Voici les présentations des intervenants présents lors de l'atelier Extr4.0rdinaire du 19 octobre 2023
Retrouvez tous les conseils de nos experts pour protéger au mieux votre entreprise contre les cyberattaques !
Extr4.0rdinaire cybersécurité : présentation des intervenants
1.
2. Programme
10h45 : Accueil des participants
11h00 : Tour d'horizon de la cybersécurité - CETIC
11h45 : Cas d'application - RedSystem
12h30 : Présentation des aides mises à disposition – Wallonie Entreprendre,
IDEA, Infopole
12h45 : Moment de networking et lunch
6. Centre d'Excellence en Technologies de l'Information et de la Communication
Recherche appliquée à destination des
entreprises
6
Mission du CETIC
• soutenir le développement économique régional
• transmettre les résultats innovants issus de la recherche appliquée en Technologies
de l’Information et de la Communication (TIC) et Technologies du Numérique.
Projet de recherche
Services aux entreprises
7. CETIC
7
Centre de recherche agréé par
la Wallonie,
centré sur l’informatique et le
génie logiciel
30 projets R&D
collaboratifs en cours
50 à 70 contrats de
transfert de technologie
par an
Partenariats avec 150
entités, acteurs recherche
et entreprises, dont environ
la moitié en Europe
Localisations:
Aéropole (Charleroi)
A6K (Charleroi)
Galaxia (Libin)
50 chercheurs
5M€ budget annuel
9. Cybersécurité en chiffres
Préjudices du cybercrime attendus en 2023 : 8 000
milliards de dollars, soit 667 milliards de dollars
par mois ou 255.000 dollars par seconde.
Ce chiffre est estimé à 10.500 milliards d’ici 2025
(PIB France 2021 : 2.500 milliards d’euros)
Source : Cybersecurity Ventures
Coût moyen d’une violation de données estimé à
4,83 millions de dollars en 2023.
Source : IBM breach report
Dépenses mondiales en cybersécurité ont atteint
123 milliards de dollars en 2020.
Source : Gartner Institute
Hausse de 400% des cyberattaques depuis 2020 en
France.
69 % des cyber attaques visaient des entreprises,
20 % des collectivités territoriales, 11 % des
établissements de santé.
Source : ANSSI
Pour 54% des PME victimes en 2021 d’une
attaque, le coût est supérieur à 500.000 dollars.
Source : CISCO cybersecurity special report
Plus de 60% des entreprises victimes d’une
attaque ferment dans les 6 mois.
Source : National Cyber Security Alliance
Environ 40% des attaques visent des PME.
Source : Small Business Trends
10. Evolution de l’industrie manufacturière
• Les entreprises manufacturières ont profondément évolué ces dernières années
avec un rôle de plus en plus important des technologies dans leur
fonctionnement
• Automatisation plus poussée des processus de production et robotique (usine intelligente)
• Internet des objets et connectivité sans cesse croissante
• Digitalisation de la supply chain
• Prise de décision basée sur les données
• Analyse de données / IA
• Cette transition vers une industrie 4.0:
• Offre d'innombrables perspectives
• avantages en termes d'efficacité de qualité et de rentabilité.
• Expose également ces entreprises à de nouveaux risques, mettant en lumière l'importance
cruciale de la cybersécurité
11. Nouvelles menaces
• Ransomware
• Phishing
• Attaque par déni de service (DDoS)
• Vol de propriété intellectuelle
• Attaque sur les systèmes de contrôle industriel (ICS)
14. Conséquences potentielles
• Perturbation de la production
• Pertes financières
• Perte de données critiques
• Réputation endommagée
• Litiges juridiques
• Tensions sociales
15. Quels actifs à protéger ?
• Données sensibles et propriété intellectuelle
• Systèmes de contrôle industriel (automates, SCADA…) + équipement
et machines
• Réputation de l’entreprise
• Chaîne d’approvisionnement
• Ressources humaines
• Infrastructure de réseau (réseaux informatiques et industriels)
Il ne s’agit pas seulement de protéger votre IT et vos machines
16. Défis spécifiques à l’industrie manufacturière
• Interopérabilité des systèmes (IT/OT)
• Systèmes hétérogènes
• Temps d’arrêt coûteux
• Besoins de conformité spécifiques
17. Défis spécifiques à l’industrie manufacturière
• Pénurie de compétences
• Gestion de la chaîne d’approvisionnement
• Sensibilisation des employés
Les entreprises du secteur devraient développer une approche
proactive de la cybersécurité, adaptée aux spécificités de leur
environnement et des risques auxquelles elles sont exposées.
