Cybersécurité industrielle : le cloud est-il vraiment un danger ? | Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

Description

🎧 Cybersécurité industrielle : le cloud est-il vraiment un danger ?

🔐 Série – Cybersécurité industrielle : protéger sans freiner l’activité

La cyber sécurité des PMI est-elle une contrainte technique ou un levier de compétitivité industrielle ?

Pour répondre à cette question, j’accueille Michael Tonso, fondateur de CyberSéréno, expert en cybersécurité.

Dans cette série spéciale d’Oser l’Efficacité, on démonte les idées reçues autour de la cybersécurité en industrie :

Le facteur humain est-il vraiment le maillon faible ?
Le cloud est-il si dangereux qu’on le dit ?
Peut-on protéger son activité sans la ralentir ?
La sécurité est-elle un coût… ou une assurance survie

Face à l’augmentation du risque informatique, aux exigences des grands donneurs d’ordre et aux nouvelles réglementations (NIS2), la cyber sécurité des PMI devient un droit d’entrée et un droit de rester dans la chaîne d’approvisionnement industrielle.

Objectif de cette série : rendre la cybersécurité industrielle concrète, pragmatique et actionnable pour les dirigeants de PMI qui veulent protéger leur entreprise sans tomber dans le jargon technique ni dans l’alarmisme.

🎙️ Épisode 3 – Le cloud : menace ou opportunité ?

Cyber sécurité des PMI : le cloud est-il un risque informatique… ou un faux coupable ? On remet les pendules à l’heure.

Après avoir parlé des mythes généraux (épisode 1) et du facteur humain (épisode 2), on s’attaque avec Michael Tonso, fondateur de CyberSéréno, à un sujet qui divise : le cloud.

“Mes données sont dans le cloud, donc elles sont en danger.” Vraiment ?

La cybersécurité industrielle ne consiste pas à diaboliser la technologie. Elle consiste à comprendre où se situe réellement le risque informatique.

Au programme :

Pourquoi le cloud n’est pas automatiquement plus risqué qu’un serveur local
Ce que les PMI oublient souvent dans leur approche de la cybersécurité
La différence entre “externaliser” et “abandonner” la responsabilité
Comment utiliser le cloud sans augmenter ton risque informatique

La vraie question n’est donc pas “cloud ou pas cloud ?”
La vraie question est : qui pilote, qui configure, qui surveille ?

En matière de cyber sécurité des PMI, la responsabilité ne disparaît pas parce que les données sont hébergées ailleurs.

👉 Passe à l’action :

🎁 Le cadeau de Michael :
http://digetik.fr/cyber

🌐 Contacter Michael (CyberSéréno) :
https://www.cybersereno.fr/
https://www.linkedin.com/in/michaeltonso/

📅 Réserve ton rendez-vous stratégique :
http://digetik.fr/rdv

📰 Abonne-toi à la newsletter :
http://www.digetik.fr/news

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour et bienvenue dans Oser l'Efficacité, le Lab, le format où je reçois un expert pour plonger au cœur de sa thématique et te rendre compte que tu n'es pas seul face à tes incertitudes. Je suis Perinne Thiébaut, j'aide les dirigeants à transformer leur entreprise industrielle et que ça se voit, dans leur processus, dans leurs décisions, dans leur trésorerie, mais aussi à l'extérieur. Cette semaine à mon micro, je reçois Michael Tonso de la société CyberSéréno qui va nous rendre la cybersécurité extrêmement pratique. Un épisode par jour, du lundi au vendredi, n'oublie pas de t'abonner pour ne pas rater les suivants. C'est notre troisième épisode sur le sujet. Si tu as raté les deux premiers, la playlist est juste là. Et aujourd'hui, on parle d'un sujet essentiel chez les PME industrielles que j'accompagne en tout cas, c'est comment choisir son logiciel et surtout sa stratégie d'hébergement. Est-ce qu'un logiciel dans le cloud est forcément une mauvaise décision de sécurité ? Parce qu'aujourd'hui, il y a une défiance forte sur les outils cloud, et par cloud j'entends qui ne sont pas hébergés sur des serveurs qui appartiennent à votre entreprise. Ça fait peur aux dirigeants parce qu'ils ont l'impression de ne pas avoir la maîtrise de la cybersécurité d'outils dont ils ne détiennent pas l'hébergement. Mais très souvent, ce sont ces mêmes entreprises qui ne sont pas équipées en interne pour gérer correctement leur cybersécurité ou protection informatique, comme mon invité préfère l'appeler dans ce cas-là. Et ça pose globalement beaucoup plus de questions en termes de choix d'architecture. Le but de cet épisode, c'est de démystifier tout ça. Michael, est-ce que tu es prêt ? Oui. Et bien c'est parti ! Alors je t'avais déjà un peu cherché sur le sujet dans le premier épisode, mais là on va prendre le temps d'un peu plus approfondir. Est-ce que le cloud c'est forcément moins sûr que le serveur que j'ai dans ma cave ?
Speaker #1
Alors c'est un sujet très sensible sur lequel il y a beaucoup d'avis qui divergent souvent. En expérience, moi ce que j'ai pu constater durant mes missions, c'est qu'il y a autant, voire plus de vulnérabilité lorsque le serveur se trouve à l'intérieur des locaux de l'entreprise. Pourquoi ? En fait, parce que déjà d'une part, les moyens importants du côté matériel en termes de protection, en termes d'outils techniques qui se trouvent au sein des hébergeurs cloud sont sans équivalent et qui sont la grande majorité du temps inabordables pour une entreprise qui souhaite isoler son propre serveur ou qui souhaite isoler sa propre infrastructure chez elle. Donc on n'est vraiment pas sur les mêmes niveaux, sur les mêmes calibres d'équipements de protection d'une part. Ensuite, il y a un côté où un serveur, qu'il soit en cloud ou qu'il soit chez soi, il y a une maintenance qui est nécessaire. Quand je parle de maintenance, c'est qu'il y a un suivi et des mises à jour, que ce soit sur la partie matérielle, sur la partie logicielle, sur les configurations des différents outils qui doivent être effectués. Quand c'est entre le cloud et en local, quand c'est en cloud, il y a une partie de ces opérations-là. qui est à la charge du prestataire. Donc c'est rendu totalement transparent pour l'entreprise. Quand le serveur est à l'intérieur de l'entreprise, c'est une charge qui revient entièrement à l'entreprise ou qui doit déléguer à quelqu'un qui s'y connaît. Mais quoi qu'il en soit, c'est du temps, des coûts, du budget et un suivi vraiment très minutieux qui doit être effectué pour éviter d'exposer sa machine qu'on pense être protégée parce que c'est rassurant d'avoir son serveur à côté. Il peut être plus exposé parce que... s'il n'a pas suivi minutieux de ses mises à jour et de ses configurations. Alors, ce qu'il faut par contre avoir bien conscience, c'est que le cloud, par défaut, il n'a pas que des avantages et ce n'est pas non plus une solution magique sur laquelle il faut forcément se précipiter les yeux fermés. Donc, c'est vraiment un questionnement à avoir à chaque fois. Est-ce pertinent d'avoir des trains cloud ? Est-ce pertinent d'être un local ? Il faut bien tout mesurer par rapport à ce que je viens d'évoquer. Et sur la partie cloud, par défaut, il faut bien avoir conscience qu'il est suffisant il est souvent insuffisamment sécurisé et qui nécessite de mettre en place une stratégie et un bon paramétrage pour être suffisamment, pour avoir une protection qui soit suffisamment robuste. Il y a aussi une autre chose, c'est que le cloud il expose aussi potentiellement à des accès, à des juridictions d'accès aux données qui sont différentes en fonction du continent où on se trouve et où se trouve l'hébergeur des fameuses outils cloud. C'est un point qu'il faut aussi bien Bien comprendre.
Speaker #0
Du coup, tu me fais ma transition avec ma question suivante. Est-ce que stocker ces données aux États-Unis ou en Chine, alors effectivement, ce n'est pas toujours un choix, mais quand on choisit un éditeur de logiciel qui vient d'un de ces pays, souvent les données sont hébergées là-bas. Est-ce que c'est forcément livrer mes données à ces gouvernements ?
Speaker #1
Alors, c'est en tout cas s'exposer clairement à ce que ces gouvernements, ils aient la possibilité de le faire quand ils le souhaitent et sans que vous ne le sachiez forcément. M C'est la juridiction numérique des pays comme les pays qui ont été cités, les États-Unis, la Chine, qui leur permet de potentiellement effectuer cette opération-là. Là où même notre réglementation européenne, notre RGPD, ne suffit pas forcément à l'en empêcher. Bon, après, ce qu'il faut aussi avoir conscience, c'est que c'est moins connu, et puis malheureusement, on risque d'y venir aussi de notre côté en Europe. C'est qu'il y a certains gouvernements en Europe qui travaillent justement à faire passer des nouvelles réglementations qui vont viser justement à leur faciliter l'accès et l'accès à des preuves électroniques sur toutes les données qui sont jurées également au sein de l'Union européenne. On rencontre comme problématique comme situation vis-à-vis des États-Unis, de la Chine, c'est des choses qui malheureusement risquent de plus en plus devenir réalité aussi pour ce qui est hébergé et porté par des entreprises européennes. Ce qu'il faut bien comprendre, c'est que théoriquement, c'est cadré dans un contexte d'enquête. uniquement, exclusivement. C'est-à-dire qu'en fait, il y a des infractions pénales, de la criminalité, etc. Mais bon, c'est quand même un nouveau chemin et des nouvelles potentialités d'accès à des informations qui n'existent pas et qui peuvent peut-être, à l'avenir, devenir de plus en plus présentes.
Speaker #0
Un début, quoi. Une porte ouverte sur la suite.
Speaker #1
Donc, c'est vraiment un élément à prendre en considération dans les données que, potentiellement, on peut ramener à stocker ou à faire transiter par ce type d'outils. Maintenant, il existe aussi quand même des palliatifs. Dans le sens où, même si on peut héberger nos données sur un cloud qui n'est pas en Europe, on peut très bien imaginer aussi de chiffrer l'ensemble de ces données. C'est-à-dire qu'en fait, nous, on les a chiffrées. Il n'y a que nous, théoriquement, qui pouvons déchiffrer ces informations-là. Et les données chiffrées qui se trouvent sur le cloud, en fait, même si quelqu'un met la main dessus, il ne peut pas en faire grand-chose.
Speaker #0
Là, tu parles de stockage que tu maîtrises, mais quand tu passes par un logiciel que tu as choisi qui s'occupe, lui, de ton stockage des données, tu n'as pas forcément le choix de les chiffrer dans ce cas-là.
Speaker #1
Et c'est vrai que quand c'est directement un éditeur ou un outil SaaS que tu utilises, SaaS pour tout le monde, je ne sais pas si tout le monde connaît, c'est Software as a Service, donc on achète finalement le logiciel sous forme de service. Là, oui, c'est directement l'éditeur qui porte cette fonction-là et qui fait ses choix en termes de cloud. Et en effet, on n'a pas directement la main pour pouvoir chiffrer les informations. Sinon, il faudrait que ce soit l'éditeur lui-même qui le porte ou qui mette à disposition de ses propres clients cette possibilité-là. Merci. C'est encore couramment, c'est très peu courant aujourd'hui.
Speaker #0
Pour autant, le déploiement des SaaS, il est partout parce que ça présente ce côté pratique. Finalement, tu as un logiciel qui est clé en main, on s'occupe de ta maintenance. Donc, pour se protéger des alertes que tu viens de donner, est-ce qu'il y a des choses que tu peux faire toi pour ne pas perdre complètement la main ? Enfin, toi, je veux dire, dirigeant d'entreprise qui a choisi un SaaS, comment tu fais pour que ce soit quand même une solution qui est sécurisée ?
Speaker #1
Alors c'est vrai qu'un SaaS a un côté très pratique, comme tu le mentionnes, c'est vrai, c'est indéniable, c'est hyper accessible. Le revers de cette facilité, c'est que les données peuvent vite devenir dépendantes de l'outil souscrit, donc c'est un petit peu ce que tu évoquais également, et de manière très concrète, en fait, ça va être la difficulté par exemple d'exporter les informations qu'on aura mises dans un SaaS en particulier, et la difficulté à les réutiliser dans un autre outil. Donc c'est une notion, ça porte un nom, ça s'appelle l'interopérabilité, Et c'est clairement une pratique qui manque encore trop souvent dans les outils SaaS qui proposent des fonctionnalités similaires. Donc, dit autrement, pour un dirigeant d'entreprise ou pour une entreprise qui a besoin de choisir un SaaS, les quelques petites vérifications, les bonnes questions à se poser au préalable, c'est justement d'explorer ces possibilités d'export qui sont proposées par ces outils et de vérifier que si le SaaS, on a besoin de le faire évoluer ou de le changer à un moment ou à un autre. qu'on puisse justement récupérer les informations et les mettre dans une autre solution. C'est le premier point. Et l'autre point, c'est que parfois, ici, c'est un petit point juridique quand même qu'il faut vérifier. Il y a quelques outils quand même qui s'approprient les données qui sont gérées par leur solution. C'est des pratiques qui peuvent exister. Et c'est important de bien décortiquer leurs conditions pour s'assurer que les données qui sont normalement propres à l'entreprise ne deviennent pas la propriété de l'éditeur du SaaS parce qu'elles sont hébergées chez elle.
Speaker #0
Je voudrais qu'on plonge un peu dans le terrain. et en particulier dans l'usine, où on a un risque de vol de données, d'arrêt de machine par intrusion sur le système informatique industriel, sur le réseau industriel de l'usine. Je pense aujourd'hui en particulier aux solutions de mobilité, ce qui va être scan sur le terrain, ce qui ça aussi a un côté pratique. J'ai ma scanette sur le terrain, je peux faire tout un tas d'actions sans avoir à revenir au bureau sur un poste fixe. Comment est-ce qu'on... n'alimente ses outils en toute sécurité ? Est-ce qu'il faut vraiment s'en priver pour être totalement sécurisé ? On en a déjà un peu parlé dans le premier épisode, on a le Wi-Fi qui peut être une faille. Comment tu abordes ce sujet-là pour profiter des bénéfices de la mobilité sans créer une grosse faille de sécurité finalement ?
Speaker #1
Il faut trouver le bon équilibre dans sa gestion au quotidien. L'idée, ce n'est pas de sécuriser pour empêcher les gens de travailler. Il faut que les gens continuent de travailler, mais dans des conditions de sécurité optimales. J'insiste sur optimale parce que pour moi, la sécurité à 100% n'existe nulle part, que ce soit numérique ou pas d'ailleurs, que ce soit la sécurité routière, la sécurité dans l'habitat. Même si on met en place énormément de choses, on va rendre l'incident ou l'accident beaucoup plus difficile. mais il restera toujours une petite part de risque. Il faut trouver cet équilibre. Pour les salariés en mobilité, déjà la première règle importante sur laquelle il faut essayer de tenir au maximum, c'est de faire en sorte que les salariés n'utilisent que les appareils qui sont mis à disposition de l'entreprise. Pourquoi ? Parce que souvent, c'est les appareils qui font l'objet d'un suivi, d'une maintenance directement par l'entreprise pour s'assurer que justement l'outil de travail permette de... de fonctionner dans de bonnes conditions de sécurité. Ça passe très concrètement par un téléphone pro. Si c'est le cas, s'il y a des besoins aussi, il faut que la tablette soit rattachée à l'entreprise, soit fournie par l'entreprise. Les ordinateurs sont aussi évidemment fournis par l'entreprise, etc. Donc ça, c'est le premier point. Après, il n'est pas forcément suffisant. Par exemple, on peut être râmé que certains salariés, ils aient l'accès à leur messagerie professionnelle depuis leur téléphone personnel. Donc ça, c'est un peu leur côté pratique, mais en termes d'exposition de risque, il est vraiment... Il est assez délicat parce que là, par contre, l'entreprise n'a plus la main sur la manière dont l'appareil personnel du salarié est géré en termes de sécurité. Et dans ces pratiques personnelles liées à l'appareil, en fait, il peut très bien, sans qu'il s'en rende compte, l'utilisateur, déclencher certaines choses, une installation d'une application malveillante, un élément nuisible qui serait installé sur l'appareil, qui du coup va permettre de toucher les données de l'entreprise sans que l'entreprise ne puisse faire grand-chose. C'est pour ces raisons-là, en fait, que la plupart du temps, il faut vraiment essayer de faire en sorte de... que les appareils professionnels qui permettent de faire le travail au quotidien. Et sur ces appareils mis à disposition, on l'a déjà un peu évoqué, l'idée c'est que ça soit géré par l'entreprise, donc tout ce qui est évidemment mis à jour, ça doit être très suivi. Et le fait d'avoir un appareil dédié à l'usage professionnel aussi, ça permet de limiter le nombre d'applications qui peuvent être installées dessus, et donc de limiter l'exposition à certains risques d'applications un peu douteuses, qu'on rencontre de plus en plus souvent malheureusement de nos jours, qui peuvent, à donner accès à certaines données via nos appareils. Donc là on est vraiment dans la partie matérielle. Et après tu évoquais aussi la partie Wi-Fi. C'est vrai que quand on est en mobilité, on a besoin de se connecter à Internet. L'accès au Wi-Fi malheureusement, il est devenu assez pratique, mais ça prospère parce qu'en fait on n'est pas à l'abri quand on utilise un Wi-Fi. qu'il y ait une personne qui soit connectée en même temps que nous sur le même réseau, que ce soit avec de bonnes ou moins bonnes intentions, parce que si c'est une personne qui a de mauvaises intentions, du coup elle va chercher à récupérer, à surveiller un petit peu ce qui se passe sur le réseau, voire à s'introduire sur l'appareil qui est connecté en même temps que lui. Donc comment faire du coup pour avoir accès à Internet en mobilité de la manière la plus sûre possible ? En fait, le seul moyen qui nous reste, c'est le partage de connexion mobile, donc ton fameux partage de connexion 4G, 5G.
Speaker #0
Tu as beaucoup parlé de la mobilité, mais la question que je voulais lever aussi par rapport à ça, c'est le Wi-Fi au sein de l'entreprise, sur les terminaux mobiles, mais vraiment pour aller agir dans l'atelier.
Speaker #1
Oui, et au sein de l'atelier, c'est vrai qu'on peut avoir à disposition des réseaux Wi-Fi. Il faut avoir conscience qu'il y a des risques aussi associés à ça. Toujours pour les mêmes raisons, c'est-à-dire qu'il suffit qu'il y ait un salarié qui soit pro ou perso, parce que parfois il y a quelques appareils perso qui se branchent sur les réseaux Wi-Fi d'entreprise, qui ne devraient pas d'ailleurs, ça ne devrait pas être une pratique autorisée, mais en plus ça existe. Et s'il y a un élément nuisible qui se déclenche depuis un appareil connecté au même réseau Wi-Fi que sur lequel est reliée la machine en atelier, potentiellement cette machine peut être exposée à des risques. Donc il faut vraiment essayer d'isoler, soit avoir un accès Wi-Fi qui soit dédié à que quelques machines. de l'atelier, soit essayer de privilégier plutôt une connexion par câble réseau, en fait. Tant que possible, si on peut s'en passer, c'est mieux.
Speaker #0
Ce que je retiens, c'est que ça limite, c'est pas parfait, mais si t'as un réseau Wi-Fi qui est limité à un certain nombre de machines, au moins la menace s'étend pas ?
Speaker #1
Ça sera plus contenu, oui, mais après, il reste toujours un petit risque. La sécurité à 100% n'existe pas et particulièrement sur cet exemple, il est vrai. Donc on peut rendre la tâche beaucoup plus difficile à un pirate, clairement. en mettant en place une bonne configuration wifi mais il restera toujours une petite part où un pirate qui voudra vraiment s'introduire sur le réseau il faudra qu'il soit motivé, qu'il lui passe du temps, etc. mais il pourrait continuer de le faire, tout comme d'ailleurs dans l'habitation on a beau avoir des systèmes de protection très renforcés fermeture 5 points, système d'alarme, vidéosurveillance, etc. si il y a un voleur qui veut vraiment rentrer dans la maison On trouvera un moyen de le faire.
Speaker #0
Ça marche, je crois qu'on y voit déjà beaucoup plus clair sur le sujet. C'est pas très rassurant, mais au moins, on a des clés. Maintenant, je vais te proposer des situations. Tu me dis si c'est classe, il faut absolument faire ça. Ou si ça casse, pitié, arrêtez ça tout de suite. Ça se passe dans la séquence, c'est classe ou ça casse. Alors, première situation, avoir sa sauvegarde de données sur un disque dur posé à côté de son PC.
Speaker #1
Alors, c'est mieux que rien, mais pour moi, ça casse.
Speaker #0
Ne faire appel qu'à des prestataires certifiés ISO 27001.
Speaker #1
Alors ça c'est classe, sauf que dans la réalité, dans la vraie vie, tous les prestataires ne sont pas forcément certifiés ISO 27001. Et même d'ailleurs, il y a des prestataires qui n'ont pas forcément la certification et s'ils sont bien choisis, bien sélectionnés sur d'autres critères, ils peuvent tout à fait faire du bon boulot. Donc ça pourrait être aussi du sacasse.
Speaker #0
Laissez son fournisseur ERP héberger les données sur ses serveurs sans poser de questions.
Speaker #1
Pour moi, ça casse.
Speaker #0
Faire auditer son prestataire une fois par an.
Speaker #1
Ça c'est classe.
Speaker #0
Ignorez les mises à jour parce que tout marche bien. Priorité à la prod, on n'arrête pas le système tant que ça roule.
Speaker #1
Ouais, ça casse.
Speaker #0
Qu'est-ce que tu conseillerais de regarder en priorité pour choisir un prestataire de service informatique ? Une chose rapide pour bien choisir.
Speaker #1
Alors c'est de leur demander justement sur quelle partie informatique ils se déclarent peut-être un petit peu moins bons en termes de sécurisation. Et s'ils répondent qu'ils n'ont pas, qu'ils n'ont rien, c'est presque louche. Parce qu'en fait, c'est compliqué de prétendre aujourd'hui être bon sur 100% de la partie informatique. Et donc, du coup, c'est voir aussi leur réaction. Si l'entreprise les apprend, on dit « Ok, d'accord, on veut travailler avec vous. Par contre, sachez qu'on va travailler avec un spécialiste sécurité pour nous aider ensemble à construire des améliorations, etc. » Donc, s'il commence un petit peu à douter de lui ou à se sentir un peu mal, ce n'est pas forcément non plus très bon signe.
Speaker #0
J'aime beaucoup la première, de se dire « Admettez pour moi vos défauts, vos failles, et puis je vois si c'est acceptable pour moi. » Ça va très bien dans ta démarche de dire que la sécurité à 100% n'existe pas. Donc, autant voir si on est prêt à accepter.
Speaker #1
Absolument.
Speaker #0
Très bon conseil. Je trouve qu'on y voit déjà beaucoup plus clair sur les stratégies de choix logiciels et d'hébergement, même si on reconnaît que ce n'est pas simple et que se faire accompagner pour bien choisir, ça me semble essentiel. On va clore là-dessus cet épisode. Je crois que tu as un cadeau pour nos auditeurs.
Speaker #1
Oui, pour celles et ceux qui sont intéressés, il y a un lien que tu mets à disposition qui est digetik.fr/cyber Derrière lequel, vous pouvez vous inscrire. si vous le souhaitez, pour pouvoir avoir accès à une démarche de ma part pour pouvoir identifier sur quelques postes de travail au sein de votre entreprise des différentes potentielles failles qu'il peut y avoir. Et avec une possibilité également d'une période d'essai de deux mois qui vous permet de découvrir un outil qui permet justement de combler toutes ces failles invisibles qui peuvent exister sur vos appareils de manière transparente.
Speaker #0
Merci pour eux. Demain, on va changer de prisme pour regarder la sécurité sous forme de levier de compétitivité parce que oui, on n'est pas obligé de traîner des pieds sur les obligations. On peut aussi voir ça d'un oeil positif et de voir les bénéfices que ça peut nous apporter. En attendant, on s'abonne et on ose l'efficacité !

