Cybersécurité industrielle : par où commencer ? | Oser l'efficacité - Les stratégies de ceux qui font l’industrie

Description

🎧 Cybersécurité industrielle : par où commencer ?

🔐 Série – Cybersécurité industrielle : protéger sans freiner l’activité

La cyber sécurité des PMI est-elle une contrainte technique ou un levier de compétitivité industrielle ?

Pour répondre à cette question, j’accueille Michael Tonso, fondateur de CyberSéréno, expert en cybersécurité.

Dans cette série spéciale d’Oser l’Efficacité, on démonte les idées reçues autour de la cybersécurité en industrie :

Le facteur humain est-il vraiment le maillon faible ?
Le cloud est-il si dangereux qu’on le dit ?
Peut-on protéger son activité sans la ralentir ?
La sécurité est-elle un coût ou une assurance survie

Face à l’augmentation du risque informatique, aux exigences des grands donneurs d’ordre et aux nouvelles réglementations (NIS2), la cyber sécurité des PMI devient un droit d’entrée et un droit de rester dans la chaîne d’approvisionnement industrielle.

Objectif de cette série : rendre la cybersécurité industrielle concrète, pragmatique et actionnable pour les dirigeants de PMI qui veulent protéger leur entreprise sans tomber dans le jargon technique ni dans l’alarmisme.

🎙️ Épisode 5 – Le plan d’action pour sécuriser une PMI

Dans ce dernier épisode avec Michael Tonso, fondateur de CyberSéréno, on parle de cybersécurité industrielle concrète et actionnable.

Face au risque informatique, beaucoup de dirigeants pensent qu’il faut des budgets énormes ou une équipe dédiée. En réalité, la cybersécurité des PMI commence souvent par quelques décisions simples et structurantes.

Au programme :

Les 3 premières questions à se poser pour évaluer son niveau de cybersécurité
Les gestes de base et les protections les plus efficaces qui réduisent immédiatement le risque informatique
Les erreurs les plus fréquentes dans les entreprises industrielles
Comment construire une démarche progressive de cybersécurité

Michael partage aussi ses hacks préférés pour simplifier la cybersécurité au quotidien.

La cybersécurité industrielle n’est pas un projet ponctuel. C’est une discipline continue qui protège la production, les données et la continuité d’activité. Et surtout : mieux vaut anticiper les failles que les découvrir après une attaque.

👉 Passe à l’action :

🎁 Le cadeau de Michael : http://digetik.fr/cyber

🌐 Contacter Michael (CyberSéréno) :
https://www.cybersereno.fr/
https://www.linkedin.com/in/michaeltonso/

