Ce que les fabricants doivent savoir sur la cybersécurité dès maintenant – Un entretien avec Pat Toth

Le nombre de cyberattaques continue d'augmenter et les cybercriminels sont de plus en plus déterminés. Les entreprises essaient de naviguer dans des conseils techniques déroutants dans un paysage numérique en évolution rapide. Les petits fabricants pensent souvent que leurs entreprises ne sont pas en danger. Après tout, pourquoi quelqu'un voudrait-il cibler un petit fabricant rural alors qu'il y a de plus grandes entreprises à cibler ?

Pour comprendre ce qui se passe et découvrir ce que les fabricants doivent vraiment savoir sur la cybersécurité, je me suis assis avec Pat Toth. Pat est informaticien au NIST Manufacturing Extension Partnership. Il a plus de 30 ans d'expérience en cybersécurité et a travaillé sur de nombreux documents d'orientation du NIST sur la cybersécurité.

Question :les fabricants sont-ils vraiment exposés à des cyberattaques par rapport à d'autres secteurs ? Si oui, pourquoi?

Tapot : Selon le département américain de la Sécurité intérieure, l'industrie manufacturière est la deuxième industrie la plus ciblée sur la base du nombre de cyberattaques signalées.

Je pense que les petits fabricants sont particulièrement vulnérables car ils sont considérés comme des points d'entrée faciles dans des chaînes d'approvisionnement plus importantes. Pensez-y de cette façon :si vous êtes un criminel et que vous prévoyez de pénétrer par effraction dans un bâtiment et de le voler, allez-vous essayer de pénétrer par effraction dans un bâtiment avec un équipement de surveillance, un système d'alarme et des gardes, ou êtes-vous plus susceptible de cibler un bâtiment qui n'a aucun de ces dispositifs de sécurité en place ? C'est généralement ce dernier cas, c'est pourquoi les cybercriminels ciblent spécifiquement les fabricants. Malheureusement, de nombreuses petites entreprises n'ont pas mis en place de mesures de sécurité appropriées, car ces entreprises ne pensent pas qu'elles sont des cibles.

Les cybercriminels peuvent être intéressés par votre propriété intellectuelle (IP) ou ils peuvent vouloir accéder à des informations sur les personnes avec qui vous travaillez ou qui vous employez. La violation de données client de Target en 2013 en est l'un des exemples les plus connus. Leur fournisseur de système CVC a été délibérément ciblé par les cybercriminels, car les pirates savaient qu'ils pouvaient accéder aux systèmes de Target via ce fournisseur de CVC. La violation de données a entraîné le vol des informations de carte de crédit de millions de personnes.

Question :Étant donné que les petits et moyens fabricants (SMM) sont souvent des cibles de choix, mais ont aussi souvent des ressources limitées, que peuvent faire ces SMM ?

Tapot : Cela peut sembler compliqué et probablement un peu écrasant, mais il y a des choses que les SMM peuvent faire qui sont peu coûteuses et faciles à mettre en œuvre.

Il s'agit vraiment de mettre en place des politiques et d'éduquer les employés. Diverses études ont montré que les employés sont l'un des points les plus vulnérables de la sécurité de chaque entreprise. La plupart des employés ne savent tout simplement pas à quoi ils doivent faire attention et comment identifier un cyberincident potentiel ou réel jusqu'à ce qu'il soit trop tard. Les entreprises doivent communiquer régulièrement pour aider les employés à comprendre les tactiques des cybercriminels et le rôle essentiel qu'ils jouent dans la prévention des cyberincidents.

Par exemple, votre entreprise devrait avoir une politique en place pour l'utilisation des médias sociaux sur le lieu de travail. Certains employés s'attendront à accéder aux médias sociaux pendant la journée de travail. Les entreprises sont confrontées à un exercice d'équilibre :permettre aux employés d'accéder aux médias sociaux et protéger leurs systèmes. Alors comment fais-tu ça ? Vous mettez en place une politique. La politique pourrait être que vous n'autorisez pas l'utilisation des médias sociaux sur les systèmes de l'entreprise. Peut-être que vous fournissez un réseau semi-public séparé pour que les gens accèdent aux médias sociaux tout au long de la journée qui n'expose pas votre entreprise à des risques. Quelle que soit votre politique, assurez-vous que vos employés en sont conscients, comprennent pourquoi elle existe et les conséquences potentielles en cas de violation de la politique.

Question :Il est bon d'entendre qu'il existe des solutions gratuites et peu coûteuses que les fabricants peuvent mettre en œuvre. Si une entreprise est prête à améliorer sa cybersécurité, par où doit-elle commencer ?

Tapot : Commencez par examiner le NIST Cybersecurity Framework et le NISTIR 7621 Small Business Information Security :The Fundamentals. Le cadre de cybersécurité comprend des normes, des lignes directrices et des pratiques exemplaires pour gérer les risques liés à la cybersécurité. Il fournit une approche hiérarchisée, flexible et rentable de la protection des systèmes. Small Business Information Security : The Fundamentals est basé sur le cadre de cybersécurité et fournit une vue d'ensemble plus facile à gérer pour les décideurs d'entreprise qui n'ont peut-être pas de formation technique. Il se concentre également sur la façon d'évaluer et de hiérarchiser les fonctions de sécurité.

