- La cybersécurité concerne toute entreprise quelle que soit sa taille et son activité.
- Des mesures d’ordre organisationnel permettent de se protéger de 80 % des risques.
- Le guide « La cybersécurité et les PME manufacturière » en délivre l’arsenal complet.
- Ce document de sensibilisation à la cybersécurité pour les PME repose sur l’expérience de terrain des Centres Techniques Industriels (CTI) et des spécialistes en cybersécurité de l’Alliance pour l’Industrie du Futur.
- Ce guide est téléchargeable sur le site Internet du Réseau CTI qui en a coordonné la réalisation.
Alors que la sensibilisation des collaborateurs est primordiale, d’autres actions peuvent être mises en place pour garantir la production, protéger les données, sécuriser ses relations clients/fournisseurs, et développer des produits ou services connectés sécurisés.
Sensibiliser les collaborateurs
Ce sont souvent les comportements individuels plutôt que les failles logicielles qui sont exploités pour installer des programmes malveillants, dérober des informations confidentielles… La vigilance et la sensibilisation régulière du personnel à certaines règles de base sont donc indispensables. Il est nécessaire d’adapter sa campagne de formation aux différents métiers de l’entreprise et de faire travailler ensemble et de manière décloisonnée les équipes autour des problématiques de sécurité. Il est recommandé de former un ou plusieurs référents internes en cybersécurité, de mettre en place une charte de bonne conduite, de ne jamais faire confiance à un tiers inconnu (ne pas ouvrir les pièces jointes d’expéditeur inconnu), de renouveler fréquemment les identifiants d’accès, d’interdire les installations de logiciels sans autorisation préalable et supprimer toutes les applications inutiles, désactiver ou enlever les comptes par défaut, les ports (USB ou autres) et les supports amovibles inutilisés, les services web non indispensables, etc. Il faut éviter d’employer les outils de supervision de production comme terminaux bureautiques. Il est indispensable de sauvegarder régulièrement données et logiciels sur des supports distincts et de mettre à jour les systèmes d’exploitation et les applications de sécurité.
Garantir la production
Les équipements de production connectés ou non sont exposés aux attaques via par exemple la connexion d’une clé USB contaminée. La sécurisation des accès physiques ne suffit plus à s’en prémunir. Il est indispensable de contrôler les accès via des mots de passe personnalisés, et de protéger l’accès physiques et numériques aux stations de développement SCADA, consoles de programmation, automates, terminaux portables… Il est primordial d’établir une cartographie des flux d’informations, de les filtrer au moyen de pare-feu, et de tracer et analyser les échecs de connexion. Il faut séparer les réseaux (bureautique, ateliers, etc.) et les connexions entre les îlots de production. Il faut proscrire les configurations par défaut et les fonctionnalités inutilisées. Les accès à distance, les protocoles et fonctionnalités vulnérables et non sécurisés (serveur Web, NetBios, FTP,…) doivent être désactivés. Seuls les logiciels indispensables doivent être installés. Les outils de développement doivent être écartés des serveurs de production ou des stations opérateurs. Tous les correctifs et les mises à jour logiciels doivent être systématiquement appliqués.
Protéger ses données
Avec la dématérialisation des documents, la préservation de la confidentialité des données sensibles est essentielle. Les solutions Cloud ouvertes au public sont souvent plus sûres que les développements « maison ». Il convient toutefois d’être vigilant et de choisir le type d’hébergement en tenant compte de son besoin en terme de disponibilité, d’intégrité et de confidentialité. Les documents à archiver doivent être identifiés et leur conditions d’archivage définis selon leur nature. Les données sensibles doivent être cryptées. Le processus de restauration des sauvegardes doit être régulièrement testé. Les sauvegardes doivent être déconnectées du système d’information et effectuées sur plusieurs supports physiques.
Sécuriser ses relations
Les échanges numériques avec ses fournisseurs et ses sous-traitants constituent une vulnérabilité. Un cyber-attaquant peut parfois plus facilement arriver à ses fins via un sous-traitant moins protégé que l’entreprise cible. Afin de conserver le niveau de sécurité requis, il est nécessaire pour une PME de s’assurer que ses sous-traitants répondent à des exigences de cybersécurité acceptables par rapport à celles qu’elle s’impose.
La relation avec les clients est dématérialisée dans de nombreux domaines : échanges financiers, documents contractuels, e-commerce… Dans ce contexte, les tentatives de fraudes par « ingénierie sociale » s’intensifient. Les collaborateurs peuvent être contactés par un fraudeur se faisant passer pour leur responsable hiérarchique, afin d’exécuter un virement hors des procédures de vérifications usuelles. La dématérialisation des contractualisations requiert notamment des moyens appropriés tels que les signatures électroniques à valeur légale. L’archivage des documents comptables et financiers dématérialisés doit par ailleurs répondre aux normes en vigueur (NF Z 42-013 ou ISO 14641-1).
Sécuriser les applications IoT
Les objets ou services connectés sont par nature exposés aux cyberattaques. Il faut donc s’assurer de la protection des clients, des tiers et de l’entreprise qui les commercialise. La diversité des protocoles d’échange utilisés complique la sécurisation. Pour le développement d’applications IoT, il est cependant recommandé d’utiliser autant que possible des logiciels et des matériels standards, de prévoir des mécanismes de mise à jour logicielle déployable sur les objets, de limiter les communications au strict nécessaire et d’intégrer des mécanismes de chiffrement adaptés. Il est également possible de faire certifier et auditer la conformité des produits et services par un tiers tel qu’un centre d’évaluation de la sécurité des technologies de l’information (CESTI). L’utilisation de composants de niveau CSPN (Certification de Sécurité de Premier Niveau) réduit également les risques. Enfin, il peut s’avérer nécessaire de mettre en place des dispositifs de contrôle des fournisseurs de systèmes critiques et des sous-traitants qui interviennent dans la fabrication des produits.