Charte de confiance :Siemens, NXP, Partners' Growing Alliance

Vivons-nous dans une ère post-confiance ?

Shiv Singh et Rohini Luthra, Ph.D. argumentent autant dans un livre intitulé "Savvy:Navigating Fake Companies, Fake Leaders and Fake News in the Post-Trust Era". « Nous vivons une perte de confiance massive dans les institutions qui gouvernent les sociétés. Nous sommes dans une crise de confiance », écrivent-ils.

Dans ce contexte se trouve un monde dans lequel les crises de cybersécurité sont devenues ordinaires. La violation de données d'Equifax a touché près de 150 millions d'Américains. Le ransomware WannaCry de 2017 a saboté le National Health Service du Royaume-Uni. Toujours à partir de 2017, NotPetya a causé des centaines de millions de dollars de dommages et intérêts à une compagnie maritime mondiale. Les 3 milliards d'utilisateurs de Yahoo ont été touchés par une violation en 2013. Pour certaines entreprises, le coût d'une cyber-violation peut être énorme. Selon une estimation de McAfee en 2018, le bilan financier de la cybercriminalité à l'échelle internationale est de l'ordre de 600 milliards de dollars par an.

Malgré un tel chaos, la majeure partie de la société continue de faire confiance à l'infrastructure sous-jacente qui aide à stimuler l'économie moderne et la vie telle que nous la connaissons. Mais que se passerait-il, disons, si des cyber-terroristes étaient capables de couper l'électricité d'une métropole pendant des jours entiers dans la chaleur de l'été ou pendant une tempête hivernale ? Ou si les pirates informatiques causaient une multitude d'accidents, par exemple en exploitant des véhicules autonomes ou semi-autonomes ou en prenant le contrôle de systèmes de contrôle industriels ? Bien qu'il soit impossible de prédire à quoi ressembleront les futures cyberattaques, le brouillage des frontières entre le numérique et le physique ouvre la voie à de nouvelles possibilités d'attaque.

Les technologies émergentes telles que l'IoT et les cadres larges tels que la transformation numérique contribuent à créer une surface d'attaque croissante pour les acteurs de la menace à cibler. En fin de compte, la technologie numérique promet de changer fondamentalement chaque industrie, qu'il s'agisse de la fabrication de processus et discrète, des soins de santé, des infrastructures critiques ou du créneau de l'électronique grand public. « Les technologies émergentes, de la périphérie et du cloud à la connectivité, en passant par l'apprentissage automatique et les transducteurs intelligents, sont à l'origine de la transformation numérique de la société », a déclaré Fari Assaderaghi, vice-président senior, innovation et technologies avancées chez NXP lors de la table ronde « De la demande à Design:How Digital Security is Transforming the Industrial World » qui s'est tenu le mois dernier à NXP Connects Silicon Valley.

Il y a un besoin croissant pour « une nouvelle approche de la sécurité et de la sûreté numériques », comme l'a déclaré Leo Simonovich, vice-président et responsable mondial de la cybersécurité industrielle et de la sécurité numérique chez Siemens en mai. Dans un monde où tout, des voitures aux machines industrielles en passant par les appareils médicaux et le réseau électrique, est informatisé et mis en réseau, les cyberattaques pourraient menacer notre sécurité ainsi que nos données. Le réseau électrique, les installations industrielles et les infrastructures critiques sont tous vulnérables au cyber-sabotage. Par exemple, une étude du Ponemon Institute de 2017 sur l'industrie pétrolière et gazière américaine a révélé que plus des deux tiers des personnes interrogées avaient eu au moins un compromis de sécurité au cours de l'année précédente.

Et pourtant, malgré l'attention généralisée que suscite la cybersécurité dans les médias, de nombreuses organisations restent largement indifférentes. "Pour de nombreux acteurs de l'industrie aujourd'hui, la sécurité est une chose relativement nouvelle à laquelle penser", a déclaré Svend Buhl, directeur des communications chez NXP. "Et pourtant, il y a un changement fondamental à travers l'IoT, qui a changé la conscience des gens de la sécurité, et la façon dont l'industrie gère la sécurité."

À titre d'exemple :en 2018, Siemens et huit partenaires, dont NXP, ont annoncé leur participation à une initiative connue sous le nom de Charte de confiance, qui fournit un ensemble de principes communs conçus pour réduire le cyber-risque de manière générale. En référence à la question posée au début de cet article, la Charte de confiance entend préserver la confiance alors que les organisations de tous bords poursuivent des initiatives de transformation numérique.

Depuis sa ratification, la Charte continue de s'étendre. Comptant désormais 16 membres, Mitsubishi Heavy Industries a annoncé son intention de devenir le premier membre asiatique plus tard cette année. Parmi les autres organisations qui ont signé la Charte figurent :Airbus, Allianz, Cisco, Daimler, Dell Technologies et IBM.

L'un des premiers domaines d'intérêt du consortium est le Principe 2 :« Responsabilité tout au long de la chaîne d'approvisionnement numérique ».

« Tous les membres ont convenu de se concentrer sur cela. L'idée ici, bien sûr, est que si nous nous concentrons tous sur ce domaine, cela aide à réduire considérablement la surface d'attaque que certains acteurs de la menace peuvent utiliser », a déclaré Kurt John, responsable américain de la sécurité de l'information chez Siemens. « En ce qui concerne le deuxième principe, Siemens a identifié les 300 principaux fournisseurs dans le monde et nous travaillons avec eux pour nous assurer qu'ils mettent en œuvre la cybersécurité par défaut. »

Dans le cas de NXP, mettre en œuvre la cybersécurité par défaut signifie tirer parti de son expérience en matière de sécurisation des passeports électroniques et des applications bancaires. "Dans notre portefeuille de produits plus large, nous avons repris la pensée que nous utilisions pour sécuriser les passeports ou les applications bancaires, et l'avons transférée à différentes industries et secteurs verticaux", a déclaré Buhl. « Lorsque nous construisons des architectures de solutions de puces, nous commençons par penser, d'abord et avant tout, du point de vue non seulement de la fonctionnalité ou de l'efficacité énergétique, mais également de la sécurité. »

L'un des principaux objectifs de la Charte de confiance est d'aider une entreprise comme NXP à partager son expertise en matière de sécurité matérielle avec d'autres membres du consortium, tout en apprenant des autres membres. L'intérêt croissant pour l'informatique de périphérie rend le matériel plus important, a déclaré Buhl, car «les appareils de périphérie eux-mêmes deviennent la première ligne de défense contre les cyberattaques. « De nombreuses données sont désormais stockées à la périphérie, ce qui fait des périphériques de périphérie des cibles précieuses pour les attaquants », a-t-il expliqué.

L'Edge computing est l'une des facettes de la charte de confiance. L'idée derrière le consortium n'est pas seulement de permettre aux membres de partager les meilleures pratiques, mais d'être en mesure d'identifier une manière commune de parler de cybersécurité. "Nous parlons la même langue, nous nous concentrons sur les mêmes choses", a déclaré John. « Nous pouvons échanger des histoires parce que nos efforts sont conjointement alignés dans la même direction. »

En fin de compte, l'une des dimensions les plus importantes de la Charte de confiance est son lien avec la société. "Ces 10 principes que tous ceux qui ont signé cette charte de confiance ont accepté nous donnent tous des principes directeurs afin que nous sachions tous que les produits, services et solutions que nous proposons à la société répondent à une certaine norme", a déclaré John.