Christophe Chaubard-Willm, ASSYSTEM - BU Connect : pour limiter les risques il faut élaborer une démarche pragmatique de maitrise
janvier 2019 par Marc Jacob
Lors du FIC, présentera ses solutions comprenant la sûreté des sites industriels, des infrastructures critiques industrielles, la sûreté de fonctionnement ou la pérennité des outils de production ainsi que la Cybersécurité de l’ensemble des Systèmes d’Information Industriel. Pour Christophe Chaubard-Willm, Responsable de l’Activité Cybersécurité d’ASSYSTEM - BU Connect pour limiter les risques il faut ne jamais les sous-estimer et élaborer une démarche pragmatique de maitrise.
Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?
Christophe Chaubard-Willm : De part une approche globale des problématiques de sécurité, Assystem propose des solutions comprenant la sûreté des sites industriels, des infrastructures critiques industrielles, la sûreté de fonctionnement ou la pérennité des outils de production ainsi que la Cybersécurité de l’ensemble des Systèmes d’Information Industriel.
L’expérience portée depuis plus de 50 ans dans le domaine des Systèmes Industriels et de sécurité permet à Assystem de se positionner clairement en tant que spécialiste de l’OT grâce à des compétences métier couplées à une expertise en Cybersécurité. La combinaison de ces savoir-faire nous permet de répondre à l’ensemble des besoins de nos clients et aux exigences réglementaires de nos clients notamment des OIV.
Pour cette édition 2019, nous réaliserons des démonstrations sur notre stand F6 qui permettront aux visiteurs de vivre en direct une Cyber-attaque sur un système industriel et de voir de quelle manière nous pouvons la parer. Cette démonstration sera réalisée conjointement avec nos partenaires PcVue solutions (Arc Informatique), Genetec, Distech Controls et Wago.
GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?
Christophe Chaubard-Willm : Les organisations doivent accepter que la Cybersécurité est un moyen de préserver les objectifs de pérennité des activités, de maintien et de sauvegarde des savoir-faire.
La Cybersécurité impose un niveau de protection adapté au besoin de protection des données et des savoir-faire. Pour cela le repositionnement de la Cybersécurité au cœur des projets est une nécessité. Il permet, outre le maintien des objectifs précités, une optimisation des budgets et des cycles Projet mais est aussi un moyen de réponse au concept de « Privacy by design ».
Les défis principaux portés par la Cybersécurité sont de garantir la pérennité des activités et le maintien des savoir-faire.
GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?
Christophe Chaubard-Willm : Afin de relever ces différents défis, plus de 3 conseils sont nécessaires, la liste est longue mais en voici quelques-uns :
• Réaliser et suivre une ou plusieurs analyses de risque permettant de définir les recommandations et dispositifs à mettre en œuvre,
• Mettre au cœur de l’ensemble des projets la sécurité,
• Mettre en place des solutions de cloisonnement des systèmes, d’implémentation de dispositifs de détection (IPS) et de protection (IDS),
• Elaborer et tester les Plans de Continuité et de Reprise d’Activité (PCA et PRA) pour garantir la résilience des systèmes,
• Assurer la supervision et le Maintien en Condition de Sécurité (MCS) des systèmes d’information OT ou IT.
De plus il est nécessaire :
o D’auditer les projets et Systèmes d’Information de manière périodique,
o De sensibiliser tous les acteurs de l’entreprise aux règles d’hygiène en matière de Sécurité Informatique.
GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?
Christophe Chaubard-Willm : Au sein du monde industriel, la RGPD a permis la prise de conscience, l’identification de l’information, des traitements des données personnelles au sein même de l’outil de production. De ce constat, différentes recommandations ont été suivi d’une remise en cause et d’une évolution des Systèmes d’Information Industriel.
A ce jour la mise en conformité est toujours en cours (by Default et by Design) mais la maturité vis-à-vis de la RGPD et de la Cybersécurité associée est réelle et partagée par l’ensemble des entreprises et organisations.
GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?
Christophe Chaubard-Willm : Les risques portés par les Systèmes d’Information Industriels de par l’hyperconnectivité et la multi-technologie doivent être repositionnés au cœur des préoccupations de pérennité et des activités de chaque organisation.