📅 Réserve ton rendez-vous stratégique : http://digetik.fr/rdv

📰 Abonne-toi à la newsletter : http://www.digetik.fr/news

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour et bienvenue dans Oser l'Efficacité, le Lab, le format où j'invite un expert pour plonger au cœur de sa thématique et te rendre compte que tu n'es pas seul face à tes incertitudes. Je suis Perrine Thiébaut, j'aide les dirigeants industriels à transformer leur boîte et que ça se voit dans leur processus, dans leurs décisions, dans leur trésorerie et même à l'extérieur. Aujourd'hui à mon micro, j'accueille Michael Tonso de la société CyberSéréno pour parler de cybersécurité de manière extrêmement pratique. Un épisode par jour du lundi au vendredi. N'oublie pas de t'abonner pour ne pas rater les autres. C'est déjà notre cinquième et dernier épisode sur le sujet. Si tu as raté les autres, la playlist est juste ici. Et aujourd'hui, on va parler de plans d'action, on va parler de cybersécurité actionnable au quotidien. Et ça commence tout de suite par la rubrique cheat code où je compte sur Michael pour nous donner tous ses conseils actionnables dès demain. Alors Michael, première question aujourd'hui. Quand tu arrives dans une PMI, quelles sont les trois premières choses que tu vérifies, les trois premières questions que tu poses ?
Speaker #1
Parmi les premières questions, ce qui est déjà super important, c'est d'identifier quels sont tous les équipements informatiques qui sont en tête dans l'entreprise. Alors ça paraît d'ailleurs anodin comme question parce qu'on pense tout savoir, mais souvent il y a des éléments qui ne sont pas forcément toujours très connus ou qui sont oubliés. Donc par là, c'est bien de tenir à jour un inventaire, par exemple des ordinateurs, des téléphones, des équipements réseau, etc. Ensuite, c'est qui dispose des droits d'accès les plus importants dans l'entreprise. Par ordre d'accès, j'entends évidemment les fameux droits d'administrateur informatique, etc. Après, est-ce que ces droits-là sont confiés, sont équitablement ou judicieusement répartis ? Voilà, c'est la partie des premiers questionnements. Et enfin, parmi les trois, c'est loin d'être exhaustif, mais disons que s'il y en avait un troisième, ce serait quels sont les paramètres de configuration et quel est l'état de mise à jour de vos appareils. Ça peut se vérifier très rapidement en se connectant sur certains d'entre eux pour voir ce qu'il y en a.
Speaker #0
On a... Trois choses déjà que les dirigeants peuvent préparer avant de faire appel à toi pour être prêt et pour faire bonne impression au premier rendez-vous. On peut se dire ça ?
Speaker #1
En quelque sorte, oui. Mais j'ai d'autres petites questions sous le coude. Et on avance de manière constructive. Non, je ne veux pas les piéger, mais je veux les titiller.
Speaker #0
Oui, c'est le but. Quels sont les cinq gestes de base que toutes les entreprises devraient mettre en place à tout prix ?
Speaker #1
Alors, cinq gestes de base. Encore une fois, ça ne sera pas exhaustif. Le premier, ça sera...
Speaker #0
Il faut bien commencer quelque part, quoi.
Speaker #1
Voilà, il faut bien commencer quelque part. Et en premier lieu, ce qui est couramment efficace, c'est d'activer l'authentification double facteur. Partout, sur le maximum de services où c'est possible. Et en particulier, en priorité, sur les accès email. Alors, toutes les messageries ne permettent pas, mais lorsque c'est disponible, c'est hyper important de l'activer là-dessus. Donc accès email, données cloud, les réseaux sociaux aussi, pour ceux qui sont présents sur les réseaux, etc. Deuxième geste, ça serait de déployer le fameux gestionnaire de mots de passe, n'est-ce pas ? Mais un mot de passe... robuste, un gestionnaire robuste, pour justement arrêter qu'ils salariaient et qu'ils utilisent des mots de passe trop simples, majuscules au début, un mot, l'année ou son année de naissance, un petit caractère spécial à la fin. Enfin voilà, on a tous un peu des mots de passe qu'on construit un peu comme ça, donc ça il faut les éliminer.
Speaker #0
Gestionnaire de mot de passe cloud ou sur le PC directement ?
Speaker #1
C'est une bonne question, mais je n'ai pas de position ferme sur le sujet, ça va surtout dépendre des usages finalement. Parce que les deux ne permettront pas de faire les mêmes choses. La plupart du temps, quand même, et ça, c'est plus les entreprises qui font le choix en fonction justement de leur meilleure visibilité. Mais la plupart des entreprises, finalement, finissent par retenir la solution cloud. Mais par contre, il faut que ce soit une solution cloud sérieuse, très sérieuse. Après, c'est nos fameuses mises à jour, on les a évoquées. hyper important et en fait on ne se doute pas mais parce que évidemment le système surtout sur le poste de travail qu'on utilise au quotidien quand il a une mise à jour Windows il nous le dit ça y'a pas de problème et généralement si c'est bien suivi ça se fait tout seul y'a pas rien besoin de faire de plus. Là où c'est plus le piège c'est sur toutes les applications qui sont installées sur nos ordinateurs, on utilise aussi des solutions des ERP, des fois il y a des mises à jour qui doivent être déployées c'est Voilà, c'est d'être clair avec tout ça. Et en tout cas, sur une partie, notamment sur les applications qui sont sur les postes de travail, c'est très facile d'avoir des applications où il y a des mises à jour, mais où on ne le sait pas. Parce que l'application ne nous le dit pas. On n'est pas notifié, etc. Mais par contre, il peut y avoir des correctifs disponibles qui ont corrigé les choses, qui améliorent la sécurité, mais du coup, dont l'utilisateur ne profite pas juste parce qu'il ne sait pas qu'il y a une mise à jour à faire. Donc ça, c'est un peu le piège. Et voilà, il y a des outils qui existent pour pouvoir... pour pouvoir améliorer ça, mais c'est important d'avoir une démarche vraiment fiable là-dessus pour vraiment éliminer toutes les failles qui peuvent venir des applications. Après, il y a un autre élément clé, évidemment, dont on n'a pas spécialement beaucoup parlé à travers les épisodes, d'ailleurs, c'est la sauvegarde de données. C'est le dernier recours en cas de s'il arrive le pire. Donc c'est hyper important d'avoir une sauvegarde qui soit fiable. Et pour qu'elle soit fiable au jour d'aujourd'hui, il faut qu'elle soit déconnectée et qu'elle le fasse sur des données ce qu'on appelle immuables. Immuables, ça veut dire que même si quelqu'un accède à l'élément qui fait la sauvegarde, l'intrus ne pourra pas détruire les données qui se trouvent dessus. Et ça, c'est hyper important parce qu'en fait, dans de plus en plus de malveillance, on pense disposer d'une sauvegarde, on se dit c'est bon, j'ai une sauvegarde, mais en fait, dans le cadre du piratage... Le pirate va parfois jusqu'à nuire et à aller détruire les sauvegardes. Et s'il va jusque là, ce n'est pas cool. Et ensuite, le dernier coco, c'est de séparer du mieux possible tout ce qui est usage pro et tout ce qui est usage perso à travers nos appareils. C'est pour éviter qu'il y ait des expositions sur des données professionnelles, par exemple, qui viendraient à partir d'applications de divertissement personnel.
Speaker #0
Quand on n'a ni budget, ni responsable de la sécurité des services informatiques, On commence par quoi ?
Speaker #1
Quand c'est le cas, c'est bien de réévaluer ses priorités et de peser le pour et le contre financièrement par rapport au risque. Donc on se dit, ouais, j'ai pas le budget pour ça, ok d'accord, mais est-ce que t'as le budget pour payer les conséquences d'une cyberattaque ? Et parfois, il y a quelques petites mesures simples, c'est-à-dire qu'en fait, le but, c'est de fonctionner par étapes et sur une démarche proactive qui peut être assez rapide. Ça m'arrive de faire des audits en deux jours. ou qui permet déjà à l'entreprise d'avoir une vue complète sur ses risques et avec une feuille de route sur des éléments actionnables qu'elle peut effectuer dans le temps en fonction de ce qu'elle estime important ou qu'elle peut prioriser en tout cas. Donc c'est de reconsidérer vraiment le risque et de reconsidérer ses priorités.
Speaker #0
Justement, quand on parle de plan d'action, est-ce qu'il y a des erreurs récurrentes, une erreur que tu vois le plus souvent ?
Speaker #1
Je vois beaucoup de choses. Souvent, ce qui revient souvent. C'est des accès distants qui sont trop largement ouverts en fait. Par facilité, on a tendance à ouvrir un accès parce qu'on en a besoin un jour, parfois peut-être un peu plus longtemps, et puis on oublie que c'est ouvert. Et puis quand on a eu besoin de l'ouvrir, on n'a pas voulu trop s'embêter parce qu'on veut que ça marche tout de suite, on n'a pas de temps à perdre avec notre interlocuteur, il faut que l'échange se fasse. Donc on a tendance à ouvrir quelque chose qui est un peu trop large. et dans lequel il peut y avoir potentiellement des pirates qui peuvent venir s'engouffrer derrière. Si je prends un exemple aussi tout bête, qui arrive assez régulièrement dans le contexte d'entreprises industrielles, ce ne sera pas forcément le cas sur tous les postes, mais souvent il y a des outils d'accès à distance qui sont mis en place. C'est une facilité qui est clairement très pratique, donc là-dessus il n'y a pas de soucis. Par contre, ce qu'on a tendance à oublier, c'est que quand on crée ce genre de lien, ok