Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Hervé Daussin, CoESSI : de l’analyse de risques pour les SCADA au pentest des objets connectés

février 2016 par Marc Jacob

Fondée en 2010, CoESI est une société d’expertise et de conseil en SSI (Sécurité des Systèmes d’information), fondée en 2010, qui compte aujourd’hui une douzaine de collaborateurs. En 2016, CoESSI a lancé une offre spécifique en direction des détenteurs de systèmes industriels. Cette offre s’articule en deux axes. D’une part L’analyse de risques qui s’est concrétisée début 2015 par le lancement du projet MOSARIS, en collaboration avec le CEA LIST, soutenu par l’ANR. Ce projet a pour objectif la mise au point d’un outil d’analyse de risques adapté aux nouveaux besoins des industriels. D’autre part, le pentest des objets connectés avec l’assemblage d’un framework de tests spécifiques regroupant des outils standards applicables au pentest des systèmes informatiques classiques et des outils spécifiques développés en interne. Pour Hervé Daussin son fondateur présente sa stratégie de développement.

GSM : Pouvez-vous nous présenter votre entreprise ?

Hervé Daussin : CoESSI est une société d’expertise et de conseil en SSI (Sécurité des Systèmes d’information), fondée en 2010, qui compte aujourd’hui une douzaine de collaborateurs. Elle réalise :  Des prestations de conseil et d’organisation en SSI : Analyses de risques, politiques de sécurité, plans de continuité d’activités, assistance à maîtrise d’ouvrage et maîtrise d’œuvre, définition d’indicateurs de sécurité, sensibilisation, etc.  Des études de sécurité : Architectures sécurisées, gestion des habilitations, gestion des traces, etc.  Des audits : Audits de configuration, d’infrastructure, organisationnels, tests d’intrusion. CoESSI a ceci de particulier qu’elle consacre, en parallèle à ses activités de conseil, plus de 15% de son chiffre d’affaires dans des projets R&D (Recherche et Développement), notamment dans le domaine de la sécurisation des réseaux industriels étendus (SmartGrids). Ses travaux lui ont valu en 2014 d’être reconnue en tant que JEI (Jeune Entreprise Innovante).

GSM : quelle est votre produit ou service phare pour 2016 ?

Hervé Daussin : En 2016, CoESSI souhaite développer son offre spécifique en direction des détenteurs de systèmes industriels. Cette offre s’appuie simultanément sur ses expériences significatives dans ce domaine ainsi que sur ses travaux de R&D.
L’activité R&D a pour vocation de soutenir les activités opérationnelles de CoESSI. Elle lui fournit les outils dont elle a besoin lorsque ceux-ci n’existent pas ou ne sont pas adaptés.

Notre offre en sécurité des SII se développe suivant deux axes complémentaires :  L’analyse de risques : L’investissement de la société en termes de méthodologie d’analyse de risques a débuté dès 2011. Elle s’est concrétisée début 2015 par le lancement du projet MOSARIS, en collaboration avec le CEA LIST, soutenu par l’ANR. Ce projet a pour objectif la mise au point d’un outil d’analyse de risques adapté aux nouveaux besoins des industriels.  Le pentest des objets connectés : Compte-tenu des enjeux grandissants de la cybersécurité dans ce domaine, et du manque d’outillage spécifique sur le marché, CoESSI travaille à l’assemblage d’un framework de tests spécifiques regroupant des outils standards applicables au pentest des systèmes informatiques classiques et des outils spécifiques développés en interne. Ce framework prendra en charge des aspects spécifiques aux systèmes industriels, comme par exemple le pentest physique des composants.

GSM : A quels segments de clientèle vous adressez-vous ?

Hervé Daussin : CoESSI s’adresse aux grands comptes aussi bien qu’aux PME de toute taille et de tout secteur d’activité. Si l’approche commerciale et l’investissement en temps sont différents, la problématique sécuritaire reste identique.

CoESSI souhaite en 2016 maintenir son activité commerciale auprès des grands groupes notamment des secteurs banques et assurances tout en développant de plus en plus sa présence dans le secteur industriel.

GSM : Quels sont les points forts de votre offre ?

Hervé Daussin : Notre singularité tient à la complémentarité de nos savoir-faire organisationnel et technique.

L’analyse de risques est un préalable à toute démarche de sécurisation d’un système d’information d’entreprise comme d’un système d’information industriel. Outre ses expériences, CoESSI peut se prévaloir d’une réflexion aboutie en termes de démarche et méthodes, sur des systèmes de toutes tailles et de toutes natures. Cette réflexion structure et oriente les développements en cours dans le cadre du projet MOSARIS soutenu par l’ANR. Elle lui permet une appréhension rapide, adaptée et efficace de tout nouveau périmètre à analyser. Elle garantit la fourniture d’un document d’analyse de risques conforme aux standards EBIOS et ISO 27005, parfaitement structurée et maintenable sur la durée, servant de référence pour la mise en œuvre des mesures de sécurité sur le système analysé.

Parallèlement à l’analyse de risques, le pentest permet d’en valider et d’en compléter les résultats. Les investigations de CoESSI notamment en matière de pentest physique de composants matériels constituent une innovation nécessaire dans le contexte des systèmes industriels. De par sa taille, CoESSI est en mesure de s’adapter aux problématiques spécifiques des architectures particulières de systèmes ou sous-systèmes industriels, faisant intervenir des composants échappant aux standards connus. Des plans d’investigation itératifs et flexibles peuvent être mis en place afin de faciliter la recherche de solutions en collaboration avec les équipes de nos clients.

GSM : Comment accompagnez-vous vos clients ?

Hervé Daussin : CoESSI se prévaut d’un devoir de conseil envers chacun de ses clients, et s’engage relativement à une expression de besoins. De par un suivi commercial régulier et l’implication de consultants souvent expérimentés, elle se tient au fait des évolutions chez ses clients, et au plus proche de leurs attentes.

Nous nous appliquons à nous-mêmes ce que nous recommandons à nos clients : un processus d’amélioration continue PLAN - DO - CHECK - ACT.

À la fois au fil de l’eau des prestations et de façon périodique, nous mesurons la satisfaction du client, nous analysons les dysfonctionnements et nous prenons des mesures préventives.

Notre politique est de fidéliser notre clientèle et d’en devenir un partenaire fiable et reconnu pour les accompagner sur la durée.

GSM : Comment est organisé votre réseau commercial ?

Hervé Daussin : Compte-tenu de la taille actuelle de la structure, le réseau commercial est à ce jour entièrement sous le contrôle de l’associé fondateur.

GSM : Comment est organisé votre support technique en France et en Europe ?

Hervé Daussin : CoESSI dispose d’une cellule technique d’ingénieurs qui assure pour la société une activité de veille sécuritaire. Lors des prestations, cette équipe est prête à répondre à toute sollicitation de la part d’un client. Tout problème technique chez un client est immédiatement traité avec la plus grande célérité. La petite taille de la structure autorise cette réactivité.

GSM : Pour conclure quel serait votre message à nos lecteurs ?

Hervé Daussin : Depuis sa création, CoESSI s’est vue confier par de grands groupes et notamment industriels des missions de cybersécurisation de leurs systèmes les plus innovants.
C’est dans le prolongement de ces expériences, et pour répondre aux besoins accrus des entreprises face à la cybercriminalité et à l’interconnexion croissante des systèmes, que CoESSI a résolument diversifié son activité vers la sécurisation des Systèmes d’Information Industriels (SII), et initié la majeure partie de ses travaux de R&D.
Ayant à cœur de résoudre les problèmes concrètement rencontrés par ses clients, sa démarche allie réflexion et pragmatisme. Son projet MOSARIS en collaboration avec le CEA LIST en est un parfait exemple. Il s’agit de mettre au point un outil d’analyse de risques capable de prendre en compte les spécificités des systèmes industriels, telles que leur longévité, ou bien le nombre potentiellement très important d’équipements interconnectés.
Outre la mise en sécurité de leurs systèmes (via les deux activités complémentaires que sont l’analyse des risques ou les tests d’intrusion), CoESSI propose également aux entreprises, dans le cadre de son offre de R&D à la demande, de mener pour leur compte les investigations spécifiques à une architecture et/ou une configuration donnée. Elle peut aussi les aider dans leurs homologations de systèmes ou à vérifier la conformité d’un système à une cible de sécurité donnée.
Face aux nouveaux défis du numérique, CoESSI n’hésite pas à investiguer des solutions nouvelles, et à faire profiter ses clients de ses travaux innovants dans un esprit de partenariat prenant en compte les intérêts réciproques. CoESSI souhaite entretenir avec sa clientèle une relation commerciale de premier rang et devenir un fournisseur reconnu de par la qualité et la diversité de son offre de services.




Voir les articles précédents

    

Voir les articles suivants