3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44

transfer

02 | 2020 LE MAGAZINE CLIENTS DE RITTMEYER Un moment terrifiant Mise à l’épreuve réussie de la stratégie de sécurité TIC de Rittmeyer Entre la chaise de bureau et l’écran Sensibilisation ciblée des employés aux dangers potentiels Standard TIC minimum Minimal mais bel et bien complexe

ENTRE NOUS ENTRE NOUS TOUT PEUT ARRIVER 02| 2020 2 | 3

À l’occasion de la préparation de ce numéro de < transfer >, tandis que je me trouvais en présence de six autres personnes, toutes à bonne distance et dans une salle de la taille d’un gymnase, nous ne savions pas grand-chose de ce que les prochains mois allaient nous réserver. Avec le COVID-19, sans doute comme nous tous ici, vous avez dû vous adapter tant dans votre vie privée que professionnelle. Ainsi, avec vous, nous avons été confrontés à une multitude de difficultés que nous avons su, ensemble, maîtriser. Nous avons dû admettre que la mise en service et la maintenance s’avéreraient plus compliquées face aux mesures sanitaires nécessaires. Mais grâce à votre soutien, nous y sommes parvenus, le plus souvent dans les délais impartis, sans mettre en péril la santé de vos et de nos employés. C’est pourquoi, aujourd’hui, je tiens tout particulièrement à vous remercier de votre aide. En même temps, nous étions loin de nous imaginer que le sujet que nous avions choisi, allait prendre une telle importance dans notre travail. Le groupe Brugg fit l’objet d’un piratage informatique qui interrompit le bon fonctionnement de son service informatique ainsi que de certaines parties du groupe durant quelques jours. Nous avons cependant constaté que la stratégie de nos spécialistes informatique avait su nous préserver du pire : les données de nos clients ont toujours été protégées et tous les systèmes ont pu être redémarrés correctement. Finalement, le cours des choses peut dériver, mais il reste exactement comme nous l’avions prévu. Nous avons consacré notre article principal à ‹ cet évènement › où nous tenterons de récapituler ses causes et ses conséquences avec les acteurs concernés de notre entreprise. Axpo est la plus grande entreprise énergétique en Suisse, rendant particulièrement critiques ses infrastructures pour un approvisionnement fiable du canton. Le responsable de la sécurité des informations, Chief Information Security Officier Daniel Gerber, nous parle des stratégies et mesures du groupe afin de détecter en amont les piratages informatiques et d’y faire face rapidement. Comment les fournisseurs en eau de Suisse, d’Allemagne et d’Autriche, relèvent-ils les défis posés par la sécurité TIC ? Nous nous sommes entretenus avec Sylvia Wetzel, Directrice ISMS désignée de la régie Landeswasserversorgung Stuttgart (page 24), Manfred Becker, l’exploitant des centrales de Vienne-Neustadt (page 36) ainsi qu’avec Martin Büeler et Michael Reiser (page 17) du regroupement des régies d’eau Rapperswil- Jona (page 17). Tous décrivirent leurs choix afin de protéger les infrastructures TIC ainsi que les différentes réglementations nationales. Les petits fournisseurs comme le regroupement des régies de Diemtigtal dans le canton bernois, trouvèrent une aide efficace dans le standard TIC minimum de la SSIG, afin de sécuriser leur exploitation. Le maître fontainier Thomas Gartwyl ainsi que le président Hansruedi Brunner nous racontent leurs expériences à partir de la page 30. Découvrez aussi comment une effraction déclencha une toute nouvelle stratégie de sécurité au travers du récit de Karl Koller, exploitant de la STEP Obersee (page 33). Notre entretien avec un bons parmi les méchants, soit le spécialiste de la sécurité informatique, Philipp Zihler, de la société b-Secure GmBH, qui agit parfois comme < White Hat Hacker >, s’avéra très instructif. Il nous ouvrit les yeux sur les méthodes de l’ingénierie sociale qui tient lieu désormais de stratégie criminelle la plus efficace en matière de piratage. Lisez à partir de la page 10, pourquoi il est essentiel de sensibiliser et de former en permanence les employés à ses pratiques. Nous avons nous-mêmes fait l’expérience de l’importance de la sécurité TIC. Au bout du compte, nous avons constaté avoir pris toutes les bonnes décisions possibles. La certification de Rittmeyer AG selon la norme ISO 27001 représenta une étape clé (page 14). C’est pourquoi notre recommandation et celui des personnes interviewées est univoque : préparez-vous, votre installation et vos employés, afin d’affronter efficacement les défis de la cyber-sécurité. En espérant que ce numéro de ‹ transfer › sera l’occasion d’intéressantes discussions. Avec tous mes remerciements, Andreas Borer, CEO, Rittmeyer AG

et gekappt. Die Presse berichtete UGG GROUP, Mutter der Rittmeyer AG, ines cyber-angriffs. Seit jenem gingen inzwischen einige Wochen ins n und Folgen des IT-Sicherheitsvorfalls arenter. Ein Protokoll. BRUGG GROUP vor Ort und versu chen sich ein Bild zu verschaffen. Netzwerkstörung? Stromausfall? Die IT-Abteilungen der BRUGG werden über ‹Störungen im sind offline. ‹Bing› nun ebenfalls beim Rittmeyer-Picket. Die gehäuften Meldungen verhiessen nichts gen ersichtlich, dass Dateien verschl üsselt waren. Auch wenn wir die Ursache n och nicht kannten, war der Fall klar: Das war gravierenderes Problem Roland Hürlimann. Er war die ab jetzt wohl meist gefor derte Person im Unternehmen, das ISO-27001-zertifizierte Information ssi cherheitsmanagementsystem (ISMS ) der Rittmeyer AG erhielt seine Feuertauf e. Und dann ging es Schlag auf Schlag. werden heruntergefahren. ind informiert: Polizei, Versicherung, das nationale Zentrum für Cybersicherheit. Als Sofortmassnahme wird die weltweite Isolation aller Datenzentren der BRUGG GROUP in Angriff genommen. Kein Internet. Abgetrennt von der Aussenwelt. Alle Rechner heruntergefahren. Kein Bit rein, keines hinaus. Verhindern, dass sich Schadsoftware verbreiten kann und Angreifer weiterhin Zugriff auf das System haben. Die Arbeit steht still. Alle Mitarbeitenden mit Ausnahme der IT-Abteilung werden nach Hause geschickt. 10:00 Uhr Das Haus ist nahezu leer, die Parkplätze verwaist, alles wie ausgestorben. Nur das Gewusel im Kommandoraum. 12:17 Uhr Weltweit sind alle IT-Systeme der BRUGG GROUP abgeschaltet. 15:31 Uhr Sämtliche Standorte sind vom Internet isoliert. → 6 20 SOMMAIRE Mentions légales transfer est le magazine clients bisannuel de Rittmeyer AG. Éditeur Rittmeyer AG Une société du BRUGG GROUP Inwilerriedstrasse 57, CH - 6341 Baar www.rittmeyer.com Directeur de publication Andreas Borer Rédaction et mise en page up! consulting ag, Ruggell (FL) Email à la rédaction transfer@rittmeyer.com Crédit photo Rittmeyer AG, iStock (DedMityay: 6–9 | Anastasiia_Guseva: S. 6–9 | Feodora Chiosea: p. 10, 12 | Serdarbayraktar: p. 14–16 | ilbusca: p. 17–19 | ands456: p. 4, 20–21 | in-future: p. 20–23 | Kritchanut: p. 2–23 | fritschk: p. 24 | Fug4s: p. 27–29 | Olena Horbatiuk: p. 27 | skodonnell: p. 28 | ratpack223: p. 33 | CarmenMurillo: p. 33 | scanrail: p. 33 | carduus: p. 36–37 | mladensky: p. 38–40), Jens Ellensohn (p. 2, 28), Adobe Stock ( Waldteufel: p. 30–32), Bwag, CC-BY-SA-4.0 (p. 36), photo privée mise à disposition Date de parution Novembre 2020 Mauvaise adresse ? Veuillez nous informer si votre adresse a changé : www.rittmeyer.com/adresse Les points de vue et les avis de tierces personnes qui sont publiés dans le cadre des articles, ne correspondent pas forcément avec les points de vue et avis de Rittmeyer AG. EXPERTISE & ENTRETIEN APPLICATION & REPORTAGE EN BREF Réveil brutal Protocole d'une cyberattaque … et les jours après 10 Comment faire chanter l’exploitant d’une infrastructure critique ? Un entretien avec un ‹ White Hat Hacker › 14 ISO 27001 : pourquoi miser sur le nec plus ultra en matière de standard de sécurité 17 Un monde abstrait : la sécurité TIC chez un fournisseur d’eau 24 Les mesures légales IT dans les infrastructures critiques en Allemagne 27 Allo la lune, ici la terre Faire comprendre la sécurité TIC 30 On ne sait jamais : une commune montagnarde mise sur le standard minimum TIC 33 L'effraction : le tournant Optimisation de la sécurité TIC à la STEP Obersee 36 Comme les grands : importantes mesures de sécurité TIC dans une régie de l’eau autrichienne Non à la mafia numérique Identifier rapidement les piratages et réagir au plus vite 38 Une commune touristique hivernale face à sa consommation électrique fluctuante 41 Profiter des possibilités Doser les précipitants en temps réel – et plus encore nts, internet inaccessible. Dans roupe bRuGG, maison mère de la yer AG, a été victime d’un piratage Depuis ce 10 septembre, plusieurs nt déjà écoulées rendant les causes et es de cet incident informatique plus voici l'autopsie d’un piratage. BRUGG et tentent de se faire une idée concrète de la situation. Défa lance du réseau ? courant ? Les services informatiques du BRUGG sont informés de Défaillances du fonctionnement informatique›. Les premiers serveurs de Rittmeyer sont déconnectés. Le ‹Bip› fatidique atteint désormais le service de garde de Rittmeyer. L’accumulation d’avertissements ne l aisse présager rien de bon. « Très vite, nous avons vu que certains fichiers étaient verrou illés. Même si nous ne connaissions pas encore la cause, nous avions déjà conscience d’une chose : il s’agissait d’un problème trè s , médite le PDG Roland Hürlimann. À partir de là, il devint la personne la pl us sollicitée de l’entreprise et le système de gestion de la sécurité des informations (ISMS ) certifié ISO-27001 de Rittmeyer AG fit son ba ptême du feu. Puis tout se succéda très vite. Tous les services informatiques chez Rittmeyer sont éteints. des prochains jours. Une chose compte maintenant : limiter le chaos. Plus de 25 personnes étaient rassemblées. Des employés de Rittmeyer, des partenaires externes et des collègues d’autres entreprises du Groupe BRUGG. On doit s’y retrouver, définir ce qu’il faut faire et établir une direction adaptée à une telle situation. « On ne peut pas simuler une telle chose, car le cas échéant, tout est bien différent de ce que l’on s’était imaginé », raconte le PDG de Rittmeyer, Andrea Borer. Les expériences que les participants avaient acquises dans leurs activités au sein des pompiers volontaires, de la protection civile et d’autres organisations militantes ont vraiment étaient précieuses, souligne Borer. Des étiquettes avec les noms, un organigramme et des listes de présence furent mis Excepté le service informatique, tous les autres employés sont renvoyés chez eux. 10H00 Le bâtiment est quasiment vide, les places de parking désertées, le temps semble s’être arrêté. Il ne reste plus que les grouillements issues de la centrale de commande. 12H17 Tous les systèmes informatiques mondiaux du Groupe BRUGG sont éteints. 15H31 Tous les sites sont coupés d’Internet. → 02| 2020 4 | 5

1 _ _ _ 57% Authentification EN BREF Source : Étude IBM « Future of Identity » 2018 Source : Campagnes de phishing, Duo Security, 2016 Sécurité prise en compte par les méthodes d’authentification 44% Scan de l’emprunte digitale 2553 destinataires 27% ont cliqué sur le lien. 31% ont ouvert l’email. 17% ont donné leurs codes d’accès. 27% Mots de passe alphanumériques 30% Scan de l’iris 12% Codes d’accès 12% Reconnaissance faciale Données biométriques : Scan de l’emprunte digitale, scan de l’iris, reconnaissance faciale et vocale des entreprises mondiales s’appuient sur une authentification multifacteurs (LastPass, 2019) Authentification multifacteurs Phishing En associant deux composants différents indépendants (facteurs) pour l’authentification, on obtient une meilleure sécurité contre les abus. Les tentatives d’accès aux données personnelles d’un utilisateur d’Internet au travers de faux sites internet, courriers électroniques ou messagerie restent encore un danger à prendre sérieusement en compte. À la demande de ses clients, la société de cyber-sécurité Duo Security, envoie des courriers électroniques de phishing aux employés de ses clients. Objets : clé physique, micropuces, cartes Sim, clés USB Bon à savoir : Mots de passe, codes d’accès et questions de sécurité Les hackers gagnent nettement en efficacité afin d’accéder par effraction au compte d’un utilisateur. Dans le même temps, grands nombres d’utilisateurs ont encore des difficultés à utiliser des mots de passe sécurisés. Partout dans le monde, les spécialistes se lancent dans une course contre la montre pour faire face aux hackers. Ceci au moyen de processus d’authentification et de mots de passe alternatifs qui associent convivialité et sécurité.