on depuis le poste à l'intérieur de l'entreprise, on peut accéder à distance à un autre appareil qui se trouve chez un partenaire par exemple. Mais le fait d'utiliser cette application, ça ouvre par défaut la possibilité aussi à quelqu'un d'extérieur de pouvoir rentrer et d'avoir un accès à distance sur votre propre machine. Donc tout ça, par défaut, ce n'est pas forcément toujours pleinement sécurisé. Et c'est bien de verrouiller certains paramètres pour justement l'empêcher, surtout quand il n'y a pas le contexte. Il n'y aura peut-être jamais de circonstances où quelqu'un d'extérieur aura besoin de se connecter sur un poste à l'intérieur. Donc autant le bloquer si nécessaire, alors que par défaut, il peut être ouvert.
Speaker #0
Ça marche. C'est quoi ton hack préféré à toi ? C'est clairement du jugement personnel, mais pour rendre la sécurité plus simple et fluide au quotidien.
Speaker #1
Alors, hack, je ne sais pas, j'en aurais peut-être deux, en fait, et pas seulement un. Le premier, ça serait plus un hack organisationnel. Donc c'est de déployer un outil qu'on appelle dans notre domaine un peu un outil de... patch management. Alors derrière ce terme-là, c'est tout simplement un outil qui va permettre de faire les mises à jour à votre place sans vous en rendre compte. Donc en fait, il n'y a même plus besoin de visualiser les notifications qui vont s'afficher sur l'ordinateur. Et pour les applications qui ne notifient même pas, c'est pareil, c'est des applications qui vont se mettre à jour toutes seules, sans que ça ne crée d'incidence sur l'utilisation de l'appareil par le salarié. C'est ça qui est aussi important, c'est que ça ne va pas l'obliger à attendre quelque chose ou l'interrompre. dans un sujet qu'il est en train de traiter en pleine réunion. Le deuxième hack, c'est d'utiliser ce qu'on appelle la clé de sécurité USB, alors ça s'appelle aussi des passkey. Donc ça c'est un hack que j'aime bien et que mes clients aiment bien aussi, parce que plutôt que de taper un mot de passe compliqué, puis d'attendre un code qu'on reçoit soit par SMS, soit qu'il faut aller voir sur une application mobile, qu'il faut recopier, qu'il faut... En fait, à la place de tout ça, il suffit de brancher une petite clé USB qui est spécialisée. Il suffit de la relier sur l'ordinateur ou de la faire fonctionner en sans contact sur un téléphone mobile, s'il y a accès à son téléphone. Et l'association de la clé avec l'accès en question permet directement d'accéder aux éléments qui se trouvent derrière. Donc en fait, c'est un côté qui joue vraiment sur la fluidité au quotidien, parce que c'est facile, c'est rapide, c'est même plus rapide que de saisir un mot de passe, tout en étant plus sécurisé, parce qu'aujourd'hui, ce moyen-là est reconnu comme étant le plus sûr en termes d'identification.
Speaker #0
Merci encore pour tous ces conseils. On arrive à la fin de la série. Il ne me reste plus qu'à te poser mes questions signatures. Alors, si tu pouvais donner un conseil à ton toi en début de carrière, ce serait lequel ?
Speaker #1
Ça serait de suivre davantage mon intuition et de travailler avec des entités et des personnes qui partagent les mêmes valeurs que moi.
Speaker #0
Tu t'es fait avoir ? Un peu ?
Speaker #1
J'ai eu quelques petites déceptions. Mais après, on apprend aussi et on se forge par l'expérience.
Speaker #0
C'est quoi d'ailleurs tes valeurs ?
Speaker #1
Alors, mes valeurs, c'est l'écoute, la proactivité... La détermination, le respect aussi dans les échanges et dans la relation professionnelle. Et puis, évidemment, c'est la fiabilité.
Speaker #0
Voilà, comme ça, si les gens se reconnaissent, ça peut aider.
Speaker #1
Absolument.
Speaker #0
C'est quoi ton pire souvenir numérique ?
Speaker #1
Alors, ça date maintenant un petit peu, mais quoi que pas tant que ça. C'est ma première perte de données personnelles. Et j'étais adolescent à l'époque. Donc, c'était dur.
Speaker #0
Qu'est-ce qui s'est mal passé ? Tu peux en parler ou pas ?
Speaker #1
Je peux en parler, oui. En fait, c'est des choses qui peuvent arriver à tout le monde. Ça m'est arrivé aussi moi à l'époque et ça sert de leçon. J'avais quelques données qui étaient sur un disque dur d'un certain âge, qui n'était pas forcément non plus très ancien pourtant. Il se trouve que ce disque, malheureusement, il a rendu l'âme. Et mes données, elles ne se trouvaient que là-dessus. Et malgré la tentative de n'importe quel outil de récupération, je ne suis pas parvenu à récupérer ce qu'il y avait dessus. Et du coup, j'ai perdu une partie de mes données.
Speaker #0
Ça a fait naître une vocation ?
Speaker #1
