Un petit fabricant résout le casse-tête de la cybersécurité

Cet article a été initialement publié sur Industry Week. Article de blog invité par David Boulay, président d'IMEC, un partenariat public-privé, engagé à stimuler la croissance grâce à l'excellence de l'entreprise qui fait partie du réseau national MEP ^TM .

Comment le Manufacturing Extension Partnership dans l'Illinois a aidé Atlas Tool Works à respecter les directives du ministère de la Défense.

Atlas Tool Works est une petite entreprise familiale qui propose un usinage et un tournage spécialisés de pièces à tolérances serrées, la fabrication de tôles de précision, l'emboutissage de métaux et des assemblages techniques complexes. Elle compte 72 employés et une longue histoire d'engagement envers la qualité et l'amélioration continue.

Les dirigeants d'Atlas savaient qu'ils devaient améliorer leur cybersécurité. L'entreprise, faisant partie de la chaîne d'approvisionnement du département américain de la Défense, était tenue de se conformer aux normes de sécurité minimales du DFARS (Defence Federal Acquisition Regulation Supplement) sous peine de perdre ses contrats DoD. Les dirigeants ont également réalisé que l'amélioration de la cybersécurité globale de l'entreprise protégerait la confidentialité, l'intégrité et la disponibilité des informations.

Comprendre les exigences

Faute d'un personnel informatique à temps plein, Atlas Tool Works avait besoin d'aide pour déchiffrer les directives, effectuer une évaluation, identifier les lacunes et mettre en œuvre les améliorations avant la date limite de conformité du 31 décembre 2017.

Atlas a contacté l'Illinois Manufacturing Excellence Center (IMEC), son représentant local pour le Manufacturing Extension Partnership (MEP), pour obtenir de l'aide.

En utilisant le manuel d'auto-évaluation de la cybersécurité du NIST comme guide, les membres de l'équipe IMEC ont travaillé avec Atlas pour déchiffrer et décomposer les exigences de sécurité en étapes compréhensibles.

"Les [exigences de sécurité] étaient ambiguës quant à la façon dont elles s'appliquaient à nous spécifiquement", a déclaré Zach Mottl, responsable de l'alignement chez Atlas. « Cela semblait ouvert, nous ne savions donc pas par où commencer. »

En collaboration avec Atlas et son fournisseur informatique sous contrat, IMEC a déterminé qu'Atlas n'était qu'à 40 % en conformité avec les directives de cybersécurité. Ils ont ensuite élaboré un plan d'amélioration pour la configuration du réseau, les politiques et procédures, les exigences du système informatique, les règles de la main-d'œuvre et la formation, ainsi qu'un calendrier de mise en œuvre pour garantir une conformité totale avant la date limite.

« Passer par ce processus a été formidable pour notre organisation », a déclaré Mottl. « Il s'agit de développer de bonnes habitudes. Dans la fabrication, il existe de nombreuses procédures comme ISO [Organisation internationale de normalisation] pour les opérations de fabrication, mais vous oubliez les processus liés aux systèmes d'information.

« Les exigences en matière de cybersécurité concernent toutes la gestion des risques, la protection des données, l'interdiction des intrusions et la notification des personnes appropriées lorsque des événements se produisent. En tant que petite entreprise, nous créons souvent des solutions de contournement pour simplifier notre travail et avec les pratiques administratives en particulier. Mais avec la conformité DFARS, c'est inacceptable et nous comprenons maintenant à quel point c'est essentiel pour la sécurité de notre entreprise. »

Atlas a exécuté le plan de mise en œuvre et répond maintenant aux exigences. Les principaux changements à la suite de l'évaluation comprenaient des verrous de salle de serveur avec protection par mot de passe, des modifications de paramètres sur le serveur et le routeur pour suivre qui accédait aux fichiers et la création d'un journal sur le serveur pour les enregistrements médico-légaux. L'entreprise a également mis à jour son matériel et ses logiciels, ajouté un cryptage des e-mails plus strict et proposé une formation à la main-d'œuvre pour comprendre le nouveau langage et les précautions de sécurité.

Mottl a ajouté :« Il était important pour nous de répondre aux exigences de conformité DFARS afin de devenir une organisation plus robuste et sécurisée. Je sais que toutes les entreprises bénéficieraient de l'évaluation, pas seulement les sous-traitants de la défense. »

Résultats

• Augmentation de la conformité en matière de cybersécurité depuis l'évaluation initiale de 40 % jusqu'à 100 % de conformité en six mois
• Conformité totale aux exigences de cybersécurité DFARS
• Amélioration de la sensibilisation et de la participation du personnel aux programmes de sécurité de l'information et aux rapports

 David Boulay est président d'IMEC, un partenariat public-privé engagé à stimuler la croissance grâce à l'excellence de l'entreprise.

IMEC est le représentant officiel du réseau national MEP dans l'Illinois. Le réseau national MEP est un partenariat public-privé unique qui aide les petits et moyens fabricants à générer des résultats commerciaux et à prospérer dans l'économie d'aujourd'hui axée sur la technologie. Le réseau national MEP comprend le partenariat d'extension de fabrication du National Institute of Standards and Technology (NIST MEP), les 51 centres MEP situés dans les 50 États et à Porto Rico.