« Vingt-sept-zéro-zéro-un »

Les piratages ne cessent d’augmenter et leurs méthodes gagnent en perfidie. À l’époque ou les modèles de protection de plus en plus radicaux comme « la confiance zéro* », la confiance dans la sécurité des informations se raréfie. Comment un fournisseur d’infrastructures critiques peut-il justifier la confiance portée dans ses solutions et dans ses services ? Comment concevoir un produit le plus sûr possible ? En tant que premier fabricant suisse dans le secteur de l’exploitation de l’eau et de l’énergie, Rittmeyer est certifié selon la norme ISO 27001, afin de répondre à toutes ces questions. Mais que signifie exactement ce numéro?

Un cyber-criminel veut avant tout gagner de l’argent. Il essaiera de dérober des données afin de les monnayer. Les méthodes de piratage sont de plus en plus abouties et couvrent désormais quasiment toute la chaîne d’approvisionnement. Un scénario d’un possible danger : le fournisseur d’un exploitant d’une infrastructure critique a subi un piratage. Ce piratage reste méconnu pendant plusieurs mois, puis un produit complexe est livré. Durant ce temps, une grande quantité de données a été collectée, des profils d’employés créés et un piratage très ciblé de l’installation se prépare. Lors d’un moment d’inattention, les pirates entrent en action. Au niveau des infrastructures critiques, cela est particulièrement sensible car non seulement les données doivent être protégées, mais avant tous, les systèmes doivent impérativement rester disponibles.

Pour les pirates, les entreprises et les personnes les plus vulnérables sont les plus intéressantes. C’est pourquoi il faut placer le point d’entrée si haut que l’effort à fournir pour entrer rend l’attaque moins lucrative, clarifie Michel Herzog. En tant que consultant externe en cybersécurité, il accompagne Rittmeyer lors de la mise en en place d’un système de gestion de la sécurité des informations conforme au standard international de sécurité ISO/CEI 27001:2013 (ISMS).

« La norme ISO 27001 ne couvre pas seulement la sécurité technique d’un système A ou d’un ordinateur B. Il est aussi question d’en faire prendre conscience aux employés à tous les niveaux. »

Michel Herzog, Senior Cyber Security Consultant, Infoguard AG

Face à des fonctions comme la télémaintenance très appréciée actuellement, ainsi qu’aux systèmes auxiliaires raccordés à Internet, le nombre d’accès potentiellement dangereux augmente. C’est pourquoi on peut considérer que tôt ou tard, le piratage aboutira. La capacité à résister est ici décisive et implique une stratégie globale de cybersécurité, souligne M. Herzog. On détecte alors rapidement les attaques afin de réagir immédiatement et ainsi récupérer plus rapidement d’un piratage. « Voilà la raison de la mise en place de directives comme le standard minimum de sécurité TIC, le cadre américain NIST Cyber Security ou la classe de certification maximale : ISO 27001 », explique le conseiller. Les risques portant sur la sécurité des données sont ainsi réduits au niveau des opérations et des processus. Le standard couvre la sécurité technique, mais il tente aussi de renforcer la prise de conscience des employés. Il est essentiel de trouver le bon équilibre qui convient à la culture de chaque entreprise, souligne Roland Hürlimann, PDG de Rittmeyer et du groupe BRUGG, qui a établi le processus aux côtés de Michel Herzog : chose souvent mal comprise selon le conseiller en sécurité. Une entreprise, même certifiée, peut avoir des failles de sécurité. Il en va avant tout d’une décision consciente de l’équipe de management de montrer comment gérer de tels risques. « On peut les réduire, les accepter ou les transférer. L’essentiel, c’est de ne pas les ignorer. »

Pendant deux ans, une équipe interdisciplinaire de l’entreprise prépara la certification à l’aide d’un accompagnateur externe. Roland Hürlimann : « La sécurité des informations est une vraie préoccupation. Si cette dernière est uniquement traitée en interne, on risque de se focaliser sur d’autres choses et l’on repousse des décisions importantes. » En mandatant un prestataire externe, l’entreprise s’assura de porter une attention suffisante à la sécurité des informations, notamment grâce aux vérifications hebdomadaires. D’un côté les employés sont confrontés en permanence aux différents points qu’elle implique. D’autre part, et sans doute bien plus implorant encore, les mesures destinées aux scénarios à risque sont ainsi définies et planifiées très tôt permettant ainsi une mise en œuvre à temps.

On commença en 2018 par une analyse Gap autour de la sécurité technique et de l’organisation. En 2019, on développa des processus et des directives sur mesure s’appuyant sur cette base. « Outre les représentants des différents secteurs de l’entreprise, le PDG et le DAF étaient aussi régulièrement présents. Ce n’est pas toujours le cas », se réjouit M. Herzog. En outre, les délais relativement courts ont été respectés. On s’est ainsi assuré de ne pas simplement masquer le sujet, mais bien de porter la sécurité des informations au plus haut échelon de la hiérarchie et jusqu’au plus profond de l’entreprise, souligne le conseiller. L’audit préalable de l’année suivante indiqua l’état actuel de la sécurité de l’organisation. Cet entretien servit à mettre en place les dernières améliorations avant l’audit final de certification. En juillet l’Association Suisse pour les Systèmes de Qualité et de Management (SQS) réalisa avec succès l’audit.

« Avant nous optimisions les différentes pièces, maintenant nous travaillons sur toute la mosaïque. »

Roland Hürlimann, PDG, Rittmeyer AG / BRUGG GROUP

Pour Rittmeyer, la cyber sécurité a joué dès le début d’Internet un rôle central. L’entreprise réalisa ainsi bien avant la certification des analyses des risques et des investissements dans les différents systèmes pour y parer. « Avant d’introduire le standard, nous avons cependant optimisé les différentes pièces. Maintenant nous optimisons toute la mosaïque, soit l’interaction entre ces différentes pièces », clarifie R. Hürlimann.

Rittmeyer fournit des systèmes dédiés aux infrastructures critiques. La norme ISO 27001 prend en compte la sécurité comme thème intégral dès le développement. « Nous nous appuyons entre autres, sur le double contrôle. À chaque fin de cycle, un contrôle de sécurité final est exécuté. Les environnements de développement, de test et de production sont bien entendu strictement isolés », poursuit R. Hürlimann. Même la chaîne d’approvisionnement est intégrée aux directives, ajoute M. Herzog. « Comme ses clients, Rittmeyer est elle aussi tributaire de ses fournisseurs. Le standard garantit que ces derniers respectent des exigences minimales de sécurité. »

Il n’est pas toujours évident de conserver la motivation de tous les participants au plus haut niveau pendant si longtemps, reconnaît R. Hürlimann. Rendre visible les avantages, faire face aux réticences car on s’attaque à des processus fixes, « mais aujourd’hui nous pouvons fièrement dire : nous avons accompli notre tâche en matière de sécurité des informations. » Mais cela n’est qu’un côté de la médaille, souligne M. Herzog pour conclure. « Rittmeyer ne peut apporter sa contribution à la sécurité que jusqu’à une certaine limite. » Ces clients et leurs employés sont surtout responsables à long terme d’une sécurité durable des informations durant l’exploitation des infrastructures critiques.