L’évolution des stratégies multi-cloud complexifie la gestion de la Cybersécurité et des risques tout comme la résilience des Systèmes d’information.
Les systèmes industriels tels les SCADA représenteront encore une cible de choix par rapport à l’ensemble de la palette des menaces du fait de leur vulnérabilité liée à leur conception intrinsèque, souvent ‘vétuste’ et portée par la multi-technologie.
Afin de contrer ou réduire le champ d’exposition des Systèmes d’Information Industriels, un renforcement de la collaboration entre la Cybersécurité et les différents métiers des organisations devra être réalisé. En effet, cette association permet une défense en profondeur la plus adaptée afin de réduire les risques et menaces visant les Systèmes d’Information Industriels.
GS Mag : Quel est votre message à nos lecteurs ?
Christophe Chaubard-Willm : La transformation digitale continue encore à évoluer (e.g. introduction de plus en plus importante de l’IA au sein des systèmes d’information). Cette évolution amène des avancées importantes et visibles en matière de progrès dans l’ensemble des secteurs de la société et de notre quotidien.
En contrepartie, elle engendre de nouveaux risques et repositionne certains risques à un niveau plus ou moins élevé au sein des Systèmes d’Information.
Afin de limiter ces risques il faut ne jamais les sous-estimer et élaborer une démarche pragmatique de maitrise. Cela passe par une sensibilisation de l’ensemble des acteurs des organisations et de la Société, la mise en place d’une gouvernance CyberSécurité en lien avec la gouvernance des Risques, une analyse des vulnérabilités des systèmes suivis de la mise en œuvre de moyens techniques qui en découlent, et bien sûr par la pérennité du Maintien Condition de Sécurité des systèmes.
L’approche globale de sécurité que nous préconisons est, de par notre expérience et conviction, indispensable au vu des nouvelles menaces de plus en plus ciblées qui pèsent sur les infrastructures sensibles ou non.
Nous serons présents sur notre stand Assystem pendant toute la durée du salon pour vous faire partager l’analyse de nos experts sur cette approche globale.
Articles connexes:
- Alexandre Souillé, Olfeo : la sécurité du SI dépend de la solidité de son maillon le plus faible
- Yann LE BAIL, CEO de BYSTAMP : Nous rendons infalsifiable un document signé
- Guillaume GAMELIN, F-Secure : avec « Rapid Detection and Response Service », le couple Homme -Machine vous apporte une réelle solution clés en main
- Frans Imbert-Vier, CEO d’UBCOM : la Cyber sécurité doit être intégrée dans les stratégies d’affaires des directions opérationnelles
- Nicolas Speciel, UCOPIA : le RGPD conduit les entreprises à mettre en place une stratégie de la sécurité plus holistique
- Renaud GHIA, TIXEO : Il faut revenir à l’essentiel en optant pour des technologies efficaces et reconnues comme le chiffrement de bout-en-bout
- Benoit Grunemwald, ESET : vers une montée en puissance des cyptomineurs en 2019 ?
- Michel Lanaspèze, SOPHOS : plus que jamais, la sécurité n’est pas une option
- Laurent NOE, OVELIANE : Une bonne hygiène des serveurs est indispensable pour éviter la plupart des attaques
- Jacques de La Rivière & Philippe Gillet de Gatewatcher : Il est nécessaire d’anticiper les menaces
- Stéphane Estevez, Splunk : Il est nécessaire de s’équiper de technologies transversales
- Pascal Desmet, Nomios : Les outils aussi automatiques qu’ils soient, doivent être au service d’experts capables de prendre les bonnes décisions
- Jean-Philippe Kalfon, Secret Double Octopus : il faut éliminez les mots de passe des SI pour sécuriser les accès
- Guillaume Garbey, Varonis : le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années
- Gérôme Billois, Wavestone : 2019 sera une année de transition forte avec les 3 piliers que sont le cloud, l’agile et les API
- François-Xavier Vincent, Oodrive : La Security & Privacy by Design sont des pratiques assez naturelles chez Oodrive
- David Bizeul, CTO de SEKOIA : Nos solutions de sécurité n’hésitent pas à casser les idées reçues et surtout qui sont agréables à utiliser !