Chapters

Bienvenue dans Oser L'Efficacité - Le Lab'
0sec
Mon invité de la semaine : Michael Tonso, fondateur de CyberSéréno, expert en cybersécurité
20sec
Choisir sa stratégie d'hébergement
34sec
La sûreté du cloud : l'avis de Mchael Tonso
1min
Le stockage de ses données à l'étranger
4min
Se protéger des alertes
7min
Et sur le terrain ?
9min
C'est classe ou ça casse ?
14min
Le conseil prioritaire de Michael pour choisir son prestataire informatique
15min
Le cadeau de Michael Tonso
16min

About Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

💥 Tout est un processus. Chaque processus peut être optimisé.

Mais quand on dirige une PME ou une ETI industrielle, coincé entre l’opérationnel, les urgences du quotidien, et une pile de process qui tiennent avec du scotch… par quoi on commence ?

🎧 Bienvenue dans Oser l’efficacité, le podcast qui t’aide à produire plus et mieux avec moins d'effort. Ici, on parle optimisation des processus industriels, efficacité opérationnelle, digitalisation maîtrisée, et surtout : on parle concret.

🎯 Tu cherches des outils simples, des retours d’expérience réels, ou une méthode actionnable pour reprendre le contrôle de tes opérations ? Tu es au bon endroit.

Notre mission : t’aider à transformer ton entreprise de l’intérieur, un process à la fois — que tu sois dirigeant·e, responsable de production, directeur·rice industriel·le, ou chargé·e de projet digitalisation.

👤 Animé par Perrine Thiébaut, fondatrice de Digetik, experte en transformation numérique et optimisation des performances industrielles, ce podcast s’appuie sur plus de 10 ans de terrain dans les ateliers, les ERP, et les chantiers Lean de PME comme de grands groupes. Son style ? Direct, accessible, sans jargon— et avec ce petit humour bien placé qui rend les sujets pointus enfin digestes.

🎙 5 formats d’épisodes, 1 seul objectif : l’action

🧠 L'inspiration:
Des retours d’expérience terrain avec des industriels qui ont osé changer les règles du jeu.

📊 Le lab'
Un expert te livre ses conseils et méthodes sur un process précis.

🆘 Le coup de main
Seule ou avec un invité, on répond à la question d'un auditeur.

🧰 L'efficacité minute
Un outil, un benchmark, une astuce. À écouter entre deux réunions.

📦 Processorama
Des mini-séries thématiques pour creuser un sujet en profondeur.

📬 Envie d’aller plus loin ?
Découvre “Oser l’efficacité – la news”, notre newsletter hebdomadaire (un jeudi sur deux à 8h), pour prolonger l’expérience : synthèse des épisodes, outils bonus, bonnes pratiques.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

💥 Tout est un processus. Chaque processus peut être optimisé.

Mais quand on dirige une PME ou une ETI industrielle, coincé entre l’opérationnel, les urgences du quotidien, et une pile de process qui tiennent avec du scotch… par quoi on commence ?

🎯 Tu cherches des outils simples, des retours d’expérience réels, ou une méthode actionnable pour reprendre le contrôle de tes opérations ? Tu es au bon endroit.

🎙 5 formats d’épisodes, 1 seul objectif : l’action

🧠 L'inspiration:
Des retours d’expérience terrain avec des industriels qui ont osé changer les règles du jeu.

📊 Le lab'
Un expert te livre ses conseils et méthodes sur un process précis.

🆘 Le coup de main
Seule ou avec un invité, on répond à la question d'un auditeur.

🧰 L'efficacité minute
Un outil, un benchmark, une astuce. À écouter entre deux réunions.

📦 Processorama
Des mini-séries thématiques pour creuser un sujet en profondeur.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎧 Cybersécurité industrielle : le cloud est-il vraiment un danger ?

🔐 Série – Cybersécurité industrielle : protéger sans freiner l’activité

La cyber sécurité des PMI est-elle une contrainte technique ou un levier de compétitivité industrielle ?

Pour répondre à cette question, j’accueille Michael Tonso, fondateur de CyberSéréno, expert en cybersécurité.

Dans cette série spéciale d’Oser l’Efficacité, on démonte les idées reçues autour de la cybersécurité en industrie :

Le facteur humain est-il vraiment le maillon faible ?
Le cloud est-il si dangereux qu’on le dit ?
Peut-on protéger son activité sans la ralentir ?
La sécurité est-elle un coût… ou une assurance survie

🎙️ Épisode 3 – Le cloud : menace ou opportunité ?

Cyber sécurité des PMI : le cloud est-il un risque informatique… ou un faux coupable ? On remet les pendules à l’heure.