Possiblement, en tout cas c'est à cette époque-là que j'ai toujours été passionné par l'informatique et c'était sur mes premières années où je me suis fait la main par cet outil qui m'a fasciné et avec lequel j'ai en effet mon métier.
Speaker #0
Ok, super. Ça fait une belle origin story. On n'en a pas parlé dans le premier épisode, mais c'est pas mal comme naissance du super pouvoir. même s'il n'y en a pas.
Speaker #1
C'est vrai.
Speaker #0
En général, je demande à mes invités ce qu'ils feraient s'ils étaient ministres de l'industrie, mais pour toi, je vais être un peu plus spécifique du coup. Est-ce que tu mettrais une mesure en lien avec la cybersécurité, la protection informatique dans la feuille de route du ministère ?
Speaker #1
En général, je reste assez mitigé et sceptique sur la pertinence d'une énième mesure administrative sur ce type de... sur le domaine. Mais je crois beaucoup plus en fait au... au bon sens et au réalisme des mesures que chaque entreprise peut décider de mettre en place ou pas de son côté. Donc vraiment plus de ce côté-là. Mais s'il devait y avoir un sujet avec une feuille de route de ministère, pour moi qui pourrait aider à la cyber, ça serait peut-être de construire quelque chose d'assez simple pour évaluer une sorte de cyber score pour les PME, PMI, pour essayer d'évaluer un petit peu là où chacun en est par rapport à ce sujet-là. Ce serait un petit peu similaire finalement à ce qui existe dans le domaine alimentaire, par exemple le nutriscore, on peut très bien imaginer des lettres, telle classe, ça veut dire qu'il y a telle conformité, il y a telle pratique qui est en place, etc. Donc, c'est très intéressant. Et à terme, on pourrait peut-être même imaginer se baser là-dessus pour pouvoir être plus vertueux, c'est-à-dire que pour les entreprises qui jouent le jeu et qui du coup ont les meilleurs scores, de leur... de leur donner accès à certaines aides spécifiques parce qu'elles ont fait un effort, donc certaines aides pour les aider, donc quoi qu'il y ait du donnant-donnant des deux côtés, tout est possible.
Speaker #0
Ok, je note l'idée. On peut faire une petite lettre pour poster ça.
Speaker #1
C'est pour bientôt.
Speaker #0
On va écrire à Sébastien Martin, on va lui proposer ça. C'est quoi pour toi, oser l'efficacité ?
Speaker #1
Pour moi, c'est un appel inspirant à améliorer ses pratiques, à gagner du temps. Et en fait, tu vas faire mieux, mais avec moi, finalement.
Speaker #0
Ok, je prends la définition. J'aime bien avoir l'avis de mes invités sur le sujet. Tu as un cadeau pour nos éditeurs, je crois.
Speaker #1
Oui, il y a un lien qui est mis à disposition. Donc, c'est digitik.fr/cyber, derrière lequel, vous pouvez vous inscrire. Et ça vous permettra d'avoir accès à une petite mission de ma part qui est offerte pour mettre en évidence quelques failles de sécurité sur certains de vos ordinateurs, par exemple. et avec potentiellement, en fonction de ce qu'il y a découvert, une période d'essai de deux mois sur un outil qui permet d'éliminer ces failles et de traiter les mises à jour, même celles dont vous ne soupçonnez même pas l'existence, que les mises à jour soient faites. de mettre la transparente et de manière efficace sur vos appareils.
Speaker #0
L'outil de patch management dont tu nous parlais tout à l'heure, du coup.
Speaker #1
C'est effectivement ça, oui, tout à fait. C'est un outil de patch management.
Speaker #0
Super. Si on veut travailler avec toi, si on veut te contacter, c'est quoi le moyen le plus simple ?
Speaker #1
Alors, le moyen le plus simple, moi, je suis disponible, j'ai un site web, cybersereno.fr. Je suis aussi assez présent sur LinkedIn. N'hésitez pas à venir consulter mon profil, même si je publie un tout petit peu moins ces temps-ci, mais ça reviendra, j'ai quelques idées en tête, il faut juste que je prenne le temps de les... de communiquer dessus. Je réponds en tout cas de manière assez active à travers LinkedIn.
Speaker #0
Parfait. Merci pour eux. Merci pour toutes ces coordonnées. Pour mes auditeurs, pour le cadeau que tu leur fais. S'il n'y avait qu'une seule chose à retenir de cette série, ce serait quoi ?
Speaker #1
Ce serait de rester humble, comme vous l'avez compris, face aux menaces. Et le mot-clé que j'affectionne particulièrement, c'est de anticiper. Donc c'est anticiper le renforcement de sa sécurité dans l'entreprise. Trop d'entreprises se rendent compte de leurs failles une fois qu'elles ont été, une fois que le mal est fait. Donc en anticipant, on peut quand même mettre en place des choses qui vont éviter le pire.
Speaker #0
Eh bien super, c'est tout pour cette série. On se retrouve nous la semaine prochaine pour toujours plus de contenu industriel et efficace. En attendant, on s'abonne et on ose l'efficacité.
Speaker #1
Merci.