EXPERTISE RÉVEIL BRUTAL Protocole d’une cyberattaque … et les jours après Plus rien ne fonctionnait. État d’urgence ! Tous les ordinateurs éteints, Internet inaccessible. Dans la presse : le BRUGG GROUP, maison mère de la société Rittmeyer AG, a été victime d’un piratage informatique. Depuis ce 10 septembre, plusieurs semaines se sont déjà écoulées rendant les causes et les conséquences de cet incident informatique plus transparentes : voici l'autopsie d’un piratage. Mercredi, le 9 septembre 2020, vers 23H45 Le monde semble paisible. Tous les systèmes sont en fonction et en service. Chez lui, Roland Hürlimann éteint la lumière et part se coucher. Chief Information Officer (CIO), Hürlimann se charge de l'informatique au sein du BRUGG GROUP et chez Rittmeyer AG. Il se souvient très bien de l’heure car il avait regardé juste avant les informations de la nuit. Jeudi, le 10 septembre 2020, 04H00 Un pirate inconnu commence à verrouiller les systèmes du BRUGG GROUP. 04H03 Le téléphone portable de garde de l’employé du service informatique du BRUGG GROUP signale d’un simple ‹Bip› lapidaire : un serveur est inaccessible. Dans les heures suivantes, tous les portables de garde des membres du groupe sonnèrent les uns après les autres. ‹Bip›. ‹Serveur inaccessible›. Juste après 06H00 Les techniciens informatiques se sont entre temps rendus sur place, sur les différents sites du BRUGG GROUP et tentent de se faire une idée concrète de la situation. Défaillance du réseau ? Coupure de courant ? 06H30 Les services informatiques du BRUGG GROUP sont informés de ‹Défaillances du fonctionnement informatique›. 06H45 Les premiers serveurs de Rittmeyer sont déconnectés. Le ‹Bip› fatidique atteint désormais le service de garde de Rittmeyer. L’accumulation d’avertissements ne l aisse présager rien de bon. « Très vite, nous avons vu que certains fichiers étaient verrou illés. Même si nous ne connaissions pas encore la cause, nous avions déjà conscience d’une chose : il s’agissait d’un problème trè s grave », médite le PDG Roland Hürlimann. À partir de là, il devint la personne la pl us sollicitée de l’entreprise et le système de gestion de la sécurité des informations (ISMS ) certifié ISO-27001 de Rittmeyer AG fit son ba ptême du feu. Puis tout se succéda très vite. 07H10 Tous les services informatiques chez Rittmeyer sont éteints. 02| 2020 6 | 7 transfer

07H30 L’équipe d’intervention prévue pour de telles circonstances se met en place. 07H40 Les services informatiques externes ainsi que les partenaires responsables de la sécurité informatique sont appelés. 08H08 Tous les employés sont informés et doivent tous éteindre leurs ordinateurs. 09H10 L’équipe d’intervention est désormais complète et une centrale de commande est prête. Pour la plupart d’entre eux, elle deviendra leur lieu de résidence des prochains jours. Une chose compte maintenant : limiter le chaos. Plus de 25 personnes étaient rassemblées. Des employés de Rittmeyer, des partenaires externes et des collègues d’autres entreprises du BRUGG GROUP. On doit s’y retrouver, définir ce qu’il faut faire et établir une direction adaptée à une telle situation. « On ne peut pas simuler une telle chose, car le cas échéant, tout est bien différent de ce que l’on s’était imaginé », raconte le PDG de Rittmeyer, Andrea Borer. Les expériences que les participants avaient acquises dans leurs activités au sein des pompiers volontaires, de la protection civile et d’autres organisations militantes ont vraiment étaient précieuses, souligne Borer. Des étiquettes avec les noms, un organigramme et des listes de présence furent mis en place. « La moitié de personnes venait de l’extérieur et ne se connaissait pas », explique le PDG en décrivant les premières heures. « Et bien sûr le tout en pleine crise sanitaire liée au COVID-19 » 09H30 Toutes les instances sont informées : police, assurance, centre national pour la cybersécurité. La première mesure fut d’isoler complètement tous les centres de données du BRUGG GROUP. Fin d’Internet. Complètement coupé du monde extérieur. Tous les ordinateurs sont éteints. Plus aucun bit n’entre ni ne sort. Il était vital d’éviter la propagation de logiciel malveillant donnant ainsi encore plus de pouvoir aux pirates. Le travail reste en suspens. Excepté le service informatique, tous les autres employés sont renvoyés chez eux. 10H00 Le bâtiment est quasiment vide, les places de parking désertées, le temps semble s’être arrêté. Il ne reste plus que les grouillements issues de la centrale de commande. 12H17 Tous les systèmes informatiques mondiaux du BRUGG GROUP sont éteints. 15H31 Tous les sites sont coupés d’Internet. →