- Théodore-Michel Vrangos, I-TRACING : Les RSSI jouent u rôle clé dans les entreprises
- Vincent Meysonnet, Bitdefender : Nous continuons de travailler sur la détection et la protection avancée face à un paysage des menaces en constante évolution
- Christophe da Fonseca, Paessler AG : la détection des événements inhabituels peuvent aider à repérer des activités frauduleuses
- Pascal Le Digol, WatchGuard Technologies : Le déploiement d’outils de sécurité est un gage pour conserver un coup d’avance sur les cyber-malveillants
- Fabien Corrard, Gfi Informatique : la mise en place d’outils de sécurité permet de répondre aux mesures réglementaires
- Emmanuel Gras, ALSID : La prise de conscience de l’importance de la cybersécurité est effective
- David Grout, FireEye : Pour bien se protéger la formation, l’outillage sont clef mais l’intelligence est décisive
- Alexis Nardone, INQUEST, groupe GM Consultant : il faut entamer le chantier de la cybersécurité par des actions pragmatiques et cohérentes
- Didier Cohen, WALLIX : les entreprises doivent penser « Privacy et Security by Design » !
- Franck Mazeau, Panda Security : Un EDR est aujourd’hui indispensable
- Christophe Auberger, Fortinet : le RGPD est une opportunité et un facteur différenciant
- Hervé Rousseau, CEO d’Openminded : le FIC est l’occasion d’échanges fructueux avec l’écosystème de la cybersécurité
- Sophie Tacchi, IBM France : des compétences cyber à la préparation contre les cyberattaques
- Roland Atoui, et Ayman Khalil, Red Alert Labs : Le déploiement des IoT passe par la sécurité
- Michel Gérard, PDG de Conscio Technologies : Faites de vos collaborateurs le maillon fort de votre défense cyber
- Benoît Mangin, AEROHIVE : N’ayez pas peur de passer aux nouveaux usages et aux nouvelles technologies qui le permettent pour améliorer vos business
- Benjamin Leroux, Advens : Security-as-a-service Factory pour industrialiser vos services de Sécurité clé en main
- Bertin IT accélère sur la mise en conformité LPM et NIS en 2019
- Frédéric Braut, Tech Data : Pour déployer une sécurité efficace, il faut savoir adresser le cloud, l’hybridation des infrastructures, la gestion de la donnée ou encore les flux réseaux
- Coralie Héritier, IDNOMIC : Chacun doit œuvrer pour renforcer la confiance numérique
- Sébastien Gest, Vade Secure : Déjouer le piège au premier regard devient un défi pour l’humain…
- Eric Heddeland, Barracuda Networks : De la réponse aux menaces à la sensibilisation
- Raphael Basset ERCOM : Nos solutions de communications et collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Karl Buffin, Skybox Security : Simplifiez la gestion du Cyber Risk
- Marco Rottigni, Qualys : La transformation numérique et les nouvelles réglementations vont changer le rôle et la place du RSSI
- Arnaud Gallut, Ping Identity : Pensez à sécuriser vos API face à la menace croissante de fuite de données
- Christian Pijoulat, LogPoint : Automatiser les processus de sécurité est une nécessité !
- Briag Monnier, Scassi : La sécurité n’est pas une fonctionnalité ou une option, c’est un processus
- Steve Kremer, Inria : La recherche académique a un rôle majeur à jouer pour aller vers un monde plus sûr
- Kristine Kirchner, inWebo : Il n’y a plus de frein à la généralisation du MFA pour l’intégrer très en amont dans les applications
- Antoine Coutant, Systancia : L’anticipation des menaces passe par le contrôle des accès à privilège
- Matthieu Dierick, F5 : Le déploiement de services applicatifs accroît la capacité des entreprises à prospérer
- Benjamin SCHILZ, Acorus Networks : La protection DDoS ne s’improvise pas !
- Fabrice Clerc, C.E.O. de 6cure : La dématérialisation met tout le monde sur un cyber-champ de bataille