Chapters

Bienvenue dans Oser l'Efficacité - Le Lab'
0sec
Mon invité de la semaine : Michael Tonso, fondateur de CyberSéréno, expert en cybersécurité
19sec
Cheat Code - Plan d'action
35sec
5 gestes de base à déployer
2min
Par quoi commencer ?
5min
Les erreurs récurrentes
6min
Les hacks préférés de Michael Tonso
8min
Questions Signatures
10min
Le cadeau de Michael
14min
Comment contacter Michael Tonso
15min
LA chose à retenir
15min

About Oser l'efficacité - Les stratégies de ceux qui font l’industrie

Oser l’efficacité est le podcast qui explore les stratégies de ceux qui font l’industrie.

Chaque semaine, nous décryptons :

• les décisions qui ont changé la trajectoire d’une entreprise
• les idées brillantes et celles qui se sont crashées
• les méthodes qui permettent de passer à l’échelle
• les galères qui deviennent des leçons pour toute une industrie

L’objectif ?

Comprendre ce qui fait vraiment la différence entre les entreprises qui stagnent et celles qui deviennent des références.

Seule ou avec mes invités, je décrypte les parcours, les histoires et les stratégies industrielles.

Et surtout, je t’explique comment te réapproprier ton histoire et transformer ton expertise en média d’autorité.

Parce que dans beaucoup d’entreprises industrielles, les commerciaux passent leur temps à expliquer la valeur de la solution à des prospects qui ne comprennent pas encore vraiment le problème.

Alors que les entreprises les plus visibles font l’inverse :

👉 elles utilisent leur expertise et leurs valeurs pour attirer naturellement les bons prospects.

Je suis Perrine Thiébaut, ingénieure et architecte d’autorité industrielle.

J’aide les entreprises à transformer leur expertise technique en opportunités commerciales grâce à un média d’autorité.

Parce que l’expertise mérite d’être visible, comprise et amplifiée.

🎧 Un nouvel épisode chaque semaine.

📬 Envie d’aller plus loin ?
Découvre “Oser l’efficacité – la news”, notre newsletter hebdomadaire pour prolonger l’expérience : ce qu'il faut retenir de l'épisode et la méthode à appliquer chez toi.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.