EXPERTISE Une expertise sur place Pendant les heures et les jours qui suivirent, deux équipes se chargèrent de remédier à l’incident. La première équipe formée d’experts externes se concentra sur la recherche. Michel Herzog, Chief Information Security Officer (CISO) : « Ils devaient répondre aux questions suivantes : que s’est-il passé ? Qui sont les pirates qui ont infiltré le système ? Quels composants ont été touchés ? Comment être sûr que le système en soit vraiment libéré par la suite ? » La deuxième, une équipe d’experts arrivée tout droit des Pays-Bas au petit matin du 11 septembre, se concentra sur la restauration, soit le nettoyage et la restauration sécurisée des systèmes touchés. Une tâche toute aussi délicate que difficile. Andreas Borer la compare à un réseau électrique : « Lorsqu’une anomalie se produit, elle doit être isolée. Puis il faut reprendre l’approvisionnement. Le processus critique réside dans l’art de ne pas couper mais de remettre en route. » D’autres moyens de communication Une des premières mesures a été de réinitialiser tous les comptes d’utilisateurs et leurs mots de passe. À partir de là, plus personne n'avait accès aux ordinateurs, et bien entendu plus à ses emails. Tout le groupe de la société : envolé ! En Suisse comme à l’étranger : tous coupés du réseau. « Nous avons dû vite trouver un moyen de communiquer avec les gens », se souvient Andreas Borer. Ainsi on passa à WhatsApp comme premier instrument de direction. « Une vraie communication sécurisée », plaisante Borer aujourd’hui. Comprendre ce qu’il s’est produit Les équipes informatiques travaillèrent sans interruption. Samedi. Dimanche. Elles tentèrent de reconstituer ce qu’il s’était véritablement passé, où cela s’était produit et quels systèmes étaient touchés. « En nous appuyant sur cette connaissance, nous avons opté pour une stratégie de nettoyage et de restauration adaptée », explique Michel Herzog, Une des grandes difficultés est ici d’identifier et de comprendre le système en profondeur. Et une autre, la communication entre les experts : « Quand il faut agir vite, la barrière linguistique peut très vite poser problème », se souvient Borer de la compréhension cahoteuse entre les équipes d’experts nationaux et internationaux. Communiquer ce qu’il s’est passé ? Certes. Mais la certitude demande du temps. Ainsi certains protestèrent sur l’annonce d’un simple ‹dysfonctionnement› dans un premier temps et non d’un piratage. « Bien sûr, pour des raisons stratégiques, il est important de filtrer la communication publique. Tant que l’on ne sait pas à quel pirate on a à faire, on parle d’un dysfonctionnement. C’est la procédure habituelle lors de la coopération avec les forces de l’ordre », clarifie le CISO Michel Herzog. « Il ne s’agit pas de camoufler quoi que ce soit. » Et bien entendu, il faut éviter de donner des informations erronées augmentant l’incompréhension et la panique. « C’est vraiment de la haute voltige », souligne Andreas Borer, qui profita pendant toute cette période des conseils de spécialistes en communication. Rançongiciel – et aucune ‹ métastase › On parvint à savoir de quel logiciel malveillant il s’agissait et des utilitaires utilisés ainsi que d’où le piratage était parti. La majorité des personnes découvrit avec stupéfaction que le rançongiciel utilisé n’était pas un utilitaire créé par le pirate mais simplement ‹loué›. Le pirate s’était contenté de l’introduire dans le réseau et de l’exécuter à partir de là. « C’est pourquoi nous pouvions être quasiment sûr qu’il ne s’agissait pas d’un piratage ciblé sur le BRUGG GROUP, mais plus d’un hasard car le pirate trouva ici un endroit accessible », explique le PDG. « Le pirate a découvert une faille, s’est penché sur l’entreprise, s’est suffisamment informé puis formula sa demande de rançon. » Déjà connu des autres piratages, ce type de logiciel malveillant ne vise qu’à obtenir une rançon et non à se métastaser afin que le virus ne se propage au-delà des systèmes informatiques du BRUGG GROUP. C’est bien là un des constats les plus importants. On est alors certain que les systèmes des clients n’étaient pas visés. Leur protection et leur vérification avaient une priorité absolue. « Nous pouvons désormais exclure des infections des systèmes de clients via par exemple les ordinateurs portables des ingénieurs en projet », rassure Roland Hürlimann. Un grand nettoyage Lundi matin, soit cinq jours après la pénétration du système par les pirates, les employés regagnèrent enfin leurs postes de travail, même si ce n’était pas par la voie principale. Tous à l’entrée principale furent renvoyés vers le « Centre d’assistance ». Les uns derrière les autres, à bonne distance et bien entendu masqués, ils tenaient leur ordinateur portable sous le bras. Mesures de protection face au COVD-19. Il fallut d’abord désinfecter les appareils, nettoyer l’écran et le clavier avant de les donner aux spécialistes informatiques. Ils se chargèrent alors de vérifier, nettoyer la vie 02| 2020 8 | 9

intérieure des ordinateurs pour finalement réinstaller les logiciels. « Cela n’était pas simple à mettre en place, car nous devions faire passer beaucoup de personnes en même temps », se souvient Roland Hürlimann. Rassuré et renforcé Outre le système de sécurité des informations ISMS, toute l’équipe informatique du BRUGG GROUP avait passé ici son baptême du feu. Ce secteur venait d’être certifié en janvier dernier. La journée spéciale équipe consacrée à la connaissance mutuelle des collègues des autres sites n’avait cessé d’être reportée suite à la pandémie du COVID-19. « C’est presque diabolique, maintenant nous l’avons eu notre évènement », plaisante Roland Hürlimann. Même si la forme était quelque peu différente et sans doute pas souhaitée de cette manière : « Mais une chose est sûre : cet incident a renforcé notre union. » «Mais soyons sincères », dit Andreas Borer, « tous parmi nous avait déjà assisté à des conférences sur les piratages informatiques. Nous les avons tous entendues, les avons trouvées très intéressantes et nous nous sommes dit : certes cela peut arriver. Mais pas à moi. Aujourd'hui nous devons dire qu’on n’est jamais aussi bien informé que par son vécu. C’est quand même une chose extrême. Nous savons maintenant comme cela se passe. » Est-ce fini ? Non, nous ne pouvons pas être sûr à 100%. Ce milieu évolue extrêmement vite, souligne Michel Herzog. « Nos défenses ne seront jamais suffisamment efficaces pour pouvoir exclure que cela ne se reproduise », raconte Roland Hürlimann. De tels incidents vont continuer à augmenter et le risque ne cesse de croître jour après jour. Même si aujourd'hui nous nous en sommes bien sortis, cela ne veut pas dire qu’un semestre plus tard, il en sera de même. Rester à jour, actualiser régulièrement les logiciels, installer les correctifs disponibles, former les employés : sans ces mesures, une protection efficace est quasiment impossible. Il faut rester conscient qu’il ne suffit plus de remplacer un composant informatique obsolète pour se protéger. Il est préférable d’évaluer l’architecture dans son ensemble afin de voir si nous ne pouvons pas trouver de solutions encore plus sûres. Connaître ses ressources en cas de crise Il est décisif de détecter l’infiltration d’un pirate. Et lorsqu’il a réussi à pénétrer, il faut être apte à réagir rapidement pour tout remettre en ordre. Voilà exactement ce que le BRUGG GROUP a connu en septembre dernier, résume Andreas Borer : « Nous avons constaté à quel point il est vital d’être préparé à de telles situations ainsi que d’avoir des partenaires sur qui nous pouvons compter et faciles à joindre le cas échéant : une chose cruciale lorsqu’il faut agir vite. » CISO Michel Herzog se montre lui aussi satisfait : « Tous les participants ont bien réagi. Personne n’a eu besoin de réfléchir si et comment maintenir la situation sous couvert. On opta immédiatement pour une communication ouverte, l’assistance technique a été requise et toutes les ressources centrées sur l’incident. » Les systèmes sont désormais tous en service et fonctionnent. Mais nous sommes loin d’un retour au quotidien. « Garantir la sécurité TIC est un processus continu », conclut le PDG Roland Hürlimann. « Des partenaires fiables que l’on connait et à qui l’on fait confiance, sont décisifs. Car il faut agir vite. »

