Jean-Christophe Mathieu, Siemens en France : Notre certification ANSSI est un atout indéniable
octobre 2017 par Marc Jacob
Pour sa deuxième participation aux Assises de la Sécurité, Siemens présentera sa gamme d’équipement de systèmes industriels certifiés par l’ANSSI. Pour Jean-Christophe Mathieu, Product & Solution Security Officer (PSSO) de Siemens en France cette certification est un atout indéniable.
Global Security Mag : C’est votre deuxième participation aux Assises de la Sécurité, pourquoi venir à cet événement ?
Jean-Christophe Mathieu : Par nos produits et nos services, notre groupe est le partenaire de référence pour répondre aux enjeux de la digitalisation et de la cybersécurité des systèmes industriels. Nous sommes le premier équipementier – et le seul à ce jour - à avoir obtenu en France la certification de sécurité de premier niveau et la qualification de l’ANSSI pour un automate programmable (Simatic S7-1500) et la certification d’un commutateur industriel (Ethernet Scalance XM400). Notre présence à cet évènement phare de la sécurité est donc logique car elle nous permettra d’échanger avec des partenaires/clients sensibles à ce sujet.
GS Mag : Pouvez-vous nous présenter votre entreprise et ses produits ?
Jean-Christophe Mathieu : Siemens France Holding est une filiale de Siemens AG, groupe technologique de dimension mondiale. Depuis plus de 165 ans, le nom de Siemens est synonyme de performance technique, d’innovation, de qualité et de fiabilité. Siemens opère dans les domaines de l’électrification, de l’automatisation et de la digitalisation et compte parmi les principaux fournisseurs de technologies à haute efficacité énergétique, qui contribuent à préserver les ressources naturelles. L’entreprise est un acteur majeur dans la production, le transport et la distribution d’énergie et un pionnier en matière de solutions d’infrastructures, d’équipements d’automatisme, de systèmes d’entraînement et de solutions logicielles destinées à l’industrie. En outre, l’entreprise est un acteur de premier plan dans l’imagerie médicale, scanographie ou imagerie par résonance magnétique, et dans les domaines du diagnostic de laboratoire et des systèmes d’information appliqués au secteur de la santé. Avec près de 7 000 collaborateurs, 8 sites industriels et 11 centres de R&D dont 8 à responsabilité mondiale, Siemens France s’engage activement dans les filières stratégiques pour l’industrie française. Au 30 septembre 2016, date de clôture du dernier exercice, Siemens France a enregistré, au titre de ses activités poursuivies, un chiffre d’affaires de 2,2 milliards d’euros dont 32 % réalisés à l’export.
GS Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Jean-Christophe Mathieu : Nous nous concentrerons cette année sur les solutions industrielles et technologiques pour accompagner la mise en sécurité des installations par des services personnalisés. En effet, grâce à une expérience de plus de 160 ans dans la fourniture, le pilotage et le maintien des équipements industriels, nous proposons des solutions adaptées et évolutives aux enjeux des industriels en matière de sécurité. Audits, formations, plans d’actions : nos équipes, au plus près du terrain, accompagnent les industriels pour renforcer leurs installations en respectant les standards de sécurité les plus élevés. Pour cela, nous avons une approche à trois niveaux :
• Évaluation du niveau de sécurité basée sur une analyse de risques : l’évaluation du niveau de sécurité est basée sur une analyse des menaces, l’identification des risques et des recommandations spécifiques pour des mesures de sécurité adaptées.
• Mise en place des mesures de sécurité pour une réduction des risques : la mise en place des mesures de sécurité permet d‘améliorer le niveau de sécurité des usines et des moyens de production.
• Surveillance de la sécurité industrielle : elle comprend une surveillance régulière et une mise à jour des mesures de sécurité via notre Cyber Security Operation Center (CSOC).
De plus, il faut rappeler que le 1er automate programmable industriel certifié CSPN et qualifié par l’ANSSI ainsi que le 1er commutateur industriel certifié par l’ANSSI font partie de notre offre. C’est un avantage indéniable.
GS Mag : Comment va évoluer votre offre ?
Jean-Christophe Mathieu : Il faut savoir que nous avons de grands défis à relever dans les systèmes d’automatisation :
• Les industries manufacturières et des procédés ont estimé la plus grande perte de revenus à 27 milliards d’euros en raison des conséquences des cybers attaques au cours des 5 dernières années.
• 59% des sociétés admettent avoir subi un incident de sécurité au cours des cinq dernières années.
• Les sociétés prennent entre 98 et 197 jours pour détecter les violations de données.
Nous continuons donc à travailler sur la certification de nos produits mais la réponse « hardware » ne peut pas être l’unique réponse à la sécurisation des installations industrielles. La formation et la sensibilisation aux bonnes pratiques est primordiale. C’est la convergence des solutions matérielles et d’une organisation fiable, pérenne et évolutive qui garantit la sécurité.
GS Mag : Quelle sera votre stratégie commerciale pour 2017/2018 ?
Jean-Christophe Mathieu : Notre stratégie sera fortement tournée vers la valeur ajoutée des services, en complément de nos produits. Par exemple, pour répondre aux nouvelles obligations des exploitants, nous proposons aux automaticiens et aux spécialistes de la sécurité des systèmes de l’information de se former dans notre centre national de formation - SITRAIN - aux bonnes pratiques de sécurité d’un système industriel. Au cours des 3 jours de formation, nous proposons une introduction simplifiée aux deux mondes, automatismes industriels et sécurité des systèmes de l’information, suivie d’exercices pratiques, le tout complété par des exemples « d’attaques » sur des systèmes industriels et la manière dont elles ont été orchestrées. L’objectif est avant tout d’aider les stagiaires à appréhender les risques potentiels pour leurs outils de production.
GS Mag : Quel est votre message aux RSSI ?
Jean-Christophe Mathieu : Notre message est simple : grâce à la certification CSPN de l’ANSSI du commutateur industriel Ethernet Scalance XM¬400 et de l’automate Simatic S7-1500, lui-même qualifié, Siemens est aujourd’hui en France l’unique équipementier à disposer de cette reconnaissance.
De plus, il est important de noter que la certification du S7-1500 reprend dans son intégralité le profil de protection publié par l’ANSSI et ce, sans l’ajout d’équipements additionnels.
Nous sommes également la 1ère entreprise à obtenir la certification TÜV SÜD basée sur la norme IEC 62443-4-1 pour ses processus de développement des produits d’automatisation et d’entraînement, y compris des logiciels industriels. En complément des produits, il faut déployer des mesures organisationnelles et des processus opératoires adapté à notre activité. Dans tous les cas, rappelons que le risque zéro n’existe pas.
Articles connexes:
- Emmanuel Gras, Alsid : La sécurisation de l’Active Directory doit être une priorité pour les RSSI
- Jean-Nicolas Piotrowski, PDG d’ITrust : La cybersécurité, c’est comme l’hygiène, il faut s’en occuper tous les jours !
- Gerald Delplace, Guardicore : Nous détectons les attaques sophistiquées en quelques minutes
- Sylvain Conchon, CONIX : La cybersécurité nécessite une innovation permanente
- Ramyan Selvam, Juniper Networks : il faut protéger le réseau avec plus d’automatisation
- Christophe Badot, Varonis France SAS : Il est nécessaire d’avoir une roadmap de sécurité
- Eric Derouet, Président de Synetis : Nous privilégions les partenariats sur la durée avec nos clients
- Christian Hindre, Flexera : La prévention reste moins chère que la remédiation !
- Xavier Lefaucheux, VP SALES de Wallix : Wallix est le chemin le plus court vers la conformité
- Benjamin Leroux, Advens : La cybersécurité nécessite un alignement sur les besoins métiers
- Romain Quinat, Nomios : Les outils intégrants de l’intelligence artificielle peuvent être déployés sans crainte des faux positifs
- Laurent Hausermann, Sentryo : les projets de cybersécurité ICS vont s’imposer comme une nécessité pour les RSSI
- Eric Perraudeau, Qualys : le “Security by design” devient accessible à toutes les entreprises
- Benoît Grunemwald, ESET France : Le couple chiffrement/antivirus pour mieux répondre aux exigences règlementaire
- Alexandre Souillé, Président d’Olfeo : optez pour le meilleur pour chaque élément de sécurité !