Après avoir parlé des mythes généraux (épisode 1) et du facteur humain (épisode 2), on s’attaque avec Michael Tonso, fondateur de CyberSéréno, à un sujet qui divise : le cloud.

“Mes données sont dans le cloud, donc elles sont en danger.” Vraiment ?

La cybersécurité industrielle ne consiste pas à diaboliser la technologie. Elle consiste à comprendre où se situe réellement le risque informatique.

Au programme :

Pourquoi le cloud n’est pas automatiquement plus risqué qu’un serveur local
Ce que les PMI oublient souvent dans leur approche de la cybersécurité
La différence entre “externaliser” et “abandonner” la responsabilité
Comment utiliser le cloud sans augmenter ton risque informatique

La vraie question n’est donc pas “cloud ou pas cloud ?”
La vraie question est : qui pilote, qui configure, qui surveille ?

En matière de cyber sécurité des PMI, la responsabilité ne disparaît pas parce que les données sont hébergées ailleurs.

👉 Passe à l’action :

🎁 Le cadeau de Michael :
http://digetik.fr/cyber

🌐 Contacter Michael (CyberSéréno) :
https://www.cybersereno.fr/
https://www.linkedin.com/in/michaeltonso/

📅 Réserve ton rendez-vous stratégique :
http://digetik.fr/rdv

📰 Abonne-toi à la newsletter :
http://www.digetik.fr/news

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour et bienvenue dans Oser l'Efficacité, le Lab, le format où je reçois un expert pour plonger au cœur de sa thématique et te rendre compte que tu n'es pas seul face à tes incertitudes. Je suis Perinne Thiébaut, j'aide les dirigeants à transformer leur entreprise industrielle et que ça se voit, dans leur processus, dans leurs décisions, dans leur trésorerie, mais aussi à l'extérieur. Cette semaine à mon micro, je reçois Michael Tonso de la société CyberSéréno qui va nous rendre la cybersécurité extrêmement pratique. Un épisode par jour, du lundi au vendredi, n'oublie pas de t'abonner pour ne pas rater les suivants. C'est notre troisième épisode sur le sujet. Si tu as raté les deux premiers, la playlist est juste là. Et aujourd'hui, on parle d'un sujet essentiel chez les PME industrielles que j'accompagne en tout cas, c'est comment choisir son logiciel et surtout sa stratégie d'hébergement. Est-ce qu'un logiciel dans le cloud est forcément une mauvaise décision de sécurité ? Parce qu'aujourd'hui, il y a une défiance forte sur les outils cloud, et par cloud j'entends qui ne sont pas hébergés sur des serveurs qui appartiennent à votre entreprise. Ça fait peur aux dirigeants parce qu'ils ont l'impression de ne pas avoir la maîtrise de la cybersécurité d'outils dont ils ne détiennent pas l'hébergement. Mais très souvent, ce sont ces mêmes entreprises qui ne sont pas équipées en interne pour gérer correctement leur cybersécurité ou protection informatique, comme mon invité préfère l'appeler dans ce cas-là. Et ça pose globalement beaucoup plus de questions en termes de choix d'architecture. Le but de cet épisode, c'est de démystifier tout ça. Michael, est-ce que tu es prêt ? Oui. Et bien c'est parti ! Alors je t'avais déjà un peu cherché sur le sujet dans le premier épisode, mais là on va prendre le temps d'un peu plus approfondir. Est-ce que le cloud c'est forcément moins sûr que le serveur que j'ai dans ma cave ?
Speaker #1
Alors c'est un sujet très sensible sur lequel il y a beaucoup d'avis qui divergent souvent. En expérience, moi ce que j'ai pu constater durant mes missions, c'est qu'il y a autant, voire plus de vulnérabilité lorsque le serveur se trouve à l'intérieur des locaux de l'entreprise. Pourquoi ? En fait, parce que déjà d'une part, les moyens importants du côté matériel en termes de protection, en termes d'outils techniques qui se trouvent au sein des hébergeurs cloud sont sans équivalent et qui sont la grande majorité du temps inabordables pour une entreprise qui souhaite isoler son propre serveur ou qui souhaite isoler sa propre infrastructure chez elle. Donc on n'est vraiment pas sur les mêmes niveaux, sur les mêmes calibres d'équipements de protection d'une part. Ensuite, il y a un côté où un serveur, qu'il soit en cloud ou qu'il soit chez soi, il y a une maintenance qui est nécessaire. Quand je parle de maintenance, c'est qu'il y a un suivi et des mises à jour, que ce soit sur la partie matérielle, sur la partie logicielle, sur les configurations des différents outils qui doivent être effectués. Quand c'est entre le cloud et en local, quand c'est en cloud, il y a une partie de ces opérations-là. qui est à la charge du prestataire. Donc c'est rendu totalement transparent pour l'entreprise. Quand le serveur est à l'intérieur de l'entreprise, c'est une charge qui revient entièrement à l'entreprise ou qui doit déléguer à quelqu'un qui s'y connaît. Mais quoi qu'il en soit, c'est du temps, des coûts, du budget et un suivi vraiment très minutieux qui doit être effectué pour éviter d'exposer sa machine qu'on pense être protégée parce que c'est rassurant d'avoir son serveur à côté. Il peut être plus exposé parce que... s'il n'a pas suivi minutieux de ses mises à jour et de ses configurations. Alors, ce qu'il faut par contre avoir bien conscience, c'est que le cloud, par défaut, il n'a pas que des avantages et ce n'est pas non plus une solution magique sur laquelle il faut forcément se précipiter les yeux fermés. Donc, c'est vraiment un questionnement à avoir à chaque fois. Est-ce pertinent d'avoir des trains cloud ? Est-ce pertinent d'être un local ? Il faut bien tout mesurer par rapport à ce que je viens d'évoquer. Et sur la partie cloud, par défaut, il faut bien avoir conscience qu'il est suffisant il est souvent insuffisamment sécurisé et qui nécessite de mettre en place une stratégie et un bon paramétrage pour être suffisamment, pour avoir une protection qui soit suffisamment robuste. Il y a aussi une autre chose, c'est que le cloud il expose aussi potentiellement à des accès, à des juridictions d'accès aux données qui sont différentes en fonction du continent où on se trouve et où se trouve l'hébergeur des fameuses outils cloud. C'est un point qu'il faut aussi bien Bien comprendre.
Speaker #0
Du coup, tu me fais ma transition avec ma question suivante. Est-ce que stocker ces données aux États-Unis ou en Chine, alors effectivement, ce n'est pas toujours un choix, mais quand on choisit un éditeur de logiciel qui vient d'un de ces pays, souvent les données sont hébergées là-bas. Est-ce que c'est forcément livrer mes données à ces gouvernements ?
Speaker #1
Alors, c'est en tout cas s'exposer clairement à ce que ces gouvernements, ils aient la possibilité de le faire quand ils le souhaitent et sans que vous ne le sachiez forcément. M C'est la juridiction numérique des pays comme les pays qui ont été cités, les États-Unis, la Chine, qui leur permet de potentiellement effectuer cette opération-là. Là où même notre réglementation européenne, notre RGPD, ne suffit pas forcément à l'en empêcher. Bon, après, ce qu'il faut aussi avoir conscience, c'est que c'est moins connu, et puis malheureusement, on risque d'y venir aussi de notre côté en Europe. C'est qu'il y a certains gouvernements en Europe qui travaillent justement à faire passer des nouvelles réglementations qui vont viser justement à leur faciliter l'accès et l'accès à des preuves électroniques sur toutes les données qui sont jurées également au sein de l'Union européenne. On rencontre comme problématique comme situation vis-à-vis des États-Unis, de la Chine, c'est des choses qui malheureusement risquent de plus en plus devenir réalité aussi pour ce qui est hébergé et porté par des entreprises européennes. Ce qu'il faut bien comprendre, c'est que théoriquement, c'est cadré dans un contexte d'enquête. uniquement, exclusivement. C'est-à-dire qu'en fait, il y a des infractions pénales, de la criminalité, etc. Mais bon, c'est quand même un nouveau chemin et des nouvelles potentialités d'accès à des informations qui n'existent pas et qui peuvent peut-être, à l'avenir, devenir de plus en plus présentes.
Speaker #0
Un début, quoi. Une porte ouverte sur la suite.
Speaker #1
Donc, c'est vraiment un élément à prendre en considération dans les données que, potentiellement, on peut ramener à stocker ou à faire transiter par ce type d'outils. Maintenant, il existe aussi quand même des palliatifs. Dans le sens où, même si on peut héberger nos données sur un cloud qui n'est pas en Europe, on peut très bien imaginer aussi de chiffrer l'ensemble de ces données. C'est-à-dire qu'en fait, nous, on les a chiffrées. Il n'y a que nous, théoriquement, qui pouvons déchiffrer ces informations-là. Et les données chiffrées qui se trouvent sur le cloud, en fait, même si quelqu'un met la main dessus, il ne peut pas en faire grand-chose.
Speaker #0
Là, tu parles de stockage que tu maîtrises, mais quand tu passes par un logiciel que tu as choisi qui s'occupe, lui, de ton stockage des données, tu n'as pas forcément le choix de les chiffrer dans ce cas-là.
Speaker #1
Et c'est vrai que quand c'est directement un éditeur ou un outil SaaS que tu utilises, SaaS pour tout le monde, je ne sais pas si tout le monde connaît, c'est Software as a Service, donc on achète finalement le logiciel sous forme de service. Là, oui, c'est directement l'éditeur qui porte cette fonction-là et qui fait ses choix en termes de cloud. Et en effet, on n'a pas directement la main pour pouvoir chiffrer les informations. Sinon, il faudrait que ce soit l'éditeur lui-même qui le porte ou qui mette à disposition de ses propres clients cette possibilité-là. Merci. C'est encore couramment, c'est très peu courant aujourd'hui.
Speaker #0
Pour autant, le déploiement des SaaS, il est partout parce que ça présente ce côté pratique. Finalement, tu as un logiciel qui est clé en main, on s'occupe de ta maintenance. Donc, pour se protéger des alertes que tu viens de donner, est-ce qu'il y a des choses que tu peux faire toi pour ne pas perdre complètement la main ? Enfin, toi, je veux dire, dirigeant d'entreprise qui a choisi un SaaS, comment tu fais pour que ce soit quand même une solution qui est sécurisée ?
Speaker #1
Alors c'est vrai qu'un SaaS a un côté très pratique, comme tu le mentionnes, c'est vrai, c'est indéniable, c'est hyper accessible. Le revers de cette facilité, c'est que les données peuvent vite devenir dépendantes de l'outil souscrit, donc c'est un petit peu ce que tu évoquais également, et de manière très concrète, en fait, ça va être la difficulté par exemple d'exporter les informations qu'on aura mises dans un SaaS en particulier, et la difficulté à les réutiliser dans un autre outil. Donc c'est une notion, ça porte un nom, ça s'appelle l'interopérabilité, Et c'est clairement une pratique qui manque encore trop souvent dans les outils SaaS qui proposent des fonctionnalités similaires. Donc, dit autrement, pour un dirigeant d'entreprise ou pour une entreprise qui a besoin de choisir un SaaS, les quelques petites vérifications, les bonnes questions à se poser au préalable, c'est justement d'explorer ces possibilités d'export qui sont proposées par ces outils et de vérifier que si le SaaS, on a besoin de le faire évoluer ou de le changer à un moment ou à un autre. qu'on puisse justement récupérer les informations et les mettre dans une autre solution. C'est le premier point. Et l'autre point, c'est que parfois, ici, c'est un petit point juridique quand même qu'il faut vérifier. Il y a quelques outils quand même qui s'approprient les données qui sont gérées par leur solution. C'est des pratiques qui peuvent exister. Et c'est important de bien décortiquer leurs conditions pour s'assurer que les données qui sont normalement propres à l'entreprise ne deviennent pas la propriété de l'éditeur du SaaS parce qu'elles sont hébergées chez elle.