ENTRETIEN ‹It takes a thief to catch a thief› Comment faire chanter l’exploitant d’une infrastructure critique ? Philipp Zihler est diplômé en informatique chez B-SECURE GmbH et enseigne ICT-Security Management dans une école supérieure à Lucerne. Et c’est un hacker. Mais ses intentions sont louables : à la demande de PME, il part en quête de failles potentielles dans les infrastructures TIC et travaille ainsi comme ‹ White Hat Hacker › afin d’évaluer les cyber-risques. À l’occasion de notre entretien, il nous montre comment les pirates informatiques fonctionnent, ce qui les motive ainsi que les rouages de la cybercriminalité. ENTRETIEN 02| 2020 10 | 11 transfer

Monsieur Zihler, qu’est-ce qu’un White Hat Hacker exactement ? Philipp Zihler : un White Hat Hacker – aussi appelé Ethical Hacker – tente à la demande d’une entreprise, de déceler les failles dans l’environnement IT. Il aide ainsi son mandataire à améliorer la sécurité et à se protéger efficacement contre les piratages. Le « hacking » peut-il vraiment être éthique ? Au final le « hacking » reste bien du « hacking », non ? En tant qu’Ethical Hacker, nous respectons des règles strictes et nous nous obligeons à signaler toute faille découverte. Mais oui, vous n’avez pas complètement tord : au bout du compte, on procède de la même manière qu’une personne mal intentionnée. On a cependant pas l’énergie criminelle. Néanmoins il est très utile de se mettre à cette place et de réfléchir comment procéder pour atteindre impérativement le but ciblé. Dans la pratique, il est ainsi déjà arrivé que d’autres acteurs se servent des résultats obtenus par les White Hats. Cela ne serait pas la première fois que des Ethical Hacker, auraient travaillé pour une bonne cause, et que plus tard, on se rende compte qu’ils ont ainsi aidé à espionner le reste du monde. De tels scandales se sont déjà produits dans le passé. On ne sait jamais vraiment dans quel train on monte. Au cours de ces dernières années, les piratages avec des chevaux de Troie associés à des chantages ont nettement pris de l’ampleur. Là aussi, l’auteur n’est pas toujours celui qui s’en sert. Les logiciels malveillants provenaient déjà plusieurs fois des services secrets. Les états investissent des sommes considérables dans le développement de logiciels malveillants ultra efficaces voire dans des cyber-armes, rien que pour conserver leur pouvoir. Par exemple en Amérique, le budget actuel alloué aux cyber-opérations s’élève à 9,6 milliards d’USD. Suite à des négligences avec de tels logiciels malveillants, ces derniers tombent dans les mains de cyber-criminels. Le virus WannaCry qui servit pour le grand piratage de 2017, venait par exemple de la NSA. Et comment un cyber-criminel s’y prend-t-il pour nuire à une entreprise ? L’intérêt premier d’un cyber- criminel n’est pas de ruiner complètement une entreprise. Il s’assure de ne pas mettre en péril la solvabilité de cette dernière afin qu’elle puisse payer. De tels piratages liés à une rançon se déroulent normalement comme suit : l’entreprise reçoit un email. Lorsqu’elle l’ouvre, le logiciel malveillant est exécuté et par la suite les ordinateurs ou les réseaux sont verrouillés. Pour accéder de nouveau aux données, les ravisseurs exigent une rançon. Dans ce secteur, nous avons constaté une nette professionnalisation au cours de ces dernières années. Le codage des données se fait actuellement souvent en deux étapes : la première permet aux hackers d’infiltrer les réseaux de l’entreprise au moyen d’un logiciel malveillant sans que celle-ci ne s’en aperçoive. Les accès à l’entreprise ainsi obtenus sont ensuite vendus sur le Darknet. À partir de là, débute la deuxième étape : un autre groupe de cyber- criminels se procure un accès au réseau d’une entreprise infiltrée moyennant paiement. Ce dernier est spécialisé dans l’accès aux habilitations les plus élevées de l’entreprise et dans la recherche d’informations clé. Quelles sont ses activités principales et ses systèmes vitaux ? Où estelle particulièrement vulnérable ? Le codage se fait ainsi sur les systèmes centraux. Cela augmente nettement la chance que l’entreprise paie. Pour assurer leurs arrières, les ravisseurs font de plus en plus chanter les entreprises avec différents moyens de pression. Si le chantage lié au codage des données et à l’interruption de l’exploitation ne fonctionne pas, ils peuvent menacer de dévoiler au grand public des informations sensibles acquises de manière illicite. Comment une telle infiltration peutelle réussir ? On utilise aujourd’hui des pare-feux qui nous empêchent de cliquer sur des liens douteux. Les pirates misent aujourd’hui sur des méthodes bien plus perfides. Ils se servent des failles dans les « La prise de conscience en matière de sécurité des employés est un facteur décisif, afin de ne pas être une ‹ proie facile › pour les pirates. » Philipp Zihler, Partenaire et Senior Security Consultant, B-SECURE GmbH →

ENTRETIEN technologies et observent les endroits où les technologies, les hommes et l’organisation doivent parfaitement corroborer. Ils agissent alors exactement à ces endroits et ciblent les employés. Ils se servent de l’ingénierie sociale. C’est exactement ce que nous faisons aussi lorsque nous analysons la sécurité d’une entreprise. Nous essayons de pousser les gens à faire ce qu’ils ne feraient pas en temps normal. On fait appel à des leviers psychologiques pour les manipuler. Il existe de nombreuses techniques à cette fin. Elles sont souvent utilisées par les vendeurs afin d’animer les gens à acheter. On essaie de créer une dépendance sociale. Ces méthodes augmentent nettement les chances de réussite des piratages. Auriez-vous un exemple de la manière dont ils procèdent ? Dans un premier temps, nous définissons le public cible avec le client, par exemple tous les employés, une fonction de direction ou l’assistance qui dispose en partie d’habilitations plus élevées et s’avère donc particulièrement intéressante. Nous rédigeons alors un scénario, nous inventons des histoires concrètes comment le piratage doit se dérouler. Ainsi pour un piratage sur une régie d’approvisionnement en eau, la tournure pourrait être la suivante : nous nous présentons comme exploitant d’une infrastructure critique. Sur Internet nous trouvons quel fournisseur travaille pour la régie. Nous utilisons par exemple les offres d’emploi de la régie. Elles regroupent souvent les systèmes que la personne recherchée doit maîtriser. Nous avons ainsi déjà une bonne base d’informations. Nous pouvons ensuite tenter de contacter l’assistance du fournisseur via l’adresse email de ce dernier tout en l’appelant en parallèle. Un appel donne un effet plus authentique qu’un email rédigé. Détourner le numéro de téléphone et l’adresse email (Mail-Spoofing) est relativement simple. On dispose ainsi déjà de deux leviers sur lesquels nous pouvons nous appuyer. Le scénario : juste nous embauchons un nouvel employé dans la régie. Nous avons besoin à cette fin d’un plan et d’informations sur l’agencement du réseau afin de pouvoir mettre ces derniers en avant – par écrit cela est plus simple à expliquer. Via un email nous mettons à disposition un lien vers le serveur d’échange de données depuis lequel l’assistance du fournisseur peut transmettre les documents. Lors de la visite du faux serveur d’échange de données, nous infiltrons l’ordinateur du fournisseur. Nous arrivons ainsi aux informations sur l’accès distant pour les approvisionnements en eau. Nous avons réussi de tels piratages dans le passé. Dans le feu de l’action, tout le monde est prêt à aider et personne ne souhaite jouer le trouble fête. On passe ainsi souvent à l’étape suivante. Est-il vraiment encore possible de protéger les entreprises contre de tels piratages ? Comment réduire les risques de sécurité ? Avec la numérisation croissante, les PME deviennent vite plus fragiles. Pour ne pas être une proie facile pour un pirate, il est essentiel de sensibiliser les employés. Du point de vue technique, il faut trouver le juste équilibre entre la convivialité et la sécurité. De temps à autre, il est nécessaire de rééquilibrer ces secteurs. Pour cela, il suffit souvent d’imaginer le pire des scénarios. Le danger devient alors palpable. « Les cybercriminels agissent là où les technologies, les hommes et l’organisation doivent parfaitement s’harmoniser. À partir de ce moment, ils pratique ‹ l’ingénierie sociale ›. » 02| 2020 12 | 13 transfer

Vous trouverez une vue générale des piratages et des fuites de données de ces dernières années sur le site Web www.informationisbeautiful.net/ visualizations/worlds-biggestdata-breaches-hacks Nous devons cependant nous appuyer sur les faits et ne pas nous laisser guider par la peur ni les reportages dans les médias. Cela arrive néanmoins très souvent. Pour beaucoup, le sujet reste encore trop abstrait. C’est pourquoi ils ne parviennent pas à faire la liaison entre le morde numérique et notre monde analogique avec ces processus réels. Il est très difficile de faire le grand écart entre la peur et l’insouciance. Nous partons du principe que nous, grand fabricant renommé, nous apportons cette confiance. Dans le même temps, nous nous montrons très sceptiques face aux nouvelles évolutions. Un exemple actuel : Dans l’application Covid, la protection des données a été un sujet très débattu dans les médias. Pourtant beaucoup de mesures pour sécuriser les données ont été prises ici. Les données sont sauvegardées de manière anonyme et décentralisée. En arrière-plan, on retrouve l’État qui n’a ici aucun profit ni aucune plus value avec les données. Dans le même temps, on ne voit pas souvent de tels débats autour de WhatsApp. Il s’agit ici tout de même d’une entreprise privée avec un modèle commercial qui vise à gagner de l’argent avec les données. Ici nous baissons les yeux et devenons nous-mêmes un produit. La pandémie Covid-19 a mis clairement les services numériques au premier plan. Est-ce que des failles ont été mises en évidence ? Les entreprises durent réagir vite et passer rapidement aux services cloud comme ‹ Microsoft Office 365 ›, ou du moins ont été obligées de le faire afin d’utiliser les conférences de ‹ Microsoft Teams ›. Les entreprises n’avaient cependant souvent pas conscience des risques qu’elles encouraient. On voit bien ici que le concept de sécurité est rarement au cœur des préoccupations. Mais le danger est bien réel, car les piratages portant sur les grandes plateformes où beaucoup de personnes sont connectées, prennent de plus en plus d’importance (voir l’encadré). Elles permettent de voler des identités et dans le meilleur des cas, directement avec les adresses de messagerie et les mots de passe. Et cela peut tout toucher aussi bien les petites que les grandes entreprises. En outre à l’aide de ces identités volées, les criminels essaient par la suite de se connecter à d’autres plateformes comme les services Cloud actuellement très utilisés. Si cela réussit, les pirates passent très vite à un tout autre niveau, et se mettent en quête des personnes qui travaillent dans cette entreprise, par ex aux services financiers. Ils connaissent alors les échanges des boîtes de messagerie piratées et sont parfaitement informés des affaires en cours. De plus, ils peuvent simplement infiltrer l’entreprise avec un virus et faire sauter toutes les solutions de protection. Ils se déplacent sur la plateforme de l’entreprise comme un simple employé. Une entreprise active dans les technologies médicales en a fait les frais en août dernier avec 2,4 millions de francs suisses. Ces derniers ont été transférés vers un mauvais compte. Les cybercriminels avaient réussi à convaincre l’employé de modifier les coordonnées bancaires juste avant le virement. On n’entend pas souvent parler de tels cas. Existe-t-il ici une forme de honte ? Dans le passé, sans doute, oui. Mais j’ai l’impression de ce sentiment s’affaiblit actuellement. Face au professionnalisme des pirates de nos jours, on ne peut pas tellement se faire de reproches si on est touché. Lorsque l’on en a conscience, on parle plus volontiers d’un piratage réussi. Je souhaiterais que les expériences de piratage informatique soient plus souvent partagées. Nous en profiterions tous. Merci beaucoup pour cet entretien.

EXPERTISE « Vingt-septzéro-zéro-un » ISO 27001 : pourquoi misons-nous sur le nec plus ultra en matière de standard de sécurité EXPERTISE Les piratages ne cessent d’augmenter et leurs méthodes gagnent en perfidie. À l’époque ou les modèles de protection de plus en plus radicaux comme « la confiance zéro* », la confiance dans la sécurité des informations se raréfie. Comment un fournisseur d’infrastructures critiques peut-il justifier la confiance portée dans ses solutions et dans ses services ? Comment concevoir un produit le plus sûr possible ? En tant que premier fabricant suisse dans le secteur de l’exploitation de l’eau et de l’énergie, Rittmeyer est certifié selon la norme ISO 27001, afin de répondre à toutes ces questions. Mais que signifie exactement ce numéro? 02| 2020 14 | 15

* L’idée du modèle « zéro confiance » est de ne faire confiance à aucun utilisateur, appareil ou service – à l’intérieur comme à l’extérieur du réseau. C’est pourquoi il exige un concept de sécurité. L’authentification de tous les utilisateurs et de tous les services, ainsi que la vérification régulière de l’échange des données. « La norme ISO 27001 ne couvre pas seulement la sécurité technique d’un système A ou d’un ordinateur B. Il est aussi question d’en faire prendre conscience aux employés à tous les niveaux. » Michel Herzog, Senior Cyber Security Consultant, Infoguard AG Money, money, money Un cyber-criminel veut avant tout gagner de l’argent. Il essaiera de dérober des données afin de les monnayer. Les méthodes de piratage sont de plus en plus abouties et couvrent désormais quasiment toute la chaîne d’approvisionnement. Un scénario d’un possible danger : le fournisseur d’un exploitant d’une infrastructure critique a subi un piratage. Ce piratage reste méconnu pendant plusieurs mois, puis un produit complexe est livré. Durant ce temps, une grande quantité de données a été collectée, des profils d’employés créés et un piratage très ciblé de l’installation se prépare. Lors d’un moment d’inattention, les pirates entrent en action. Au niveau des infrastructures critiques, cela est particulièrement sensible car non seulement les données doivent être protégées, mais avant tous, les systèmes doivent impérativement rester disponibles. Pour les pirates, les entreprises et les personnes les plus vulnérables sont les plus intéressantes. C’est pourquoi il faut placer le point d’entrée si haut que l’effort à fournir pour entrer rend l’attaque moins lucrative, clarifie Michel Herzog. En tant que consultant externe en cybersécurité, il accompagne Rittmeyer lors de la mise en en place d’un système de gestion de la sécurité des informations conforme au standard international de sécurité ISO/CEI 27001:2013 (ISMS). Comment assurer la protection ? Face à des fonctions comme la télémaintenance très appréciée actuellement, ainsi qu’aux systèmes auxiliaires raccordés à Internet, le nombre d’accès potentiellement dangereux augmente. C’est pourquoi on peut considérer que tôt ou tard, le piratage aboutira. La capacité à résister est ici décisive et implique une stratégie globale de cybersécurité, souligne M. Herzog. On détecte alors rapidement les attaques afin de réagir immédiatement et ainsi récupérer plus rapidement d’un piratage. « Voilà la raison de la mise en place de directives comme le standard minimum de sécurité TIC, le cadre américain NIST Cyber Security ou la classe de certification maximale : ISO 27001 », explique le conseiller. Les risques portant sur la sécurité des données sont ainsi réduits au niveau des opérations et des processus. Le standard couvre la sécurité technique, mais il tente aussi de renforcer la prise de conscience des employés. Il est essentiel de trouver le bon équilibre qui convient à la culture de chaque entreprise, souligne Roland Hürlimann, PDG de Rittmeyer et du groupe BRUGG, qui a établi le processus aux côtés de Michel Herzog : chose souvent mal comprise selon le conseiller en sécurité. Une entreprise, même certifiée, peut avoir des failles de sécurité. Il en va avant tout d’une décision consciente de l’équipe de management de montrer comment gérer de tels risques. « On peut les réduire, les accepter ou les transférer. L’essentiel, c’est de ne pas les ignorer. » Toute bonne chose a besoin de temps Pendant deux ans, une équipe interdisciplinaire de l’entreprise prépara la certification à l’aide d’un accompagnateur externe. Roland →

EXPERTISE | APPLICATION « Avant nous optimisions les différentes pièces, maintenant nous travaillons sur toute la mosaïque. » Roland Hürlimann, PDG, Rittmeyer AG / BRUGG GROUP Hürlimann : « La sécurité des informations est une vraie préoccupation. Si cette dernière est uniquement traitée en interne, on risque de se focaliser sur d’autres choses et l’on repousse des décisions importantes. » En mandatant un prestataire externe, l’entreprise s’assura de porter une attention suffisante à la sécurité des informations, notamment grâce aux vérifications hebdomadaires. D’un côté les employés sont confrontés en permanence aux différents points qu’elle implique. D’autre part, et sans doute bien plus implorant encore, les mesures destinées aux scénarios à risque sont ainsi définies et planifiées très tôt permettant ainsi une mise en œuvre à temps. On commença en 2018 par une analyse Gap autour de la sécurité technique et de l’organisation. En 2019, on développa des processus et des directives sur mesure s’appuyant sur cette base. « Outre les représentants des différents secteurs de l’entreprise, le PDG et le DAF étaient aussi régulièrement présents. Ce n’est pas toujours le cas », se réjouit M. Herzog. En outre, les délais relativement courts ont été respectés. On s’est ainsi assuré de ne pas simplement masquer le sujet, mais bien de porter la sécurité des informations au plus haut échelon de la hiérarchie et jusqu’au plus profond de l’entreprise, souligne le conseiller. L’audit préalable de l’année suivante indiqua l’état actuel de la sécurité de l’organisation. Cet entretien servit à mettre en place les dernières améliorations avant l’audit final de certification. En juillet l’Association Suisse pour les Systèmes de Qualité et de Management (SQS) réalisa avec succès l’audit. Nombreuses petites pièces ? Pour une grande mosaïque. Pour Rittmeyer, la cyber sécurité a joué dès le début d’Internet un rôle central. L’entreprise réalisa ainsi bien avant la certification des analyses des risques et des investissements dans les différents systèmes pour y parer. « Avant d’introduire le standard, nous avons cependant optimisé les différentes pièces. Maintenant nous optimisons toute la mosaïque, soit l’interaction entre ces différentes pièces », clarifie R. Hürlimann. Rittmeyer fournit des systèmes dédiés aux infrastructures critiques. La norme ISO 27001 prend en compte la sécurité comme thème intégral dès le développement. « Nous nous appuyons entre autres, sur le double contrôle. À chaque fin de cycle, un contrôle de sécurité final est exécuté. Les environnements de développement, de test et de production sont bien entendu strictement isolés », poursuit R. Hürlimann. Même la chaîne d’approvisionnement est intégrée aux directives, ajoute M. Herzog. « Comme ses clients, Rittmeyer est elle aussi tributaire de ses fournisseurs. Le standard garantit que ces derniers respectent des exigences minimales de sécurité. » Enfin un repos mérité ? Il n’est pas toujours évident de conserver la motivation de tous les participants au plus haut niveau pendant si longtemps, reconnaît R. Hürlimann. Rendre visible les avantages, faire face aux réticences car on s’attaque à des processus fixes, « mais aujourd’hui nous pouvons fièrement dire : nous avons accompli notre tâche en matière de sécurité des informations. » Mais cela n’est qu’un côté de la médaille, souligne M. Herzog pour conclure. « Rittmeyer ne peut apporter sa contribution à la sécurité que jusqu’à une certaine limite. » Ces clients et leurs employés sont surtout responsables à long terme d’une sécurité durable des informations durant l’exploitation des infrastructures critiques. 02| 2020 16 | 17

La coopérative pour l'approvisionnement en eau de la région Rapperswil-Jona (Genossenschaft Wasserversorgung Rapperswil- Jona, WVRJ) approvisionne près de 27 000 personnes en eau. Depuis plusieurs années, le fournisseur intensifie les mesures autour de la protection de son infrastructure contre les piratages informatiques. UN MONDE ABSTRAIT La sécurité TIC chez un fournisseur d’eau APPLICATION « Nous considérons le risque d’un piratage informatique sur un approvisionnement en eau très important », explique Martin Büeler, chef de projets à la Régie de l’eau Rapperswil-Jona. Pour lui, le risque n’est pas tant la manipulation des pompes ni celle des registres, mais plutôt qu’ils coupent complètement les technologies informatiques et de communication, soit le système TIC, et fassent du chantage pour reprendre l’approvisionnement en eau. Même en ne passant que quelques jours en mode manuel d’urgence, plus rien ne fonctionnerait au bureau sans les technologies informatiques. État des lieux La régie WVRJ de l’eau tient compte depuis bien longtemps de la sécurité TIC de toutes les installations, et décida donc de mandater un prestataire externe au printemps dernier pour évaluer le site et obtenir ainsi une vision objective sur ses systèmes. « Cette évaluation montra que nous ne respections pas encore le standard minimum mais nous étions en bonne voie. Il restait cependant certains points à revoir », résume M. Büeler. Comme au même moment le système d’exploitation devait lui aussi être remplacé, la régie WVRJ demanda de vérifier l’ensemble de l’installation. Martin Büeler : « Notre objectif était de mettre en œuvre les mesures de manière optimale. » Soutien du conseil d’administration La complexité technique des technologies informatiques et de communication, même chez une petite régie comme la sienne, le surprit. Pour M. Büeler, il s’agit ici de l’obstacle principal dans la majorité des petites exploitations car elles ne disposent pas des compétences internes spécifiques nécessaires. Même le cadre donné par le standard minimum TIC ne les aida pas vraiment. « Sans un partenaire comme Rittmeyer qui nous assista dès le départ pour interpréter les exigences requises, nous ne serions parvenus qu’à ne déchiffrer qu’une infime partie », comme le souligne le chef de projets. →

APPLICATION « Du point de vue financier, l’extension représenta aussi un investissement lourd et pas forcément complètement prévisible », constate Michael Reiser, le Directeur de la régie WVRJ. C’est pourquoi il est important d’avoir confiance en son fournisseur pour montrer ce qui est vraiment nécessaire. Il est tout aussi essentiel d’accompagner la direction de l’organisation : « Notre atout est sans aucun doute notre organisation sous forme de confédération très proche du conseil d’administration, qui de son côté, évalue parfaitement les risques de la cyber-criminalité. Nous avons ainsi pu argumenter en faveur des mesures et il nous accorda toute sa confiance. » À tous les niveaux Afin d’optimiser la sécurité, la régie WVRJ travailla à différents niveaux. Pour mieux répondre aux exigences en matière de sécurité et de disponibilité de l’informatique bureautique et des technologies d’exploitation, on sépara complètement les deux réseaux grâce à une interface définie. Tous les postes extérieurs sont raccordés aux centrales électriques locales via des connexions FO rendant la régie WVRJ indépendante des réseaux de communication publics. Le système électrique d’urgence accumule l’électricité requise pour les composants critiques. À l’avenir le poste de conduite sera raccordé via deux accès différents du FAI. « Cela garantit la disponibilité car le service de garde a besoin d’un accès stable afin d’intervenir le cas échéant sur l’installation », explique Martin Büeler. Un personnel sensibilisé Le facteur clé reste définitivement le personnel, une chose dont M. Reiser et M. Büeler sont convaincus. Une prise de conscience de la sécurité TIC est impérative au sein de toute l’organisation, sans quoi cela peut se transformer très vite en un talon d’Achille. « Nous disposons de directives et pourtant les employés ont souvent peu conscience de l’importance de la sécurité TIC », explique Michael Reiser. C’est pourquoi, cette dernière ne peut se résumer qu’à une action unique. Le directeur mise sur la sensibilisation et les ateliers au cours desquels les mesures essentielles sont systématiquement rappelées. « Le personnel doit reconnaître de lui-même à quel point elle est importante. » Ils réfléchissent à un test réel pour vérifier la maîtrise des différents points. Pour ce faire, il est important de définir une marche à suivre précise que le personnel se devrait de respecter. « Dès le début, Rittmeyer nous aida à interpréter le standard minimum TIC. Les directives étaient trop abstraites pour des personnes ‹ non spécialistes ›. » Martin Büeler, chef de projets à la Régie de l’eau Rapperswil-Jona 02| 2020 18 | 19

RkJQdWJsaXNoZXIy NTkxNzY=