18. Normes et réglementations
• GDPR
• Directive NIS
• NIS:
• La directive NIS concerne les secteurs de l’énergie, du transport et des
services de santé.
• La directive NIS-2 en étend le champ
• Les entreprises actives dans ces secteurs doivent se conformer à cette
directive et signaler les incidents de cybersécurité aux autorités
compétentes.
• Cyber Resilience Act (CRA)
19. Normes et réglementations
• Normes industrielles/sectorielles → FDA pour l’industrie
pharmaceutique, ISO/SAE 21434 pour la sécurité des véhicules…elles
intégreront probablement une dimension cybersécurité à terme.
Soyez prêts.
• Normes US → si vous exportez ou opérez aux USA, d’autres normes
sont d’application:
• NIST SP 800-171
• MIRMA
• CISA
En résumé, si vous n’êtes pas convaincus par vous-mêmes, il
est probable qu’on vous l’impose
20. Bonnes pratiques en matière de cybersécurité
1. Evaluation des risques → commencez par une évaluation
approfondie des risques
2. Politiques et procédures de sécurité → élaborez des politiques et
des procédures de sécurité solides, documentées et appliquées de
manière cohérente.
3. Sensibilisation et formation → sensibilisez et formez régulièrement
vos employés à la cybersécurité
4. Mise à Jour et ‘patch management’ → Maintenez tous les systèmes,
logiciels et équipements à jour avec les derniers correctifs de
sécurité.
21. Bonnes pratiques en matière de cybersécurité
5. Segmentation réseau → Isolez les systèmes critiques en utilisant la
segmentation réseau.
6. Surveillance en temps réel → Mettez en place des systèmes de
surveillance en temps réel
7. Plan de gestion des incidents → Développez un plan de gestion des
incidents détaillé qui décrit comment réagir en cas d'attaque
8. Sécurité des fournisseurs → Assurez-vous que vos fournisseurs
respectent également des normes de cybersécurité élevées
22. Bonnes pratiques en matière de cybersécurité
9. Chiffrement et authentification forte → Utilisez le chiffrement pour
protéger les données sensibles en transit et au repos
10.Tests de pénétration et simulation d’attaques → Effectuez
régulièrement des tests de pénétration
25. PAGE 28
le coût moyen
d’une cyberattaque
25.000€
des attaques commencent
par
un mail de phishing
90%
des entreprises
ont déjà subies
une cyberattaque
43%
Quelques chiffres
40. PAGE 44
Quelques bonnes pratiques
Mot de passe
● Appliquez des mots de passe de
minimum 14 caractères contenant
majuscules, minuscules, chiffres et
caractères spéciaux
● Utilisez un gestionnaire de mot de
passe (ex : 1password, Lastpass,...)
41. PAGE 45
Quelques bonnes pratiques
Authentification
multifactorielle
● Activez l’authentification multifactorielle (2FA)
quand elle est disponible (ex : Authenticator)
● Ne stockez pas votre mot de passe sur un
post-it ou dans un fichier de votre ordinateur.
● Assurez-vous que vos utilisateurs utilisent un
mot de passe différent pour chaque compte,
site web ou rôle.
42. PAGE 46
Quelques bonnes pratiques
Mise à jour système et
logicielle
● Vérifiez régulièrement les mises à jours de vos équipements :
■ Mise à jour de sécurité
■ Mise à jour de fonctionnalité
■ Mise à jour de qualité
● Redémarrer vos ordinateurs afin d’appliquer les MAJ au système
● Quand une mise à jour est disponible donnez vous 48h au plus
pour l'exécuter
● Téléchargez vos logiciels depuis des sources officielles
43. PAGE 47
● Sauvegardez régulièrement vos données
● N’utilisez que le(s) système(s) fourni(s) par
votre entreprise
● Oubliez, définitivement, la clé USB
Quelques bonnes pratiques
Sauvegarde (backup)
44. PAGE 48
Quelques bonnes pratiques
Se protéger
(en déplacement)
● Protégez vos informations lors de déplacement
● Voyage professionnel
● Voyage personnel
● Goodies
● Wifi de l'hôtel ou d’un événement
● VPN
● Chiffrement
45. PAGE 49
● Être aussi prudent avec son smartphone ou
sa tablette qu’avec son ordinateur
● Être vigilant lors d’un paiement sur Internet
● Formez votre personnel
● Séparer les usages personnels des usages
professionnels
● Faites un audit récurrent
Quelques bonnes pratiques
Divers
50. F i n a n c e m e n t
Aides/subsides AAP/POC Financement/prêt
• Easy-up
• Easy-green
• Vos partenaires
financiers (banque,
invests, etc.)
• IA : Tremplin IA
• IdF PoC
• Eco. Circu. AAP/PoC
• …
• Start & Tremplin IA
• Chèques entreprises
• Numérique
• Relance
51. I A : S t a r t e t Tr e m p l i n
https://www.digitalwallonia.be/ia/
START IA = Tour d’horizon
Accompagnement de 40H pour mesurer le
potentiel de vos données et identifier les
opportunités de l’IA et préparer un plan
d’actions
Financement de 70% : 3500€/5000€
Conditions : Localisation en wallonie
Tremplin IA = PoC - tester
Accompagnement pour tester la faisabilité
d’un projet et évaluer « concrètement » la
performance de l’IA sur vos données.
Financement de 70% : 40.000/28.000€
Conditions : Localisation en wallonie
Accessible pour
les grandes
entreprises
52. E a s y - U p / E a s y G r e e n
https://www.wallonie-entreprendre.be/fr/financements/pret/
Easy-up = transformation numérique
Soutenir les entreprises dans leur
transformation numérique (ex. Idf 4.0) :
digitalisation des process, infrastructure,
stratégie commerciale. Ex: Acquisition ERP
Prêt subordonné (max 500K) – 40%
Pas de garantie + poss. franchise
Easy-green = transition énergétique
Réduction des factures énergétiques, du
CO2, projet éco-innovants, eau, groupe
froid, gaz fluoré, panneaux solaires,
transition bas carbone, gestion intelligente
de l’énergie, plus circulaire, etc.
Prêt subordonné CT,LT (max 1.000K) + poss.
franchise
Pas de garantie + poss. franchise
Financement (prêt et garantie) + accompagnement
Bientôt
accessible pour
les grandes
entreprises
53. C h è q u e s E n t r e p r i s e
Type de chèques Chèques entreprises
Taux
d'interventio
n
Plafond
Montant
max sur 3
ans
Durée
Relance par
le
numérique
- Diagnostic 90% 1.900 € 1.900 € 3 ans
- Plan d'actions stratégiques 90% 5.700 € 5.700 € 3 ans
- Implémentations stratégiques 90% 7.400 € 7.400 € 3 ans
Numérique - Cybersécurité 75% 50.000 € 50.000 € 3 ans
- Maturité numérique 50% 50.000 € 50.000 € 3 ans
https://www.cheques-entreprises.be/
Notes de l'éditeur
Introduction en 5 slides
Ensuite: à agencer suivant le public:
Le « quoi »: Audience plus technique :Organisation Technique et scientifique
Le comment: A propos du CETIC: audience plus
https://www.cetic.be/spip.php?page=groupes-mots&id_groupe=10&lang=fr
Ajouter 1 slide par domaine.
Conception de systèmes à base logicielle « secure by design »
Analyse de risques et modélisation des menaces
Tests de pénétration et analyse de vulnérabilités
Opération de SOC (Security Operations Center) et Cyber Range
Certification des consultants éligibles aux chèques Cyber
Sécurisation de réseaux IoT
Sécurité dans l’analyse de données et l’IA
Les entreprises manufacturières ont profondément évolué ces dernières années avec un rôle de plus en plus important des technologies dans leur fonctionnement
Automatisation plus poussée des processus de production et robotique (usine intelligente)
Internet des objets et connectivité sans cesse croissante → collecte des données en temps réel, surveillance et maintenance à distance, gestion proactive des actifs…
Digitalisation de la supply chain → suivi en temps réel des mouvements (matières premières, des produits semi-finis et finis), échange de données avec les acteurs de la supply chain…
Prise de décision basée sur les données → les dirigeants peuvent prendre leur décision sur base de données précises et détaillées
Analyse de données / IA → optimisation des opérations via l’exploitation de données collectées par des algorithmes d’apprentissage automatique (e.g. maintenance prédictive)
Ransomware → les attaques de ransomware visent à crypter les données critiques de l'entreprise, puis les cybercriminels demandent une rançon pour les décrypter
Phishing → les attaques consistant à tromper les employés pour obtenir des informations sensibles, telles que des identifiants de connexion ou des informations financières (arnaque au président)
Attaque par déni de service (DDoS) → perturbent les opérations en surchargeant les serveurs et les réseaux de l'entreprise, entraînant des temps d'arrêt coûteux.
Vol de propriété intellectuelle → Les entreprises manufacturières investissent souvent dans la recherche et le développement. Les cybercriminels ciblent ces informations sensibles (rançon pour non-divulgation)
Attaque sur les systèmes de contrôle industriel (ICS) → attaques sur les systèmes tels que les SCADA (Systèmes de Contrôle et d'Acquisition de Données), pouvant provoquer des pannes dans les installations de production.
Fuite de données clients → la perte de données personnelles des clients peut avoir un impact considérable sur la réputation et la confiance des clients.
Malware industriels → malwares spécifiques conçus pour cibler les équipements et systèmes industriels (PLC, robots)
Stuxnet → un des malwares industriels les plus célèbres de l'histoire. Découvert en 2010, il a été spécialement conçu pour cibler les systèmes de contrôle industriels (centrifugeuses nucléaires en Iran). Stuxnet était capable de modifier le fonctionnement des automates indusriels (PLC) et de causer des dommages physiques aux équipements.
Industroyer → malware ciblant les systèmes d'alimentation électrique et les sous-stations électriques. Il a été utilisé pour lancer une attaque contre le réseau électrique en Ukraine en 2016, provoquant une panne de courant.
TRITON / TRISIS → un malware qui peut compromettre la sécurité des installations industrielles en désactivant les systèmes de sécurité.
Thyssen Krupp (2016) → le géant de la fabrication allemand, a été victime d'une attaque informatique majeure en 2016. Les attaquants ont compromis les systèmes de l'entreprise et volé des données sensibles, y compris des plans industriels et de recherche.
Maersk (2017) → Maersk, l'une des plus grandes entreprises de transport maritime et de logistique au monde, a été touchée par la variante NotPetya du ransomware en 2017. Cette attaque a paralysé les opérations de Maersk pendant plusieurs jours, entraînant des pertes financières massives. L’attaque NotPetya a également touché Merck ou FedEx.
Honda (2020) → En juin 2020, Honda a été la cible d'une attaque de ransomware, qui a affecté ses opérations de production dans plusieurs pays. L'entreprise a été contrainte de suspendre temporairement la production dans certaines de ses usines.
ASML (2014) → entreprise néerlandaise spécialisée dans la fabrication équipements de gravure de puces, qui a été la cible d'une attaque informatique en 2014. Les attaquants ont tenté de voler des informations confidentielles sur la technologie de l'entreprise.
Perturbation de la production (interruption, perte de qualité, baisse de la productivité…)
Pertes financières (arrêt des chaînes de production, non-qualité, rachat de matériel…)
Perte de données critiques (plans de production, données de conception, données clients…)
Réputation endommagée (clients, partenaires commerciaux, investisseurs, banques…)
Litiges juridiques (non-respect des engagements clients, non-conformité, accidents…)
Tensions sociales (mise à l’arrêt des outils, fuite de données employés…)
Données sensibles et propriété intellectuelle (données de conception de produits, plans de production, données financières, informations sur les clients, les fournisseurs et le personnel…)
Systèmes de contrôle industriel (automates, SCADA…) + équipement et machines
Réputation de l’entreprise
Chaîne d’approvisionnement → fournisseurs et partenaires doivent également respecter des normes de cybersécurité élevées
Ressources humaines → on estime que plus de 80% des attaques commencent par une forme d’ingénierie sociale (phishing) → sensibiliser et former le personnel est crucial
Infrastructure de réseau (réseaux informatiques et industriels)
Il ne s’agit pas seulement de protéger votre IT et vos machines
Interopérabilité des systèmes (IT/OT) → Les environnements de production modernes impliquent souvent une multitude de systèmes et d'équipements provenant de différents fournisseurs. Assurer la sécurité de ces systèmes interconnectés tout en maintenant leur fonctionnement optimal est un défi complexe. Les équipes IT et de production doivent travailler ensemble pour s’assurer de la sécurité des infrastructures.
Systèmes hétérogènes → Les entreprises manufacturières utilisent souvent des systèmes informatiques hétérogènes, y compris des systèmes hérités et des équipements plus anciens. Ces systèmes peuvent être moins sécurisés et plus difficiles à protéger.
Temps d’arrêt coûteux → Les interruptions de la production peuvent complètement bloquer l’entreprise (là où d’autres entreprises peuvent continuer à fonctionner)
Besoins de conformité spécifiques → Le secteur manufacturier est soumis à des réglementations spécifiques dont le respect est un défi supplémentaire.
Pénurie de compétences → La cybersécurité exige des compétences spécialisées que le secteur manufacturier peut avoir difficile à recruter/conserver.