Speaker #0
Je voudrais qu'on plonge un peu dans le terrain. et en particulier dans l'usine, où on a un risque de vol de données, d'arrêt de machine par intrusion sur le système informatique industriel, sur le réseau industriel de l'usine. Je pense aujourd'hui en particulier aux solutions de mobilité, ce qui va être scan sur le terrain, ce qui ça aussi a un côté pratique. J'ai ma scanette sur le terrain, je peux faire tout un tas d'actions sans avoir à revenir au bureau sur un poste fixe. Comment est-ce qu'on... n'alimente ses outils en toute sécurité ? Est-ce qu'il faut vraiment s'en priver pour être totalement sécurisé ? On en a déjà un peu parlé dans le premier épisode, on a le Wi-Fi qui peut être une faille. Comment tu abordes ce sujet-là pour profiter des bénéfices de la mobilité sans créer une grosse faille de sécurité finalement ?
Speaker #1
Il faut trouver le bon équilibre dans sa gestion au quotidien. L'idée, ce n'est pas de sécuriser pour empêcher les gens de travailler. Il faut que les gens continuent de travailler, mais dans des conditions de sécurité optimales. J'insiste sur optimale parce que pour moi, la sécurité à 100% n'existe nulle part, que ce soit numérique ou pas d'ailleurs, que ce soit la sécurité routière, la sécurité dans l'habitat. Même si on met en place énormément de choses, on va rendre l'incident ou l'accident beaucoup plus difficile. mais il restera toujours une petite part de risque. Il faut trouver cet équilibre. Pour les salariés en mobilité, déjà la première règle importante sur laquelle il faut essayer de tenir au maximum, c'est de faire en sorte que les salariés n'utilisent que les appareils qui sont mis à disposition de l'entreprise. Pourquoi ? Parce que souvent, c'est les appareils qui font l'objet d'un suivi, d'une maintenance directement par l'entreprise pour s'assurer que justement l'outil de travail permette de... de fonctionner dans de bonnes conditions de sécurité. Ça passe très concrètement par un téléphone pro. Si c'est le cas, s'il y a des besoins aussi, il faut que la tablette soit rattachée à l'entreprise, soit fournie par l'entreprise. Les ordinateurs sont aussi évidemment fournis par l'entreprise, etc. Donc ça, c'est le premier point. Après, il n'est pas forcément suffisant. Par exemple, on peut être râmé que certains salariés, ils aient l'accès à leur messagerie professionnelle depuis leur téléphone personnel. Donc ça, c'est un peu leur côté pratique, mais en termes d'exposition de risque, il est vraiment... Il est assez délicat parce que là, par contre, l'entreprise n'a plus la main sur la manière dont l'appareil personnel du salarié est géré en termes de sécurité. Et dans ces pratiques personnelles liées à l'appareil, en fait, il peut très bien, sans qu'il s'en rende compte, l'utilisateur, déclencher certaines choses, une installation d'une application malveillante, un élément nuisible qui serait installé sur l'appareil, qui du coup va permettre de toucher les données de l'entreprise sans que l'entreprise ne puisse faire grand-chose. C'est pour ces raisons-là, en fait, que la plupart du temps, il faut vraiment essayer de faire en sorte de... que les appareils professionnels qui permettent de faire le travail au quotidien. Et sur ces appareils mis à disposition, on l'a déjà un peu évoqué, l'idée c'est que ça soit géré par l'entreprise, donc tout ce qui est évidemment mis à jour, ça doit être très suivi. Et le fait d'avoir un appareil dédié à l'usage professionnel aussi, ça permet de limiter le nombre d'applications qui peuvent être installées dessus, et donc de limiter l'exposition à certains risques d'applications un peu douteuses, qu'on rencontre de plus en plus souvent malheureusement de nos jours, qui peuvent, à donner accès à certaines données via nos appareils. Donc là on est vraiment dans la partie matérielle. Et après tu évoquais aussi la partie Wi-Fi. C'est vrai que quand on est en mobilité, on a besoin de se connecter à Internet. L'accès au Wi-Fi malheureusement, il est devenu assez pratique, mais ça prospère parce qu'en fait on n'est pas à l'abri quand on utilise un Wi-Fi. qu'il y ait une personne qui soit connectée en même temps que nous sur le même réseau, que ce soit avec de bonnes ou moins bonnes intentions, parce que si c'est une personne qui a de mauvaises intentions, du coup elle va chercher à récupérer, à surveiller un petit peu ce qui se passe sur le réseau, voire à s'introduire sur l'appareil qui est connecté en même temps que lui. Donc comment faire du coup pour avoir accès à Internet en mobilité de la manière la plus sûre possible ? En fait, le seul moyen qui nous reste, c'est le partage de connexion mobile, donc ton fameux partage de connexion 4G, 5G.
Speaker #0
Tu as beaucoup parlé de la mobilité, mais la question que je voulais lever aussi par rapport à ça, c'est le Wi-Fi au sein de l'entreprise, sur les terminaux mobiles, mais vraiment pour aller agir dans l'atelier.
Speaker #1
Oui, et au sein de l'atelier, c'est vrai qu'on peut avoir à disposition des réseaux Wi-Fi. Il faut avoir conscience qu'il y a des risques aussi associés à ça. Toujours pour les mêmes raisons, c'est-à-dire qu'il suffit qu'il y ait un salarié qui soit pro ou perso, parce que parfois il y a quelques appareils perso qui se branchent sur les réseaux Wi-Fi d'entreprise, qui ne devraient pas d'ailleurs, ça ne devrait pas être une pratique autorisée, mais en plus ça existe. Et s'il y a un élément nuisible qui se déclenche depuis un appareil connecté au même réseau Wi-Fi que sur lequel est reliée la machine en atelier, potentiellement cette machine peut être exposée à des risques. Donc il faut vraiment essayer d'isoler, soit avoir un accès Wi-Fi qui soit dédié à que quelques machines. de l'atelier, soit essayer de privilégier plutôt une connexion par câble réseau, en fait. Tant que possible, si on peut s'en passer, c'est mieux.
Speaker #0
Ce que je retiens, c'est que ça limite, c'est pas parfait, mais si t'as un réseau Wi-Fi qui est limité à un certain nombre de machines, au moins la menace s'étend pas ?
Speaker #1
Ça sera plus contenu, oui, mais après, il reste toujours un petit risque. La sécurité à 100% n'existe pas et particulièrement sur cet exemple, il est vrai. Donc on peut rendre la tâche beaucoup plus difficile à un pirate, clairement. en mettant en place une bonne configuration wifi mais il restera toujours une petite part où un pirate qui voudra vraiment s'introduire sur le réseau il faudra qu'il soit motivé, qu'il lui passe du temps, etc. mais il pourrait continuer de le faire, tout comme d'ailleurs dans l'habitation on a beau avoir des systèmes de protection très renforcés fermeture 5 points, système d'alarme, vidéosurveillance, etc. si il y a un voleur qui veut vraiment rentrer dans la maison On trouvera un moyen de le faire.
Speaker #0
Ça marche, je crois qu'on y voit déjà beaucoup plus clair sur le sujet. C'est pas très rassurant, mais au moins, on a des clés. Maintenant, je vais te proposer des situations. Tu me dis si c'est classe, il faut absolument faire ça. Ou si ça casse, pitié, arrêtez ça tout de suite. Ça se passe dans la séquence, c'est classe ou ça casse. Alors, première situation, avoir sa sauvegarde de données sur un disque dur posé à côté de son PC.
Speaker #1
Alors, c'est mieux que rien, mais pour moi, ça casse.
Speaker #0
Ne faire appel qu'à des prestataires certifiés ISO 27001.
Speaker #1
Alors ça c'est classe, sauf que dans la réalité, dans la vraie vie, tous les prestataires ne sont pas forcément certifiés ISO 27001. Et même d'ailleurs, il y a des prestataires qui n'ont pas forcément la certification et s'ils sont bien choisis, bien sélectionnés sur d'autres critères, ils peuvent tout à fait faire du bon boulot. Donc ça pourrait être aussi du sacasse.
Speaker #0
Laissez son fournisseur ERP héberger les données sur ses serveurs sans poser de questions.
Speaker #1
Pour moi, ça casse.
Speaker #0
Faire auditer son prestataire une fois par an.
Speaker #1
Ça c'est classe.
Speaker #0
Ignorez les mises à jour parce que tout marche bien. Priorité à la prod, on n'arrête pas le système tant que ça roule.
Speaker #1
Ouais, ça casse.
Speaker #0
Qu'est-ce que tu conseillerais de regarder en priorité pour choisir un prestataire de service informatique ? Une chose rapide pour bien choisir.
Speaker #1
Alors c'est de leur demander justement sur quelle partie informatique ils se déclarent peut-être un petit peu moins bons en termes de sécurisation. Et s'ils répondent qu'ils n'ont pas, qu'ils n'ont rien, c'est presque louche. Parce qu'en fait, c'est compliqué de prétendre aujourd'hui être bon sur 100% de la partie informatique. Et donc, du coup, c'est voir aussi leur réaction. Si l'entreprise les apprend, on dit « Ok, d'accord, on veut travailler avec vous. Par contre, sachez qu'on va travailler avec un spécialiste sécurité pour nous aider ensemble à construire des améliorations, etc. » Donc, s'il commence un petit peu à douter de lui ou à se sentir un peu mal, ce n'est pas forcément non plus très bon signe.
Speaker #0
J'aime beaucoup la première, de se dire « Admettez pour moi vos défauts, vos failles, et puis je vois si c'est acceptable pour moi. » Ça va très bien dans ta démarche de dire que la sécurité à 100% n'existe pas. Donc, autant voir si on est prêt à accepter.
Speaker #1
Absolument.
Speaker #0
Très bon conseil. Je trouve qu'on y voit déjà beaucoup plus clair sur les stratégies de choix logiciels et d'hébergement, même si on reconnaît que ce n'est pas simple et que se faire accompagner pour bien choisir, ça me semble essentiel. On va clore là-dessus cet épisode. Je crois que tu as un cadeau pour nos auditeurs.
Speaker #1
Oui, pour celles et ceux qui sont intéressés, il y a un lien que tu mets à disposition qui est digetik.fr/cyber Derrière lequel, vous pouvez vous inscrire. si vous le souhaitez, pour pouvoir avoir accès à une démarche de ma part pour pouvoir identifier sur quelques postes de travail au sein de votre entreprise des différentes potentielles failles qu'il peut y avoir. Et avec une possibilité également d'une période d'essai de deux mois qui vous permet de découvrir un outil qui permet justement de combler toutes ces failles invisibles qui peuvent exister sur vos appareils de manière transparente.
Speaker #0
Merci pour eux. Demain, on va changer de prisme pour regarder la sécurité sous forme de levier de compétitivité parce que oui, on n'est pas obligé de traîner des pieds sur les obligations. On peut aussi voir ça d'un oeil positif et de voir les bénéfices que ça peut nous apporter. En attendant, on s'abonne et on ose l'efficacité !