- Hervé Rousseau, OPENMINDED : le RGPD va être une formidable opportunité pour les RSSI d’atteindre les directions générales…
- Moncef Zid, Arbor Networks : L’automatisation DDoS intelligente est plus efficace que l’automatisation via des ‘boîtes noires’
- Christophe Grangeon, Usercube : Pour que l’IAM devienne enfin un projet maitrisable
- David Grout, FireEye : Une bonne stratégie de sécuriser doit reposer sur la compréhension des menaces, les Technologies et un bon accompagnement
- Frank Charvet, Bitdefender : une plate-forme de protection fournissant la sécurité et la visibilité doit être au sommet des priorités des RSSI
- Stéphane Johnson, Ixia : Déployer une architecture qui donne une visibilité de bout en bout est le premier pas vers la sécurisation des réseaux
- Hervé Liotaud, SailPoint : La gestion des identités doit être considérée comme prioritaire à toute défense périmétrique
- Matthieu Bonenfant, Stormshield : les professionnels de la cybersécurité doivent unir leurs forces en Europe
- Eric Heddeland, Barracuda Networks : la sécurité à l’ère du Cloud
- Théodore-Michel Vrangos, I-TRACING : les RSSI jouent un rôle clé dans les entreprises
- Julien Boulnois, CA Technologies : La place de la sécurité dans la démarche DevOps est un enjeu majeur
- Sébastien Faivre, Brainwave GRC : Analytics et contrôle continu, accélérateurs clés de votre transformation digitale
- Fabrice Clerc, 6cure : Les RSSI doivent relever le défi du chantage à la disponibilité
- Vincent Maury DenyAll, a Rohde & Schwarz Cybersecurity Company : les RSSIs doivent redoubler d’ingéniosité pour réduire les risques commerciaux tout en préservant la simplicité d’utilisation de leurs applications et Web Services
- Yann Bruneau, Newlode : la mouvance DevOps est une opportunité incroyable pour changer les mentalités
- Christophe Jourdet, NTT Security : la sécurité reste le maillon de la transformation numérique
- Ghaleb Zekri, VMware : Le challenge des RSSI est de supporter la transformation numérique
- Serge Niango, Citrix France : Les RSSI doivent s’ouvrir à de nouvelles stratégies de sécurisation
- Frédéric Saulet, LogPoint : Nous souhaitons aider es RSSI à atteindre la nécessaire conformité aux règles de sécurité
- Alain Dubas, Cisco : Pour combattre les nouvelles menaces il faut être proactif
- Guillaume Massé, Rapid7 : les RSSI doivent s’armer d’une meilleure visibilité pour avoir le contrôle et faire avancer leur entreprise
- Florent Fortuné, Forcepoint : Notre approche de la sécurité est axée sur l’humain
- Edouard de Rémur,Oodrive : la sécurité est LE véritable enjeu actuel en matière de gestion de données
- Sihem Valentino, IBM France : les RSSI doivent contribuer aux initiatives de transformation de l’entreprise et de son SI pour élaborer la stratégie cyber
- Christophe Jolly, Vectra : l’intelligence artificielle est la réponse pour parer les malwares
- Christophe Corne, Systancia : un bon produit de sécurité doit allier simplicité et sécurité
- Thierry Bardy, Président d’IMS Networks : « Rendre le monde numérique plus sûr »
- Olivier Quiniou, F-Secure : Nos solutions aident les entreprises à répondre aux exigences du RGPD
- Gérôme Billois, Wavestone : le RSSI doit devenir le chef d’orchestre de programme avec des budgets importants
- Jean Larroumets, EGERIE : les RSSI ont l’obligation de démontrer à leur direction la bonne gestion des risques et qu’ils contrôlent la situation
- Emmanuel Jacque, SAS Institute : La sécurité doit être vue de façon globale et transverse
- Lucie Loos, Nameshield : Notre priorité, assister et accompagner les RSSI dans la mise en place de leur stratégie de sécurité
- Laurent Heslault, Symantec France : les entreprises doivent mettre en place une politique de sécurité forte pour répondre aux législations
- Leroy Terrelonge, Flashpoint : le renseignement approfondi est une solution pour lever les incertitudes sur les menaces
- Loïc Guezo, Trend Micro : « Maintenir le passé et se préparer au futur ! »
- Raphaël Basset, Ercom : Nous réconcilions efficacité, sécurité, ouverture et souveraineté
- Jan Van Vliet, Digital Guardian : Nous protégeons vos données sensibles
- Bertrand de Labrouhe, Imperva : les entreprises ne doivent plus attendre de subir une attaque pour se préparer
- Thierry Brengard, Level 3 Communications : Les RSSI doivent adopter une stratégie de sécurité basée sur le réseau
- Frédéric Julhes, Airbus Defence and Space : l’innovation fait partie de notre ADN
- Marc Behar, XMCO : Nous souhaitons établir des relations de confiance avec nos clients
- Béatrice Bacconnet, Bertin IT : La protection du patrimoine informationnel des entreprises requiert un travail de surveillance quotidien
- Charles Rami, Proofpoint : détectez et bloquez les menaces avant qu’elles n’atteignent les utilisateurs
- Thierry Bettini, Ilex International : concilier sécurité, simplicité et innovation technologique
- Christophe Malapris, Vade Secure : l’email, principale source des incidents de sécurité en entreprises
- Pascal Beurel, Gigamon : il faut redonner le contrôle aux défenseurs
- Jean-François Pruvot, CyberArk : les usages Cloud & DevOps induisent de nouveaux risques
- Pierre Langlois, Silver Peak : connectez vos bureaux distants en toute sécurité
- David Adde, Avanade : Cloud & SaaS nécessitent une bonne appréciation des risques
- Jean-Charles Labbat, Radware : L’algorithme en logique floue et l’IA ouvrent pour répondre au challenge des attaques sur les IOT
- Frédéric Benichou, SentinelOne : Nous sécurisons les Endpoint
- Joël Mollo, Skyhigh Networks : le Cloud peut être sécurisé mais organisant les procédures