Gestion de la chaîne d’approvisionnement → Les chaînes d'approvisionnement mondiales et les relations avec les fournisseurs ajoutent une complexité supplémentaire. Les cyberattaques peuvent se propager à travers la chaîne d'approvisionnement, mettant en danger l'entreprise (effet systémique)
Sensibilisation des employés → elle est essentielle, mais il peut être difficile de former un grand nombre d'employés, y compris ceux qui travaillent sur le plancher de l'usine, à la cybersécurité.
GDPR (Règlement Général sur la Protection des Données) → réglementation européenne qui vise à protéger les données personnelles des citoyens de l'Union européenne. Toute entreprise manufacturière collectant, traitant ou stockant des données personnelles doit respecter le GDPR.
Directive NIS → directive européenne qui vise à renforcer la cybersécurité des opérateurs de services essentiels (OSE) et des fournisseurs de services numériques (PSN).
La directive NIS concerne les secteurs de l’énergie, du transport et des services de santé. La directive NIS-2 en étend le champ : secteur financier (banque), traitement des eaux, gestion des déchets, produits chimiques, fabrication (en particulier, mais sans s'y limiter, les équipements médicaux, informatiques et de transport)
Les entreprises actives dans ces secteurs doivent se conformer à cette directive et signaler les incidents de cybersécurité aux autorités compétentes.
Cyber Resilience Act (CRA) → réglementation européenne à venir qui va une série d’obligations réglementaires aux fabricants de produits digitaux/connectés, avec des amendes et une interdiction de commercialisation en cas de non-respect
Normes industrielles/sectorielles → FDA pour l’industrie pharmaceutique, ISO/SAE 21434 pour la sécurité des véhicules…elles intégreront probablement une dimension cybersécurité à terme. Soyez prêts.
Normes US → si vous exportez ou opérez aux USA, d’autres normes sont d’application:
NIST SP 800-171 → souvent exigée pour souvent exigée pour les sous-traitants travaillant avec le gouvernement fédéral
MIRMA → loi qui oblige les entreprises à protéger leurs systèmes informatiques contre les cyberattaques
CISA → vise à protéger les infrastructures critiques, y compris celles liées à la fabrication, contre les cybermenaces
En résumé, si vous n’êtes pas convaincus par vous-mêmes, il est probable qu’on vous l’impose
Evaluation des risques → commencez par une évaluation approfondie des risques pour identifier les vulnérabilités spécifiques à votre entreprise et à votre environnement technologique. Cela vous aidera à hiérarchiser les mesures de sécurité nécessaires.
Politiques et procédures de sécurité → élaborez des politiques et des procédures de sécurité solides, documentées et appliquées de manière cohérente. Cela inclut la gestion des accès, la gestion des mots de passe, la classification des données et les politiques de sécurité des employés.
Sensibilisation et formation → sensibilisez et formez régulièrement vos employés à la cybersécurité. Ils doivent être conscients des menaces potentielles et savoir comment réagir en cas d'incident. Développez une culture de la cybersécurité. Exemple : campagne de phishing
Mise à Jour et ‘patch management’ → Maintenez tous les systèmes, logiciels et équipements à jour avec les derniers correctifs de sécurité. Les vulnérabilités non corrigées sont une porte ouverte pour les attaquants.
Segmentation réseau → Isolez les systèmes critiques en utilisant la segmentation réseau. Cela empêche la propagation des attaques à partir d'un point d'entrée compromis.
Surveillance en temps réel → Mettez en place des systèmes de surveillance en temps réel pour détecter les activités suspectes ou les comportements anormaux sur votre réseau.
Plan de gestion des incidents → Développez un plan de gestion des incidents détaillé qui décrit comment réagir en cas d'attaque. Cela inclut les étapes de réponse, la communication en cas de violation et la restauration des systèmes.
Sécurité des fournisseurs → Assurez-vous que vos fournisseurs respectent également des normes de cybersécurité élevées. Les maillons faibles dans votre chaîne d'approvisionnement peuvent devenir une source de vulnérabilité.
Chiffrement et authentification forte → Utilisez le chiffrement pour protéger les données sensibles en transit et au repos. Mettez en place des mécanismes d'authentification forte pour garantir que seules les personnes autorisées ont accès à des systèmes critiques.
Tests de pénétration et simulation d’attaques → Effectuez régulièrement des tests de pénétration et des simulations d'attaques pour évaluer la résistance de vos systèmes à des menaces réelles.
attaque via faille 0day
hacker sur réseau
hacker chiffre les données
ainsi que le backup
Intrusion physique
connexion au réseau
découvre un PC sous window 7
qui ont permis de passer admin réseau
campagne phishing
récupération de id et mdp dans les mails
qui ont permis de passer admin + attaque sur réseau + accès aux cuves (possibilité de contrôler ouverture et fermeture des cuves)