Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Jean-Christophe Mathieu, Siemens SAS : le facteur humain, clé de voûte de la sécurité des systèmes industriels

septembre 2018 par Emmanuelle Lamandé

A l’occasion de la prochaine édition des Assises de la Sécurité, Siemens présentera sa nouvelle offre Cybersécurité, basée sur son approche « Holistic Security Concept ». Pour Jean-Christophe Mathieu, Product & Solution Security Officer, Siemens SAS, la cybersécurité n’est pas qu’une question de produits ou de solutions techniques. Le facteur humain et la collaboration restent la clé de voûte de la protection des systèmes, y compris industriels. Dans ce domaine, il est d’ailleurs essentiel pour les entreprises de se faire accompagner de personnes compétentes sur les deux environnements : IT et OT.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Jean-Christophe Mathieu : Il y a deux ans, nous avons présenté la certification par l’ANSSI de composants industriels (automates et commutateurs), les premiers au monde. L’année dernière, nous avons annoncé la certification par l’ANSSI de notre gamme complète d’automates programmables industriels Simatic S7-1500, ainsi qu’une offre de services pour sécuriser les environnements industriels. Depuis novembre 2017, cette même gamme est désormais qualifiée par l’ANSSI et reste à ce jour la seule gamme à avoir obtenu la reconnaissance d’un tel niveau de confiance.

Cette année, nous avons remis à plat notre réflexion, afin de pouvoir proposer notre nouvelle offre Cybersécurité. Articulée autour de 5 axes, elle permet de proposer à nos clients une solution globale basée sur notre approche « Holistic Security Concept » pour sécuriser leurs environnements au plus près de leurs besoins, de la PME à l’Opérateur d’Importance Vitale.
Après avoir entamé une politique de durcissement de nos produits il y a déjà 8 ans, aujourd’hui en parallèle nous revisitons notre gamme de services et d’accompagnement sur les questions de cybersécurité. Nous avons construit cette nouvelle offre avec une seule idée en tête : la confiance. C’est pourquoi nous nous appuyons en outre sur un écosystème de partenaires dont les solutions et approches sont entièrement compatibles avec nos produits et nous permettent de proposer à nos clients ce qu’il y a de mieux en matière de cybersécurité pour leurs systèmes industriels.

GS Mag : Quel sera le thème de votre conférence cette année ?

Jean-Christophe Mathieu : De manière globale, la cybersécurité n’est pas qu’une question de produits et/ou de solutions techniques. L’organisation, les process et l’humain jouent un rôle clé dans la protection des systèmes industriels. Notre nouvelle offre positionne Siemens dans l’accompagnement pour la mise en place de l’ensemble de ces mesures permettant de sécuriser les installations.
Par ailleurs, nous présenterons « Charter of Trust » que nous avons initié lors de la dernière Munich Security Conference avec de nombreux cosignataires. Cette charte basée sur 10 principes de base tend à élever le niveau de sécurité des infrastructures, des produits et solutions de grands groupes signataires de la charte, mais que nous souhaitons voir se répandre plus largement au plus grand nombre.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2018 ?

Jean-Christophe Mathieu : De par notre métier historique, nous nous concentrons principalement sur la cybersécurité des systèmes industriels. Contrairement à l’année dernière et ses vagues de rançongiciels, prise de conscience supplémentaire pour nos environnements, cette année est restée dans cette veine.
A l’heure actuelle, les réseaux OT (Operational Technology) sont encore insuffisamment sécurisés, tant au niveau des automates industriels installés que les interconnexions avec l’environnement IT. Au gré de nos visites clients, nous observons encore trop souvent le peu de relations entre RSSI et directeurs industriels. Ces besoins de relations sont particulièrement forts, car il convient de sécuriser un environnement en prenant en compte de nombreux paramètres pouvant être incompatibles.
La principale menace que nous observons aujourd’hui réside plus dans le manque de sensibilisation des équipes industrielles à la cybersécurité et des RSSI aux environnements OT, le facteur humain est encore une fois la clé de voûte de l’édifice.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Jean-Christophe Mathieu : Les besoins des entreprises sont depuis toujours le moteur de nos développements, que ce soit en termes de produits/solutions ou de services. Nos efforts pour fournir à nos clients des produits de plus en plus sécurisés sont constants. Notre organisation PSS (Product & Solution Security), véritable benchmark au niveau mondial, nous permet de piloter la sécurité intégrée à nos équipements. Nous sommes aussi en cours de réflexion sur les prochains produits que nous soumettrons aux évaluations des visas de sécurité ANSSI, tout en conservant notre leitmotiv : la même gamme de produit pour la TPE ou l’OIV, au même prix. La sécurité ne doit pas servir à une augmentation des prix. Nous continuerons donc à sécuriser nos produits, non pas pour adresser un marché particulier, mais pour assurer la disponibilité et la sécurité des installations de nos clients.
Du côté service, même s’il reste délicat de trouver l’expert en automatismes ayant une réelle connaissance de la cybersécurité et donc capable de discuter autant avec un RSSI qu’un directeur industriel, nous renforçons nos équipes de ce type de profils afin de nous permettre d’accompagner nos clients avec la meilleure technicité et l’expérience nécessaire à ce type de missions. De plus, nous continuons à développer des partenariats avec des spécialistes, par exemple en gestion de crise, afin de pouvoir proposer une offre globale, au plus proche des besoins de nos clients.

GS Mag : Avec l’entrée en vigueur du RGPD, la « security et la privacy by design » deviennent quasi incontournables. Quel sera votre positionnement en ce domaine ?

Jean-Christophe Mathieu : Au cours des dernières années, Siemens a investi énormément en matière de R&D afin de pouvoir proposer des équipements sécurisés « by design ». Avec le temps nous avons aussi fait évoluer les certifications auxquelles nous soumettons nos process et nos produits partant d’Achilles (wurldtech), en passant par la certification IEC 62443-4-1 de nos sites de développement et de production jusqu’à la Qualification (Anssi).
Lorsque nos systèmes gèrent des données personnelles, notre stratégie globale de sécurisation de nos équipements permet de nous engager sur la fourniture de solutions compatibles avec les réglementations en cours.

GS Mag : Quel est votre message aux RSSI ?

Jean-Christophe Mathieu : De manière générale, entourez-vous de spécialistes pour vous accompagner dans les univers qui ne vous sont pas familiers. Sur les systèmes industriels, il est parfois nécessaire d’oublier les principes de base de ce qui a été appris au niveau IT. Faites-vous accompagner de personnes compétentes sur les deux environnements et par-dessus tout accepter les échanges avec l’ensemble des parties prenantes régissant les systèmes industriels, la solution émergera de la collaboration.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants