Jean-Christophe Mathieu, Siemens SAS : le facteur humain, clé de voûte de la sécurité des systèmes industriels
septembre 2018 par Emmanuelle Lamandé
A l’occasion de la prochaine édition des Assises de la Sécurité, Siemens présentera sa nouvelle offre Cybersécurité, basée sur son approche « Holistic Security Concept ». Pour Jean-Christophe Mathieu, Product & Solution Security Officer, Siemens SAS, la cybersécurité n’est pas qu’une question de produits ou de solutions techniques. Le facteur humain et la collaboration restent la clé de voûte de la protection des systèmes, y compris industriels. Dans ce domaine, il est d’ailleurs essentiel pour les entreprises de se faire accompagner de personnes compétentes sur les deux environnements : IT et OT.
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Jean-Christophe Mathieu : Il y a deux ans, nous avons présenté la certification par l’ANSSI de composants industriels (automates et commutateurs), les premiers au monde. L’année dernière, nous avons annoncé la certification par l’ANSSI de notre gamme complète d’automates programmables industriels Simatic S7-1500, ainsi qu’une offre de services pour sécuriser les environnements industriels. Depuis novembre 2017, cette même gamme est désormais qualifiée par l’ANSSI et reste à ce jour la seule gamme à avoir obtenu la reconnaissance d’un tel niveau de confiance.
Cette année, nous avons remis à plat notre réflexion, afin de pouvoir proposer notre nouvelle offre Cybersécurité. Articulée autour de 5 axes, elle permet de proposer à nos clients une solution globale basée sur notre approche « Holistic Security Concept » pour sécuriser leurs environnements au plus près de leurs besoins, de la PME à l’Opérateur d’Importance Vitale.
Après avoir entamé une politique de durcissement de nos produits il y a déjà 8 ans, aujourd’hui en parallèle nous revisitons notre gamme de services et d’accompagnement sur les questions de cybersécurité. Nous avons construit cette nouvelle offre avec une seule idée en tête : la confiance. C’est pourquoi nous nous appuyons en outre sur un écosystème de partenaires dont les solutions et approches sont entièrement compatibles avec nos produits et nous permettent de proposer à nos clients ce qu’il y a de mieux en matière de cybersécurité pour leurs systèmes industriels.
GS Mag : Quel sera le thème de votre conférence cette année ?
Jean-Christophe Mathieu : De manière globale, la cybersécurité n’est pas qu’une question de produits et/ou de solutions techniques. L’organisation, les process et l’humain jouent un rôle clé dans la protection des systèmes industriels. Notre nouvelle offre positionne Siemens dans l’accompagnement pour la mise en place de l’ensemble de ces mesures permettant de sécuriser les installations.
Par ailleurs, nous présenterons « Charter of Trust » que nous avons initié lors de la dernière Munich Security Conference avec de nombreux cosignataires. Cette charte basée sur 10 principes de base tend à élever le niveau de sécurité des infrastructures, des produits et solutions de grands groupes signataires de la charte, mais que nous souhaitons voir se répandre plus largement au plus grand nombre.
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2018 ?
Jean-Christophe Mathieu : De par notre métier historique, nous nous concentrons principalement sur la cybersécurité des systèmes industriels. Contrairement à l’année dernière et ses vagues de rançongiciels, prise de conscience supplémentaire pour nos environnements, cette année est restée dans cette veine.
A l’heure actuelle, les réseaux OT (Operational Technology) sont encore insuffisamment sécurisés, tant au niveau des automates industriels installés que les interconnexions avec l’environnement IT. Au gré de nos visites clients, nous observons encore trop souvent le peu de relations entre RSSI et directeurs industriels. Ces besoins de relations sont particulièrement forts, car il convient de sécuriser un environnement en prenant en compte de nombreux paramètres pouvant être incompatibles.
La principale menace que nous observons aujourd’hui réside plus dans le manque de sensibilisation des équipes industrielles à la cybersécurité et des RSSI aux environnements OT, le facteur humain est encore une fois la clé de voûte de l’édifice.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Jean-Christophe Mathieu : Les besoins des entreprises sont depuis toujours le moteur de nos développements, que ce soit en termes de produits/solutions ou de services. Nos efforts pour fournir à nos clients des produits de plus en plus sécurisés sont constants. Notre organisation PSS (Product & Solution Security), véritable benchmark au niveau mondial, nous permet de piloter la sécurité intégrée à nos équipements. Nous sommes aussi en cours de réflexion sur les prochains produits que nous soumettrons aux évaluations des visas de sécurité ANSSI, tout en conservant notre leitmotiv : la même gamme de produit pour la TPE ou l’OIV, au même prix. La sécurité ne doit pas servir à une augmentation des prix. Nous continuerons donc à sécuriser nos produits, non pas pour adresser un marché particulier, mais pour assurer la disponibilité et la sécurité des installations de nos clients.
Du côté service, même s’il reste délicat de trouver l’expert en automatismes ayant une réelle connaissance de la cybersécurité et donc capable de discuter autant avec un RSSI qu’un directeur industriel, nous renforçons nos équipes de ce type de profils afin de nous permettre d’accompagner nos clients avec la meilleure technicité et l’expérience nécessaire à ce type de missions. De plus, nous continuons à développer des partenariats avec des spécialistes, par exemple en gestion de crise, afin de pouvoir proposer une offre globale, au plus proche des besoins de nos clients.
GS Mag : Avec l’entrée en vigueur du RGPD, la « security et la privacy by design » deviennent quasi incontournables. Quel sera votre positionnement en ce domaine ?
Jean-Christophe Mathieu : Au cours des dernières années, Siemens a investi énormément en matière de R&D afin de pouvoir proposer des équipements sécurisés « by design ». Avec le temps nous avons aussi fait évoluer les certifications auxquelles nous soumettons nos process et nos produits partant d’Achilles (wurldtech), en passant par la certification IEC 62443-4-1 de nos sites de développement et de production jusqu’à la Qualification (Anssi).
Lorsque nos systèmes gèrent des données personnelles, notre stratégie globale de sécurisation de nos équipements permet de nous engager sur la fourniture de solutions compatibles avec les réglementations en cours.
GS Mag : Quel est votre message aux RSSI ?
Jean-Christophe Mathieu : De manière générale, entourez-vous de spécialistes pour vous accompagner dans les univers qui ne vous sont pas familiers. Sur les systèmes industriels, il est parfois nécessaire d’oublier les principes de base de ce qui a été appris au niveau IT. Faites-vous accompagner de personnes compétentes sur les deux environnements et par-dessus tout accepter les échanges avec l’ensemble des parties prenantes régissant les systèmes industriels, la solution émergera de la collaboration.
Articles connexes:
- Stephan Ichac, 3M France : Les filtres de confidentialité, pour aller jusqu’au bout de la démarche RGPD
- Jacques de La Rivière, Gatewatcher : Pour mieux parer les attaques, il faut raisonner comme un Hacker !
- Vincent Meysonnet, Bitdefender : Le chiffrement des disques et la gestion des correctifs pour réduire la surface d’attaque
- Arnaud Cassagne, Newlode : La sécurité manuelle doit laisser place à la sécurité automatisée…
- Guillaume Gamelin, F-Secure France : en matière de cybersécurité, pensez services managés !
- Xavier Lefaucheux, WALLIX : Avec WALLIX, optez pour la cybersécurité simplifiée !
- Moncef Zid, NETSCOUT Arbor : La protection contre le DDoS doit devenir un sujet prioritaire pour les RSSI
- Ramyan Selvam, Juniper Networks : l’automatisation de la sécurité est un enjeu stratégique pour les entreprises
- Chardy N’DIKI, Centrify : « Zéro Trust » sécurise les accès business et les accès à hauts privilèges en tenant des différents contextes d’usage
- Laurent Lecroq, Forcepoint : Les solutions techniques ne sont plus suffisantes
- Pierre Calais, Qualys : Notre objectif est de fournir des outils proactifs pour renforcer les défenses avant l’attaque
- Sébastien Faivre, Brainwave : Nos solutions ont pour objectif d’aider les RSSI à y voir plus clair
- Coralie HERITIER, IDNOMIC : l’identité numérique agit comme un véritable catalyseur d’innovation
- Michael Vaeth, ForgeRock : les RSSI doivent avoir conscience de la nécessité de tenir compte des nouvelles normes de confidentialité et de consentement
- Stéphane Dahan, CEO de Securiview : Anticipez l’inattendu !
- Kevin POLIZZI, Jaguar Network : le cloud et la virtualisation sont en train de révolutionner les technologies de sécurité
- Fabien Corrard, Gfi Informatique : l’analyse de logs doit être laissée à des experts SIEM outillés !
- Hervé Rousseau,OPENMINDED : il est possible de faire des choix stratégiques et disruptifs qui vont présenter un rapport “coût/amélioration de la posture sécurité” efficient
- Edouard de Rémur, OODRIVE : les RSSI doivent valider le critère de sécurité des outils utilisés pour préserver les informations d’importance vitale ou stratégiques
- Eric Guillotin, Imperva : il est primordial d’évaluer les risques, détecter les menaces, prévenir et neutraliser les attaques
- Marie-Benoîte Chesnais, CA Technologies : la sécurité doit se fondre dans le décor !
- Jean-Nicolas Piotrowski, ITrust : n’attendez plus pour contrer les tentatives d’intrusion !
- Alexandre Souillé, Président d’Olfeo : Notre concept de sécurité positive permet de générer un environnement de confiance sur Internet
- Karim Bouamrane, Bitglass : Avec les CASB, les entreprises disposent d’une solution de choix pour protéger leurs données dans le Cloud
- Laurence Cozlin, NETSKOPE : Mieux vaut sécuriser les applications que de bloquer leurs accès
- Didier Guyomarc’h, ZSCALER : Du fait de ses mises à jours régulières, le Cloud vous protège contre les logiciels malveillants
- Matthieu Dierick, F5 : Rendez la sécurité de vos infrastructures plus agile, grâce à l’automatisation et l’orchestration
- Laurent Hausermann, SENTRYO : Les RSSI et les Responsables Sécurité doivent collaborer avec le monde industriel
- Xavier Rousseau, Ixia : Les entreprises de déchiffrer le trafic et de tester leurs infrastructures
- Raphael Basset, ERCOM : Nos solutions de communications et de collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Ali Neil, Verizon : la sécurité devrait être une tâche courante et non pas une tâche effectuée une fois par an
- Jeremy Grinbaum, Box : Nous aidons les entreprises à prendre le contrôle de vos données tout en restant conforme aux législations en vigueur
- Laurent Marechal, McAfee : face à l’avènement du Cloud il faut maintenir les niveaux d’exigences existants en termes de sécurité et de conformité
- François Baraër, Cylance : l’Intelligence Artificielle est une révolution pour la cybersécurité !
- Cyrille Badeau, ThreatQuotient : L’efficacité de votre défense passe par l’amélioration de la collaboration entre services et par la capitalisation sur le renseignement
- Théodore-Michel Vrangos, I-TRACING : le RSSI doit s’adapter en amont à la stratégie de l’entreprise et lui apporter ses expertises
- Frédéric Bénichou : il est urgent de passer à des solutions de nouvelles générations pour protéger le poste de travail
- Fabrice Clerc, 6CURE : les entreprises prennent peu à peu conscience de la menace engendrée par les DDoS
- Emmanuel Jacque, SAS : Innover plus vite que les fraudeurs ou les cybercriminels
- Ghaleb Zekri, VMware : La virtualisation permet de mieux sécuriser vos applications
- Daniel Bénabou et Daniel Rezlan, IDECSI : Notre ADN est depuis notre création centré sur l’apport de solutions pensées pour les équipes sécurité
- Alexandre Delcayre, Palo Alto Networks : Il faut optimiser et automatiser les opérations autour de la cybersécurité
- Julien Tarnowski, ForeScout Technologies : La sécurité de votre réseau local et sites distants passe avant tout par la visibilité de tous les devices
- Christian Pijoulat, Logpoint : Notre SIEM offre une vision claire des dépenses grâce à sa tarification à l’IP
- Lucie Loos, Nameshield : Nous souhaitons accompagner et conseiller les RSSI et DSI dans la mise en place de leur stratégie de sécurité .
- Michel Lanaspèze, SOPHOS : Les RSSI et les Responsables Sécurité doivent collaborer avec le monde industriel
- Karl Buffin, Skybox Security : vers une vision proactive et totale de la surface d’attaque
- Laurent Cayatte, Metsys : « Security Excellence Center », le service de sécurité managé de Metsys
- Alain Dubas, CISCO : devant la recrudescence des attaques, les RSSI et DSI doivent s’équiper de solutions intégrées et réactives
- Emmanuel Gras, Alsid : les infrastructures Active Directory sont le point névralgique de vos systèmes d’information
- Sébastien Gest, Vade Secure : le phishing représente un véritable fléau pour les entreprises
- Thierry Brengard, CenturyLink : il est plus facile d’agir lorsqu’on connait les risques
- Didier Wylomanski, Gemalto : protection et contrôle des données, quelle stratégie adopter ?
- Arnaud Gallut, Ping Identity : ne négligez pas la sécurité de vos API !
- Bastien Bobe, Lookout : le mobile apparaît dorénavant comme le maillon faible de la chaîne
- Hervé Liotaud, SailPoint : la gouvernance des identités permet de lutter contre les menaces tout en respectant les obligations réglementaires de conformité
- Bernard Montel, RSA : le tryptique « Logs, réseau, poste » est crucial
- Vincent Merlin, Proofpoint : l’humain doit être le point central de toute politique de sécurité
- Gaël Kergot, ServiceNow : De la réponse à incidents de sécurité au suivi de la conformité et des risques
- Matthieu Bonenfant, Stormshield : Nous défendons une vision résolument Européenne avec à la fois plus de protection et de transparence
- Julien Cassignol, One Identity : En matière d’IAM les RSSI doivent pratiquer la politique des petits pas
- Erwan Jouan et Nicolas Liard, Tufin : la culture DevOps a fait évoluer le modèle de la cybersécurité
- Cyrille Barthélémy, PDG d’Intrinsec : du SOC à la Cyber Threat Intelligence
- Rémi Fournier et Eric Derouet, Synetis : Nous souhaitons aider les RSSI dans la maîtrise des risques liés au numérique
- Grégory Cardiet, Vectra : l’IA peut créer de plus en plus de valeur pour les RSSI et leurs organisations
- Gérôme Billois, Wavestone : RSSI, positionnez-vous aussi comme le responsable de la sécurité des données de vos clients !
- David Grout, FireEye : La sécurité doit se baser sur l’étude du risque métier et la connaissance des attaquants et de leurs techniques
- Jan Van Vliet, Digital Guardian : placez vos données au centre de votre sécurité
- Mathieu Rigotto, IMS Networks : Connaitre sa surface d’attaque pour réduire les risques
- Antoine Coutant, Systancia : il est essentiel de pouvoir détecter une attaque externe ou interne pour être en capacité de réagir