagnement au changement. Pour qu’un gros projet réussisse, 25 % du budget devrait être consacré à cet accompagnement (formation, communication, etc.). C’est rarement le cas, et bien souvent les entreprises le regrettent.
¹ Exercice de sécurité dans lequel un expert en cybersécurité tente de trouver et d’exploiter les vulnérabilités d’un système informatique
Crédit visuel de une : rawpixel.com
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE