La cybersécurité pour les PME manufacturières

L’Alliance pour l’Industrie du Futur (AIF) et le réseau CTI (Centres techniques industriels) ont publié fin 2017 le guide « Cybersécurité et PME manufacturières » à destination des entreprises. Objectif : mettre à disposition une réponse adaptée aux PME pour les sensibiliser et provoquer leur mise en mouvement pour intégrer les notions indispensables de sécurité numérique. Pour cela, ils ont sollicité l’expertise numérique de l’IMT, du CEA et du Syntec Numérique. Nous avons interrogé Patrick Duvaut, directeur de l’innovation à l’IMT, sur la contribution des chercheurs à ce guide.

Quel intérêt représente le guide pour les PME industrielles ?

Patrick Duvaut, dir. Innovation, IMT

Patrick Duvaut – D’après le cabinet Gartner, les dépenses en matière de cyber sécurité devraient atteindre plus de 100 milliards de dollars par an dans le monde à partir de 2018, pour faire face à une montée constante de la cyber criminalité. En outre, le groupe Cybersecurity Ventures prévoit d’ici 2021 une pénurie de plusieurs millions d’experts en cyber sécurité, susceptibles d’aider les entreprises, administrations et particuliers à minimiser les préjudices inhérents aux cyber attaques. Les enjeux pour les entreprises industrielles qui digitalisent l’ensemble de leur chaîne de production (Internet de l’Industrie et des Objets) sont donc majeurs. Garantir un certain niveau de cyber sécurité devient vital pour les PME manufacturières, du fait de leur fragilité et de leur « précarité cyber ». Leur petite taille les prive de la résilience suffisante, indispensable à leur survie, suite à une cyber attaque. Elles souffrent de surcroît d’une précarité en matière de cyber sécurité, comme le révèle un sondage réalisé en 2016 par l’IMT en collaboration avec l’Alliance Industrie du Futur et CCI de France. Près de 75% des PME/TPE industrielles interrogées en France révèlent qu’elles n’ont pas d’expert en cyber sécurité dans leur personnel.

Le guide « Cybersécurité et PME manufacturières » part d’une demande de terrain relayée par les Centres Techniques Industriels (CTI). Le guide vise à acculturer les CEO des PME manufacturières en matière de cybersécurité, de manière non pas à en faire des spécialistes, mais plutôt en vue de leur permettre d’avoir un dialogue constructif et lucide avec des sociétés de service spécialisées et les organismes nationaux, comme l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Le « pragmatisme passerelle » du guide, entre les experts et les demandeurs, lui confère une place naturelle, complémentaire et légitime à côté des recommandations et référentiels officiels émanant de l’ANSSI en France. Le guide se décline autour des 6 enjeux :

sensibiliser, guider et former les collaborateurs ;
garantir le fonctionnement de l’atelier ;
protéger ses données d’entreprises ;
sécuriser la relation avec les fournisseurs et sous-traitants ;
sécuriser la relation avec les clients ;
fournir des produits connectés et/ou services associés sécurisés.

Quelle a été l’implication de l’IMT dans l’élaboration du guide ?

PD – En premier lieu, l’implication de l’IMT dans la construction du guide aux côtés des CTI et au sein de l’AIF faisait sens non seulement du fait de ses nombreuses collaborations avec les PME (plus de 9 000 partenariats entre l’IMT et des PME-ETI), mais aussi, eu égard à ses expertises reconnues internationalement dans la cybersécurité. En effet, une cartographie dressée par ALLISTENE (Alliance des sciences et technologies du numérique) en 2016 révèle que l’IMT représente 18% (soit 150 chercheurs équivalent temps plein) des forces nationales de la recherche en cybersécurité. La même enquête atteste en outre que les travaux de l’IMT impactent l’ensemble des sujets phares recensés dans la cybersécurité :

cryptographie (algébrique, quantique et post-quantique), design, techniques et protocoles ;
méthodes formelles, théorie de la sécurité ;
services de sécurité ;
détection d’intrusion et de malware ;
sécurité matérielle ;
systèmes de sécurité ;
sécurité des réseaux ;
data : stockage sécurisé, privacy ;
sécurité logicielle et des applications ;
aspects humains, sociétaux et éthiques de la sécurité et de la privacy ;
forensics.

En second lieu, l’IMT s’est mobilisé aux côtés des CTI et avec l’AIF, à toutes les étapes de l’élaboration du guide. Tout d’abord, dans la collecte des besoins du terrain, notamment via le lancement d’une enquête nationale auprès des PME-TPE. Ensuite, dans la définition du cahier des charges et de la structure du guide. Enfin, dans la rédaction détaillée des fiches, du glossaire et d’autres points nécessitant des expertises pointues en cyber sécurité. Le guide incarne parfaitement la stratégie 2018-2022 de l’IMT. Son sujet est l’une des 12 thématiques de leadership du volet recherche de la stratégie. En outre, le guide a fait l’objet d’une synergie inter-écoles (avec les contributions d’Hervé Debar de Télécom SudParis et Jean-Luc Danger de Télécom ParisTech) et interdisciplinaire « sur mesure », au service de la croissance économique des PME qui reste l’un des différenciateurs pilotes de l’IMT.