Chapters

Bienvenue dans Oser L'Efficacité - Le Lab'
0sec
Mon invité de la semaine : Michael Tonso, fondateur de CyberSéréno, expert en cybersécurité
20sec
Choisir sa stratégie d'hébergement
34sec
La sûreté du cloud : l'avis de Mchael Tonso
1min
Le stockage de ses données à l'étranger
4min
Se protéger des alertes
7min
Et sur le terrain ?
9min
C'est classe ou ça casse ?
14min
Le conseil prioritaire de Michael pour choisir son prestataire informatique
15min
Le cadeau de Michael Tonso
16min

About Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

💥 Tout est un processus. Chaque processus peut être optimisé.

Mais quand on dirige une PME ou une ETI industrielle, coincé entre l’opérationnel, les urgences du quotidien, et une pile de process qui tiennent avec du scotch… par quoi on commence ?

🎯 Tu cherches des outils simples, des retours d’expérience réels, ou une méthode actionnable pour reprendre le contrôle de tes opérations ? Tu es au bon endroit.

🎙 5 formats d’épisodes, 1 seul objectif : l’action

🧠 L'inspiration:
Des retours d’expérience terrain avec des industriels qui ont osé changer les règles du jeu.

📊 Le lab'
Un expert te livre ses conseils et méthodes sur un process précis.

🆘 Le coup de main
Seule ou avec un invité, on répond à la question d'un auditeur.

🧰 L'efficacité minute
Un outil, un benchmark, une astuce. À écouter entre deux réunions.

📦 Processorama
Des mini-séries thématiques pour creuser un sujet en profondeur.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Oser l'efficacité : Vers la transformation digitale des entreprises industrielles

💥 Tout est un processus. Chaque processus peut être optimisé.

Mais quand on dirige une PME ou une ETI industrielle, coincé entre l’opérationnel, les urgences du quotidien, et une pile de process qui tiennent avec du scotch… par quoi on commence ?

🎯 Tu cherches des outils simples, des retours d’expérience réels, ou une méthode actionnable pour reprendre le contrôle de tes opérations ? Tu es au bon endroit.

🎙 5 formats d’épisodes, 1 seul objectif : l’action

🧠 L'inspiration:
Des retours d’expérience terrain avec des industriels qui ont osé changer les règles du jeu.

📊 Le lab'
Un expert te livre ses conseils et méthodes sur un process précis.

🆘 Le coup de main
Seule ou avec un invité, on répond à la question d'un auditeur.

🧰 L'efficacité minute
Un outil, un benchmark, une astuce. À écouter entre deux réunions.

📦 Processorama
Des mini-séries thématiques pour creuser un sujet en profondeur.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Bienvenue dans Oser L'Efficacité - Le Lab'

0sec

Mon invité de la semaine : Michael Tonso, fondateur de CyberSéréno, expert en cybersécurité

20sec

Choisir sa stratégie d'hébergement

34sec

La sûreté du cloud : l'avis de Mchael Tonso

1min

Le stockage de ses données à l'étranger

4min

Se protéger des alertes

7min

Et sur le terrain ?

9min

C'est classe ou ça casse ?

