Les PME manufacturières face aux cyber-attaques. Le Sirris propose son aide…

Pratique
Par Sirris · 29/09/2021

En ces temps de transformation numérique et d’“industrie 4.0”, le risque de cybercriminalité n’a jamais été aussi réel pour les PME belges. Toute entreprise qui n’est pas suffisamment protégée peut en être victime. Pour se protéger des cyber-attaques, les PME nécessitent une stratégie sur mesure et une feuille de route précise pour assurer leur résilience. Alors que cette démarche peut être malaisée à mettre en œuvre, Sirris se propose de leur venir en aide.

Chaque année, les menaces visant la production connectée atteignent un point critique. On dénombre aujourd’hui plus de 30.000 cyber-attaques enregistrées, avec une croissance annuelle de 20% du nombre d’incidents.

La cybercriminalité n’a jamais été aussi préoccupante pour les PME belges. La transformation numérique et l’Industrie 4.0 s’accompagnent de risques graves pour les entreprises lorsque d’anciennes machines à haut risque pour la sécurité sont connectées et que des données sont collectées et échangées entre plusieurs sites sans aucun contrôle. Toute entreprise qui n’est pas dotée d’un système de sécurité suffisant peut être victime de cybercriminalité et subir les conséquences d’une faille de sécurité – interruptions d’exploitation, perte de données et réputation ternie – qui peuvent anéantir l’activité ou nécessiter des mois voire des années avant d’être maîtrisées. Pour se protéger de telles attaques, les PME ont besoin d’une stratégie sur mesure et d’une feuille de route précise en matière de résilience.

Il existe aujourd’hui deux obstacles majeurs empêchant les PME de définir ou mettre en œuvre leur stratégie de cyber-sécurité :
– les entreprises belges de cyber-sécurité privilégient leurs propres profits et proposent des cyber-services trop coûteux et inaccessibles pour la plupart des PME disposant des ressources limitées
– les normes et directives de cyber-sécurité existantes sont soit trop générales, soit trop techniques pour permettre au personnel des PME manufacturières possédant une expérience et des connaissances limitées de les comprendre et de les appliquer en vue de mettre en oeuvre leur stratégie de cyber-sécurité.

Nouvelle approche flexible

Ayant identifié ces deux obstacles, Sirris a développé une nouvelle approche flexible de la cyber-sécurité permettant de concrétiser stratégie de cyber-sécurité sans investir trop de temps et de ressources financières.

 

Pour se protéger de telles attaques, les PME ont besoin d’une stratégie sur mesure et d’une feuille de route précise en matière de résilience.

 

Première étape: une mise en bouche

Etant donné qu’une relation de confiance est primordiale pour obtenir le niveau d’information dont il a besoin, Sirris commence par une session d’introduction en ligne gratuite d’une heure. L’objectif est d’encourager les entreprises à se lancer le plus rapidement possible dans l’amélioration de leur niveau de cyber-sécurité. Cette session leur permet aussi de s’assurer que l’approche de Sirris en matière de cyber-sécurité est bien ce dont elles ont besoin.

Cette première session se concentre brièvement sur trois domaines :
– infrastructure IT (de bureau)
– infrastructure OT (de production) et intégration entre technologies IT et OT
– aspects de sécurité des données (par ex. la propriété intellectuelle est-elle suffisamment protégée, etc.)

Au terme de la session, Sirris remet à la société un rapport structuré présentant les problèmes déjà détectés ainsi que quelques conseils sur la meilleure façon de les traiter. Pour chaque point soulevé, le niveau de maturité de l’entreprise est évalué afin qu’elle sache où elle en est et vers quel niveau elle devrait évoluer.

L’entreprise peut se baser sur les recommandations de ce rapport pour se lancer immédiatement dans l’amélioration de son niveau de cyber-sécurité général.

Deuxième étape: un scan de cyber-sécurité

Si l’entreprise souhaite aller plus loin et obtenir un scan de cyber-sécurité plus approfondi, Sirris se rend sur place et examine plus en détail l’ensemble des sujets au moyen d’outils de scanning de sécurité et d’interviews.

Les résultats en sont synthétisés dans un tableau structuré présentant les actifs, les vulnérabilités et les risques. Ce tableau aide l’entreprise à définir les priorités et la marche à suivre pour évoluer vers un niveau de cyber-sécurité plus résilient.

Domaine Actif Contrôles en place Vulnérabilité Risques
Sécurité OT Capteurs IoT Connectés avec pare-feu

Ports réservés

Temps d’accès limité

  • Micrologiciel vulnérable
  • Audit insuffisant
  • Authentification inadéquate
Critiques :

  • Erreur dans le code du micrologiciel peut causer un dépassement de tampon
  • Un fraudeur peut facilement forcer l’accès d’un dispositif en devinant un mot de passe vulnérable.

Moyens :

  • Un port inutilement ouvert permet de réaliser une attaque par déni de service (DDoS) sur un dispositif

Faibles :

  • Un suivi mal configuré entraîne un excès de faux positifs
Sécurité des données Données personnelles des employés Stockées sur un serveur protégé

Accès limité

  • Cryptographie vulnérable
  • Contrôle d’accès insuffisant
  • Absence de classification des données
Critiques :

  • Le fraudeur obtient et publie des données privées
  • Le fraudeur détourne des données personnelles pour accéder au compte d’un employé
  • Le fraudeur utilise les données personnelles pour se faire passer pour un cadre de l’entreprise dans une attaque d’hameçonnage

Moyens :

  • Le fraudeur chiffre ou supprime les données personnelles

Ce tableau structuré permet d’identifier d’éventuels problèmes et de les décrire directement afin de les traiter plus rapidement et efficacement.

Troisième étape: passer à l’action

Tout PME manufacturière qui désire en savoir plus sur l’approche du Sirris ou participer à une session d’introduction gratuite d’une heure, peut contacter security@sirris.be ou Tatiana.Galibus@sirris.be pour s’inscrire.

Celles qui désirent opter pour un parcours de deux ou trois jours peuvent consulter la page Internet dédiée à ce sujet afin d’en apprendre plus sur les initiatives individuelles et collectives de Sirris.