Stratégie

Grand Théma : cyber résilience, anticiper la crise pour se relever plus vite

Grand Théma : cyber résilience, anticiper la crise pour se relever plus vite
Nos invités : (à G) Matthieu Blin, DSI du fabricant d'huiles de moteur et de lubrifiants industriels Motul et (à D) Fabrice Bru, directeur cybersécurité de la Stime (Les Mousquetaires), également président du Cesin.

Pour explorer les stratégies de cybersécurité déployées par les entreprises afin d'anticiper les crises, nous avons reçu, dans notre Grand Théma CIO/Le Monde Informatique, Matthieu Blin, DSI du fabricant d'huiles de moteur et de lubrifiants industriels Motul, et Fabrice Bru, directeur cybersécurité de la Stime (Les Mousquetaires) et également président du Cesin.

PublicitéPour anticiper les crises de cybersécurité potentielles, les organisations doivent identifier les risques les plus importants pour elles, définir leur surface d'attaque, etc. et en déduire une feuille de route. Pour détailler ce processus, nous avons reçu dans notre émission Grand Théma les responsables cybersécurité de deux organisations qui ont travaillé sur la cartographie des flux et des infrastructures et étudié, entre autres, le sujet de la cybersécurité en environnement de type industriel.

Pour commencer, nous avons accueilli Matthieu Blin, DSI de Motul, une ETI qui fabrique des huiles de moteur et des lubrifiants industriels. Arrivé en 2020 alors que l'entreprise ne disposait que de quelques outils cyber assez basiques, le DSI, qui joue aussi le rôle de Ciso, définit progressivement une stratégie cybersécurité digne de ce nom. Pour ce faire, il s'est d'abord rapidement adjoint l'aide d'un RSSI externe à temps partiel pour dessiner la cartographie de l'infrastructure et des risques, préciser la surface d'attaque de Motul et définir une PSSI (politique de sécurité des systèmes d'information). Une démarche qui conduit à la définition de la feuille de route cybersécurité.

La faiblesse de la protection des postes de travail révélée

« Ce qui est ressorti rapidement de notre cartographie, c'est que notre EDR [endpoint detection and response], la protection des postes de travail, n'était pas à niveau, raconte par exemple le DSI. Motul est une entreprise internationale avec de nombreux commerciaux nomades. Or, nous voulions exactement le même niveau de protection pour tous les employés, quel que soit leur emplacement. Nous avons donc choisi de passer d'un MPLS à une architecture Sase ».

Regardez notre émission consacrée à l'anticipation des crises cyber

Mathieu Blin et son RSSI se réunissent chaque mois pour un suivi opérationnel, mais le DSI organise également une revue trimestrielle de la feuille de route, afin de l'adapter si besoin, et une revue annuelle pour la définition du budget. En parallèle, le DSI a lancé des campagnes de formation et d'acculturation qui ont permis de presque diviser par 3 le taux de phishing, par exemple.

En usine, la gravité de l'impact cyber est plus importante

Pour évoquer les risques cyber dans le monde industriel, nous avons ensuite reçu Fabrice Bru, RSSI de la Stime (groupement Les Mousquetaires) et président du Cesin (Club des experts de la sécurité de l'information et du numérique). Les Mousquetaires est d'abord un groupe de grande distribution, mais il dispose également de plus de 110 sites industriels et logistiques. « Dans un environnement industriel, les événements redoutés sont à peu près les mêmes que dans l'informatique traditionnelle, précise Fabrice Bru. Ce qui change, ce sont les impacts et la gravité de ceux-ci, car [ils menacent] ce qui est important dans les usines, c'est-à-dire la disponibilité de la chaine de production. D'autant que, depuis plusieurs années, il y a de plus en plus de connexion entre ce système d'information dit industriel et le SI plus traditionnel, ce qui expose davantage les usines au risque cyber ».

PublicitéEt, comme l'explique le RSSI, si le monde des usines dispose déjà, par nature, d'une forte maturité en matière d'analyse de risque, il affiche en général une relative méconnaissance de la cyber. « Le RSSI et le directeur industriel doivent isoler ensemble ceux des risques déjà identifiés pour l'usine dans son ensemble qui sont portés par de l'informatique ». Le groupement Mousquetaires a ainsi commencé à conduire des audits de terrain sur certains de ses sites industriels afin d'identifier les événements cyber présentant des risques importants pour ces installations, et ainsi déployer une stratégie cyber industrielle adaptée.

Harmoniser les langages cyber et industriel

Fabrice Bru insiste également sur l'importance de s'accorder sur le langage, très différent entre le monde des usines et celui des SI, a fortiori quand il est ramené à la cybersécurité. Le Cesin a d'ailleurs publié, à destination de ses membres RSSI de l'industrie, un guide du langage des usines. Fabrice Bru précise ainsi que le club a même créé une communauté de RSSI industriels pour documenter le savoir-faire, l'expérience et les conseils spécifiques pour intégrer la cybersécurité dans ce type d'environnement. Ce qui a abouti à la publication de 4 guides (le langage des usines, les 10 questions clés pour une visite d'usine, les 'do's and don'ts' et une analyse de risque en 2 heures).

Regardez notre émission consacrée à l'anticipation des crises cyber

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Disposez-vous d’une cartographie de vos data ?