14min

Le conseil prioritaire de Michael pour choisir son prestataire informatique

15min

Le cadeau de Michael Tonso

16min

Transcription

Speaker #0
Bonjour et bienvenue dans Oser l'Efficacité, le Lab, le format où je reçois un expert pour plonger au cœur de sa thématique et te rendre compte que tu n'es pas seul face à tes incertitudes. Je suis Perinne Thiébaut, j'aide les dirigeants à transformer leur entreprise industrielle et que ça se voit, dans leur processus, dans leurs décisions, dans leur trésorerie, mais aussi à l'extérieur. Cette semaine à mon micro, je reçois Michael Tonso de la société CyberSéréno qui va nous rendre la cybersécurité extrêmement pratique. Un épisode par jour, du lundi au vendredi, n'oublie pas de t'abonner pour ne pas rater les suivants. C'est notre troisième épisode sur le sujet. Si tu as raté les deux premiers, la playlist est juste là. Et aujourd'hui, on parle d'un sujet essentiel chez les PME industrielles que j'accompagne en tout cas, c'est comment choisir son logiciel et surtout sa stratégie d'hébergement. Est-ce qu'un logiciel dans le cloud est forcément une mauvaise décision de sécurité ? Parce qu'aujourd'hui, il y a une défiance forte sur les outils cloud, et par cloud j'entends qui ne sont pas hébergés sur des serveurs qui appartiennent à votre entreprise. Ça fait peur aux dirigeants parce qu'ils ont l'impression de ne pas avoir la maîtrise de la cybersécurité d'outils dont ils ne détiennent pas l'hébergement. Mais très souvent, ce sont ces mêmes entreprises qui ne sont pas équipées en interne pour gérer correctement leur cybersécurité ou protection informatique, comme mon invité préfère l'appeler dans ce cas-là. Et ça pose globalement beaucoup plus de questions en termes de choix d'architecture. Le but de cet épisode, c'est de démystifier tout ça. Michael, est-ce que tu es prêt ? Oui. Et bien c'est parti ! Alors je t'avais déjà un peu cherché sur le sujet dans le premier épisode, mais là on va prendre le temps d'un peu plus approfondir. Est-ce que le cloud c'est forcément moins sûr que le serveur que j'ai dans ma cave ?
Speaker #1
Alors c'est un sujet très sensible sur lequel il y a beaucoup d'avis qui divergent souvent. En expérience, moi ce que j'ai pu constater durant mes missions, c'est qu'il y a autant, voire plus de vulnérabilité lorsque le serveur se trouve à l'intérieur des locaux de l'entreprise. Pourquoi ? En fait, parce que déjà d'une part, les moyens importants du côté matériel en termes de protection, en termes d'outils techniques qui se trouvent au sein des hébergeurs cloud sont sans équivalent et qui sont la grande majorité du temps inabordables pour une entreprise qui souhaite isoler son propre serveur ou qui souhaite isoler sa propre infrastructure chez elle. Donc on n'est vraiment pas sur les mêmes niveaux, sur les mêmes calibres d'équipements de protection d'une part. Ensuite, il y a un côté où un serveur, qu'il soit en cloud ou qu'il soit chez soi, il y a une maintenance qui est nécessaire. Quand je parle de maintenance, c'est qu'il y a un suivi et des mises à jour, que ce soit sur la partie matérielle, sur la partie logicielle, sur les configurations des différents outils qui doivent être effectués. Quand c'est entre le cloud et en local, quand c'est en cloud, il y a une partie de ces opérations-là. qui est à la charge du prestataire. Donc c'est rendu totalement transparent pour l'entreprise. Quand le serveur est à l'intérieur de l'entreprise, c'est une charge qui revient entièrement à l'entreprise ou qui doit déléguer à quelqu'un qui s'y connaît. Mais quoi qu'il en soit, c'est du temps, des coûts, du budget et un suivi vraiment très minutieux qui doit être effectué pour éviter d'exposer sa machine qu'on pense être protégée parce que c'est rassurant d'avoir son serveur à côté. Il peut être plus exposé parce que... s'il n'a pas suivi minutieux de ses mises à jour et de ses configurations. Alors, ce qu'il faut par contre avoir bien conscience, c'est que le cloud, par défaut, il n'a pas que des avantages et ce n'est pas non plus une solution magique sur laquelle il faut forcément se précipiter les yeux fermés. Donc, c'est vraiment un questionnement à avoir à chaque fois. Est-ce pertinent d'avoir des trains cloud ? Est-ce pertinent d'être un local ? Il faut bien tout mesurer par rapport à ce que je viens d'évoquer. Et sur la partie cloud, par défaut, il faut bien avoir conscience qu'il est suffisant il est souvent insuffisamment sécurisé et qui nécessite de mettre en place une stratégie et un bon paramétrage pour être suffisamment, pour avoir une protection qui soit suffisamment robuste. Il y a aussi une autre chose, c'est que le cloud il expose aussi potentiellement à des accès, à des juridictions d'accès aux données qui sont différentes en fonction du continent où on se trouve et où se trouve l'hébergeur des fameuses outils cloud. C'est un point qu'il faut aussi bien Bien comprendre.
Speaker #0
Du coup, tu me fais ma transition avec ma question suivante. Est-ce que stocker ces données aux États-Unis ou en Chine, alors effectivement, ce n'est pas toujours un choix, mais quand on choisit un éditeur de logiciel qui vient d'un de ces pays, souvent les données sont hébergées là-bas. Est-ce que c'est forcément livrer mes données à ces gouvernements ?
Speaker #1
Alors, c'est en tout cas s'exposer clairement à ce que ces gouvernements, ils aient la possibilité de le faire quand ils le souhaitent et sans que vous ne le sachiez forcément. M C'est la juridiction numérique des pays comme les pays qui ont été cités, les États-Unis, la Chine, qui leur permet de potentiellement effectuer cette opération-là. Là où même notre réglementation européenne, notre RGPD, ne suffit pas forcément à l'en empêcher. Bon, après, ce qu'il faut aussi avoir conscience, c'est que c'est moins connu, et puis malheureusement, on risque d'y venir aussi de notre côté en Europe. C'est qu'il y a certains gouvernements en Europe qui travaillent justement à faire passer des nouvelles réglementations qui vont viser justement à leur faciliter l'accès et l'accès à des preuves électroniques sur toutes les données qui sont jurées également au sein de l'Union européenne. On rencontre comme problématique comme situation vis-à-vis des États-Unis, de la Chine, c'est des choses qui malheureusement risquent de plus en plus devenir réalité aussi pour ce qui est hébergé et porté par des entreprises européennes. Ce qu'il faut bien comprendre, c'est que théoriquement, c'est cadré dans un contexte d'enquête. uniquement, exclusivement. C'est-à-dire qu'en fait, il y a des infractions pénales, de la criminalité, etc. Mais bon, c'est quand même un nouveau chemin et des nouvelles potentialités d'accès à des informations qui n'existent pas et qui peuvent peut-être, à l'avenir, devenir de plus en plus présentes.
Speaker #0
Un début, quoi. Une porte ouverte sur la suite.
Speaker #1
Donc, c'est vraiment un élément à prendre en considération dans les données que, potentiellement, on peut ramener à stocker ou à faire transiter par ce type d'outils. Maintenant, il existe aussi quand même des palliatifs. Dans le sens où, même si on peut héberger nos données sur un cloud qui n'est pas en Europe, on peut très bien imaginer aussi de chiffrer l'ensemble de ces données. C'est-à-dire qu'en fait, nous, on les a chiffrées. Il n'y a que nous, théoriquement, qui pouvons déchiffrer ces informations-là. Et les données chiffrées qui se trouvent sur le cloud, en fait, même si quelqu'un met la main dessus, il ne peut pas en faire grand-chose.
Speaker #0
Là, tu parles de stockage que tu maîtrises, mais quand tu passes par un logiciel que tu as choisi qui s'occupe, lui, de ton stockage des données, tu n'as pas forcément le choix de les chiffrer dans ce cas-là.
Speaker #1
Et c'est vrai que quand c'est directement un éditeur ou un outil SaaS que tu utilises, SaaS pour tout le monde, je ne sais pas si tout le monde connaît, c'est Software as a Service, donc on achète finalement le logiciel sous forme de service. Là, oui, c'est directement l'éditeur qui porte cette fonction-là et qui fait ses choix en termes de cloud. Et en effet, on n'a pas directement la main pour pouvoir chiffrer les informations. Sinon, il faudrait que ce soit l'éditeur lui-même qui le porte ou qui mette à disposition de ses propres clients cette possibilité-là. Merci. C'est encore couramment, c'est très peu courant aujourd'hui.
Speaker #0
Pour autant, le déploiement des SaaS, il est partout parce que ça présente ce côté pratique. Finalement, tu as un logiciel qui est clé en main, on s'occupe de ta maintenance. Donc, pour se protéger des alertes que tu viens de donner, est-ce qu'il y a des choses que tu peux faire toi pour ne pas perdre complètement la main ? Enfin, toi, je veux dire, dirigeant d'entreprise qui a choisi un SaaS, comment tu fais pour que ce soit quand même une solution qui est sécurisée ?
Speaker #1
Alors c'est vrai qu'un SaaS a un côté très pratique, comme tu le mentionnes, c'est vrai, c'est indéniable, c'est hyper accessible. Le revers de cette facilité, c'est que les données peuvent vite devenir dépendantes de l'outil souscrit, donc c'est un petit peu ce que tu évoquais également, et de manière très concrète, en fait, ça va être la difficulté par exemple d'exporter les informations qu'on aura mises dans un SaaS en particulier, et la difficulté à les réutiliser dans un autre outil. Donc c'est une notion, ça porte un nom, ça s'appelle l'interopérabilité, Et c'est clairement une pratique qui manque encore trop souvent dans les outils SaaS qui proposent des fonctionnalités similaires. Donc, dit autrement, pour un dirigeant d'entreprise ou pour une entreprise qui a besoin de choisir un SaaS, les quelques petites vérifications, les bonnes questions à se poser au préalable, c'est justement d'explorer ces possibilités d'export qui sont proposées par ces outils et de vérifier que si le SaaS, on a besoin de le faire évoluer ou de le changer à un moment ou à un autre. qu'on puisse justement récupérer les informations et les mettre dans une autre solution. C'est le premier point. Et l'autre point, c'est que parfois, ici, c'est un petit point juridique quand même qu'il faut vérifier. Il y a quelques outils quand même qui s'approprient les données qui sont gérées par leur solution. C'est des pratiques qui peuvent exister. Et c'est important de bien décortiquer leurs conditions pour s'assurer que les données qui sont normalement propres à l'entreprise ne deviennent pas la propriété de l'éditeur du SaaS parce qu'elles sont hébergées chez elle.
Speaker #0
