Cybersécurité de la sécurité physique : choisissez avec le plus grand soin vos fournisseurs !
Les systèmes de sécurité physique sont de plus en plus souvent utilisés par les pirates informatiques pour accéder aux réseau et données d'une entreprise. Ce qui fait de la cybersécurité la principale préoccupation du secteur aujourd'hui.
Les entreprises partagent une menace commune et omniprésente : celle d’une cyber-attaque, qui pourrait survenir n’importe quand, sans prévenir ; de celles qui peuvent avoir des conséquences désastreuses, comme mener une entreprise à la faillite, couper les réseaux électriques de toute une ville ou paralyser des services essentiels, mettant des vies en danger.
Car au-delà de disposer d’un arsenal d’outils toujours plus large et perfectionné, c’est le profil même des pirates informatiques qui a évolué, passant du loup solitaire à des groupes hautement organisés, souvent financés par des Etats nations. Ces pirates ne ciblent plus seulement des installations ou des données privées ; ils s’engagent dans le cyber-espionnage et le vol d’IP, cherchant un point d’entrée pour faire leur chemin dans les infrastructures critiques.
Or, un hacker n’a besoin que d’un seul point d’entrée pour accéder au réseau et à l’infrastructure qu’il cible. Les systèmes de sécurité physique sont de plus en plus utilisés à cette fin, ce qui fait aujourd’hui de la cybersécurité la principale préoccupation du secteur.
L’interconnectivité des opérations amplifie les risquesDe plus en plus d’objets et de systèmes sont chaque jour connectés dans le monde –de votre téléphone portable à votre voiture, de votre grille-pain à votre système de surveillance. Et de plus en plus, les entreprises s’appuient sur cette interconnectivité pour optimiser leurs opérations, encouragées par le confort et la meilleure collaboration inhérentes à cette avancée technologique.
Cette approche interconnectée est également celle qui fragilise vos infrastructures les plus critiques et les rend vulnérables aux attaques. Après tout, votre système physique n’est sécurisé qu’à la hauteur de son maillon le plus faible, ou du dispositif le moins fiable qui y est connecté.
L’interconnectivité ne peut toutefois être évitée. Les entreprises ne peuvent plus envisager de développer une stratégie totalement hors ligne – les améliorations matérielles et logicielles sont désormais si fréquentes, que si vous conservez votre système à l’abri dans un placard, vous passerez non seulement à côté de nouvelles capacités d’optimisation et de résilience, mais aussi de mises à jour essentielles à la sécurisation de vos déploiements. Le risque d’une brèche créée par un tiers resterait par ailleurs toujours bien réel : il suffirait d’une seule clé USB compromise ou d’un seul accès non autorisé à un dispositif en local.
La cybersécurité est avant tout une question de confianceLa meilleure façon de contrer une cyber-attaque est de fermer tout point d’entrée aux potentielles intrusions. Ce processus débute avec la confiance.
Vous devez tout d’abord faire confiance aux personnes avec qui vous travaillez, à commencer par vos salariés. De nombreuses entreprises ont été exposées à une attaque de malware ou à une fuite de données, dont l’origine est interne. Par exemple, un salarié qui connecte un dispositif personnel au travail, comme un téléphone, et qui n’aurait pas réalisé que ce dernier avait d’ores et déjà été piraté.
De telles brèches peuvent, dans une majorité de cas, être évitées par des sessions de formation à la cybersécurité.
Une évaluation rigoureuse de vos fournisseursIl est tout aussi important que vous ayez une entière confiance dans les entreprises avec qui vous travaillez : vos fournisseurs de solutions logicielles et matérielles, et les sociétés qui déploient vos systèmes.
Vous devez vous assurer que tous les éditeurs et intégrateurs que vous sélectionnez ont bâti leur propre entreprise sur de bonnes pratiques de cybersecurité. Quelques questions clés sont à poser avant de vous engager dans un partenariat.
Le fournisseur est-il complètement transparent sur ses vulnérabilités ? Applique-t-il une stratégie pour combler ses lacunes en termes de sécurité ? La sécurité est-elle une priorité quand il développe de nouveaux produits ? Quelle part de responsabilité assumera-t-il en cas de piratage de votre dispositif ? Et enfin, à qui appartient l’entreprise qui développe le matériel ou le logiciel ?
Cette dernière question est particulièrement importante, à cette époque où les cyber-attaques étatiques se développent. Certains fournisseurs détenus par des gouvernements étrangers peuvent vous rendre vulnérable. Les solutions proposées peuvent comporter une « back-door », un point d’entrée dissimulé permettant au fournisseur de pénétrer dans votre dispositif quand il le souhaite ; et de potentiellement perpétrer une attaque par dénis de service, ou utiliser l’IP de caméras pour entrer dans votre réseau privé.
Avant de sélectionner un partenaire, assurez-vous que votre intérêt est bien la première de ses préoccupations. Le meilleur fournisseur est celui qui place la cybersécurité avant tout, y compris le prix et les fonctionnalités de ses produits. Il doit également être en mesure d’apporter les bonnes réponses aux questions ci-dessus.