Je voudrais qu'on plonge un peu dans le terrain. et en particulier dans l'usine, où on a un risque de vol de données, d'arrêt de machine par intrusion sur le système informatique industriel, sur le réseau industriel de l'usine. Je pense aujourd'hui en particulier aux solutions de mobilité, ce qui va être scan sur le terrain, ce qui ça aussi a un côté pratique. J'ai ma scanette sur le terrain, je peux faire tout un tas d'actions sans avoir à revenir au bureau sur un poste fixe. Comment est-ce qu'on... n'alimente ses outils en toute sécurité ? Est-ce qu'il faut vraiment s'en priver pour être totalement sécurisé ? On en a déjà un peu parlé dans le premier épisode, on a le Wi-Fi qui peut être une faille. Comment tu abordes ce sujet-là pour profiter des bénéfices de la mobilité sans créer une grosse faille de sécurité finalement ?
Speaker #1
Il faut trouver le bon équilibre dans sa gestion au quotidien. L'idée, ce n'est pas de sécuriser pour empêcher les gens de travailler. Il faut que les gens continuent de travailler, mais dans des conditions de sécurité optimales. J'insiste sur optimale parce que pour moi, la sécurité à 100% n'existe nulle part, que ce soit numérique ou pas d'ailleurs, que ce soit la sécurité routière, la sécurité dans l'habitat. Même si on met en place énormément de choses, on va rendre l'incident ou l'accident beaucoup plus difficile. mais il restera toujours une petite part de risque. Il faut trouver cet équilibre. Pour les salariés en mobilité, déjà la première règle importante sur laquelle il faut essayer de tenir au maximum, c'est de faire en sorte que les salariés n'utilisent que les appareils qui sont mis à disposition de l'entreprise. Pourquoi ? Parce que souvent, c'est les appareils qui font l'objet d'un suivi, d'une maintenance directement par l'entreprise pour s'assurer que justement l'outil de travail permette de... de fonctionner dans de bonnes conditions de sécurité. Ça passe très concrètement par un téléphone pro. Si c'est le cas, s'il y a des besoins aussi, il faut que la tablette soit rattachée à l'entreprise, soit fournie par l'entreprise. Les ordinateurs sont aussi évidemment fournis par l'entreprise, etc. Donc ça, c'est le premier point. Après, il n'est pas forcément suffisant. Par exemple, on peut être râmé que certains salariés, ils aient l'accès à leur messagerie professionnelle depuis leur téléphone personnel. Donc ça, c'est un peu leur côté pratique, mais en termes d'exposition de risque, il est vraiment... Il est assez délicat parce que là, par contre, l'entreprise n'a plus la main sur la manière dont l'appareil personnel du salarié est géré en termes de sécurité. Et dans ces pratiques personnelles liées à l'appareil, en fait, il peut très bien, sans qu'il s'en rende compte, l'utilisateur, déclencher certaines choses, une installation d'une application malveillante, un élément nuisible qui serait installé sur l'appareil, qui du coup va permettre de toucher les données de l'entreprise sans que l'entreprise ne puisse faire grand-chose. C'est pour ces raisons-là, en fait, que la plupart du temps, il faut vraiment essayer de faire en sorte de... que les appareils professionnels qui permettent de faire le travail au quotidien. Et sur ces appareils mis à disposition, on l'a déjà un peu évoqué, l'idée c'est que ça soit géré par l'entreprise, donc tout ce qui est évidemment mis à jour, ça doit être très suivi. Et le fait d'avoir un appareil dédié à l'usage professionnel aussi, ça permet de limiter le nombre d'applications qui peuvent être installées dessus, et donc de limiter l'exposition à certains risques d'applications un peu douteuses, qu'on rencontre de plus en plus souvent malheureusement de nos jours, qui peuvent, à donner accès à certaines données via nos appareils. Donc là on est vraiment dans la partie matérielle. Et après tu évoquais aussi la partie Wi-Fi. C'est vrai que quand on est en mobilité, on a besoin de se connecter à Internet. L'accès au Wi-Fi malheureusement, il est devenu assez pratique, mais ça prospère parce qu'en fait on n'est pas à l'abri quand on utilise un Wi-Fi. qu'il y ait une personne qui soit connectée en même temps que nous sur le même réseau, que ce soit avec de bonnes ou moins bonnes intentions, parce que si c'est une personne qui a de mauvaises intentions, du coup elle va chercher à récupérer, à surveiller un petit peu ce qui se passe sur le réseau, voire à s'introduire sur l'appareil qui est connecté en même temps que lui. Donc comment faire du coup pour avoir accès à Internet en mobilité de la manière la plus sûre possible ? En fait, le seul moyen qui nous reste, c'est le partage de connexion mobile, donc ton fameux partage de connexion 4G, 5G.
Speaker #0
Tu as beaucoup parlé de la mobilité, mais la question que je voulais lever aussi par rapport à ça, c'est le Wi-Fi au sein de l'entreprise, sur les terminaux mobiles, mais vraiment pour aller agir dans l'atelier.
Speaker #1
Oui, et au sein de l'atelier, c'est vrai qu'on peut avoir à disposition des réseaux Wi-Fi. Il faut avoir conscience qu'il y a des risques aussi associés à ça. Toujours pour les mêmes raisons, c'est-à-dire qu'il suffit qu'il y ait un salarié qui soit pro ou perso, parce que parfois il y a quelques appareils perso qui se branchent sur les réseaux Wi-Fi d'entreprise, qui ne devraient pas d'ailleurs, ça ne devrait pas être une pratique autorisée, mais en plus ça existe. Et s'il y a un élément nuisible qui se déclenche depuis un appareil connecté au même réseau Wi-Fi que sur lequel est reliée la machine en atelier, potentiellement cette machine peut être exposée à des risques. Donc il faut vraiment essayer d'isoler, soit avoir un accès Wi-Fi qui soit dédié à que quelques machines. de l'atelier, soit essayer de privilégier plutôt une connexion par câble réseau, en fait. Tant que possible, si on peut s'en passer, c'est mieux.
Speaker #0
Ce que je retiens, c'est que ça limite, c'est pas parfait, mais si t'as un réseau Wi-Fi qui est limité à un certain nombre de machines, au moins la menace s'étend pas ?
Speaker #1
Ça sera plus contenu, oui, mais après, il reste toujours un petit risque. La sécurité à 100% n'existe pas et particulièrement sur cet exemple, il est vrai. Donc on peut rendre la tâche beaucoup plus difficile à un pirate, clairement. en mettant en place une bonne configuration wifi mais il restera toujours une petite part où un pirate qui voudra vraiment s'introduire sur le réseau il faudra qu'il soit motivé, qu'il lui passe du temps, etc. mais il pourrait continuer de le faire, tout comme d'ailleurs dans l'habitation on a beau avoir des systèmes de protection très renforcés fermeture 5 points, système d'alarme, vidéosurveillance, etc. si il y a un voleur qui veut vraiment rentrer dans la maison On trouvera un moyen de le faire.
Speaker #0
Ça marche, je crois qu'on y voit déjà beaucoup plus clair sur le sujet. C'est pas très rassurant, mais au moins, on a des clés. Maintenant, je vais te proposer des situations. Tu me dis si c'est classe, il faut absolument faire ça. Ou si ça casse, pitié, arrêtez ça tout de suite. Ça se passe dans la séquence, c'est classe ou ça casse. Alors, première situation, avoir sa sauvegarde de données sur un disque dur posé à côté de son PC.
Speaker #1
Alors, c'est mieux que rien, mais pour moi, ça casse.
Speaker #0
Ne faire appel qu'à des prestataires certifiés ISO 27001.
Speaker #1
Alors ça c'est classe, sauf que dans la réalité, dans la vraie vie, tous les prestataires ne sont pas forcément certifiés ISO 27001. Et même d'ailleurs, il y a des prestataires qui n'ont pas forcément la certification et s'ils sont bien choisis, bien sélectionnés sur d'autres critères, ils peuvent tout à fait faire du bon boulot. Donc ça pourrait être aussi du sacasse.
Speaker #0
Laissez son fournisseur ERP héberger les données sur ses serveurs sans poser de questions.
Speaker #1
Pour moi, ça casse.
Speaker #0
Faire auditer son prestataire une fois par an.
Speaker #1
Ça c'est classe.
Speaker #0
Ignorez les mises à jour parce que tout marche bien. Priorité à la prod, on n'arrête pas le système tant que ça roule.
Speaker #1
Ouais, ça casse.
Speaker #0
Qu'est-ce que tu conseillerais de regarder en priorité pour choisir un prestataire de service informatique ? Une chose rapide pour bien choisir.
Speaker #1
Alors c'est de leur demander justement sur quelle partie informatique ils se déclarent peut-être un petit peu moins bons en termes de sécurisation. Et s'ils répondent qu'ils n'ont pas, qu'ils n'ont rien, c'est presque louche. Parce qu'en fait, c'est compliqué de prétendre aujourd'hui être bon sur 100% de la partie informatique. Et donc, du coup, c'est voir aussi leur réaction. Si l'entreprise les apprend, on dit « Ok, d'accord, on veut travailler avec vous. Par contre, sachez qu'on va travailler avec un spécialiste sécurité pour nous aider ensemble à construire des améliorations, etc. » Donc, s'il commence un petit peu à douter de lui ou à se sentir un peu mal, ce n'est pas forcément non plus très bon signe.
Speaker #0
J'aime beaucoup la première, de se dire « Admettez pour moi vos défauts, vos failles, et puis je vois si c'est acceptable pour moi. » Ça va très bien dans ta démarche de dire que la sécurité à 100% n'existe pas. Donc, autant voir si on est prêt à accepter.
Speaker #1
Absolument.
Speaker #0
Très bon conseil. Je trouve qu'on y voit déjà beaucoup plus clair sur les stratégies de choix logiciels et d'hébergement, même si on reconnaît que ce n'est pas simple et que se faire accompagner pour bien choisir, ça me semble essentiel. On va clore là-dessus cet épisode. Je crois que tu as un cadeau pour nos auditeurs.
Speaker #1
Oui, pour celles et ceux qui sont intéressés, il y a un lien que tu mets à disposition qui est digetik.fr/cyber Derrière lequel, vous pouvez vous inscrire. si vous le souhaitez, pour pouvoir avoir accès à une démarche de ma part pour pouvoir identifier sur quelques postes de travail au sein de votre entreprise des différentes potentielles failles qu'il peut y avoir. Et avec une possibilité également d'une période d'essai de deux mois qui vous permet de découvrir un outil qui permet justement de combler toutes ces failles invisibles qui peuvent exister sur vos appareils de manière transparente.
Speaker #0
Merci pour eux. Demain, on va changer de prisme pour regarder la sécurité sous forme de levier de compétitivité parce que oui, on n'est pas obligé de traîner des pieds sur les obligations. On peut aussi voir ça d'un oeil positif et de voir les bénéfices que ça peut nous apporter. En attendant, on s'abonne et on ose l'efficacité !

Chapters

Bienvenue dans Oser L'Efficacité - Le Lab'

0sec

Mon invité de la semaine : Michael Tonso, fondateur de CyberSéréno, expert en cybersécurité

20sec

Choisir sa stratégie d'hébergement

34sec

La sûreté du cloud : l'avis de Mchael Tonso

1min

Le stockage de ses données à l'étranger

4min

Se protéger des alertes

7min

Et sur le terrain ?

9min

C'est classe ou ça casse ?

14min

Le conseil prioritaire de Michael pour choisir son prestataire informatique

15min

Le cadeau de Michael Tonso

16min