Pour vous aider à démarrer, voici un bref résumé de ce que vous trouverez dans le cadre.

La première étape consiste à identifier . Identifiez les informations les plus précieuses pour votre entreprise. Il s'agit de l'information qui, si elle était perdue ou modifiée, entraînerait l'arrêt de vos opérations. Par exemple, disons que vous êtes un fabricant de produits alimentaires et que vous préparez des cookies aux pépites de chocolat en utilisant la recette de votre grand-mère. Cette recette est vitale pour votre entreprise et doit être protégée contre le vol ou la modification afin que votre entreprise puisse continuer.

La deuxième étape consiste à Protéger . Vous avez discuté avec des responsables et du personnel et avez utilisé ces commentaires pour identifier les informations les plus importantes pour votre entreprise. Il est maintenant temps de décider ce qui doit être fait pour protéger correctement ces informations. Cette étape dépend en grande partie des menaces et des vulnérabilités spécifiques à votre entreprise. Les petites entreprises qui travaillent simplement avec leurs clients par le biais d'interactions en face à face ou par téléphone n'auront pas autant à protéger que les entreprises qui font des affaires par e-mail et via des portails Web. Cela dépend vraiment de votre environnement d'exploitation quant à la protection que vous devez mettre en place.

La troisième étape consiste à Détecter . Vous devez être en mesure de détecter lorsqu'un cyberincident s'est produit. Vous devez disposer de systèmes anti-spyware, antivirus et de détection d'intrusion à jour. Vous devez également tenir compte de votre espace physique. Considérez des choses comme si vous devez être alerté lorsque des personnes accèdent à des zones qu'elles ne devraient pas. Qu'un incident soit numérique ou physique, il est important de savoir quand l'incident s'est produit et à quoi la ou les personnes ont eu accès.

La quatrième étape consiste à Répondre . Lorsqu'un cyberincident se produit, votre entreprise devra réagir rapidement pour atténuer les dommages potentiels. Vous devez avoir un plan en place avant que quelque chose ne se produise. Le plan doit indiquer qui est responsable et qui doit être contacté lorsque quelque chose se produit. De plus, les employés doivent savoir comment accéder au plan pendant et après les heures ouvrables.

Vous vous souvenez de votre retour à l'école primaire lorsque nous pratiquions des exercices d'incendie plusieurs fois par an ? Tout comme ces exercices d'incendie, votre entreprise doit pratiquer régulièrement sa réponse aux cyberincidents afin que les employés sachent exactement quoi faire si un cyberincident se produit.

La cinquième et dernière étape est Récupérer . Vous devez effectuer des sauvegardes régulières afin de pouvoir récupérer vos systèmes. Ces sauvegardes doivent être stockées dans un emplacement séparé ou dans le Cloud. Vous devez tester vos sauvegardes. Si vous ne testez pas vos informations de sauvegarde, vous ne pouvez pas être sûr de pouvoir récupérer complètement d'un événement. La fréquence à laquelle vous décidez de tester vos sauvegardes doit être basée sur l'importance des informations pour les opérations de l'entreprise.

Ce n'est pas une situation « taille unique », et vous devez décider ce qui fonctionne pour votre entreprise et sa culture. Pour une entreprise, un test une fois par an peut suffire. Pour une autre entreprise, il peut être nécessaire de tester une fois par semaine. Ce n'est pas une réponse facile à entendre, mais cela nécessite vraiment d'examiner vos systèmes pour voir où vous êtes vulnérable, connaître les menaces auxquelles vous êtes confronté et comment vous allez les contrer.

Question :Disons que mon entreprise a mis en place des mesures de sécurité appropriées et que nous avons créé un plan d'intervention :Et ensuite ?

Tapot : Ce n'est pas une activité « unique et terminée ». Vous ne pouvez pas rédiger un plan d'intervention et le mettre sur une étagère. Cela devrait être un document vivant. Tout le monde doit connaître votre posture de cybersécurité et savoir comment vous pouvez continuer à l'améliorer.

Chaque fois que vous achetez un nouvel équipement ou que vous embauchez un nouvel employé, vous devez réfléchir à l'impact de ces activités sur votre sécurité. Pour les petites entreprises, cela peut être difficile. Trop souvent, je vois des cas dans lesquels une entreprise s'est rapidement développée et oublie que tout le monde n'a pas besoin d'accéder à toutes les informations. Cela peut prendre un certain temps, mais la direction doit parcourir une liste d'employés et voir à quoi ils devraient et ne devraient pas avoir accès. Quelqu'un dans l'atelier n'a pas besoin d'accéder aux informations de paie. La définition des rôles et la mise en œuvre de la séparation de ces rôles peuvent être difficiles, mais sont nécessaires lorsque vous cherchez à protéger votre entreprise contre les cybermenaces.

Je pense que la cybersécurité et la qualité ont de nombreuses similitudes en termes d'adoption. De nombreuses entreprises ont mis du temps à adopter des systèmes qualité comme ISO 9000. L'état d'esprit d'une entreprise est un élément majeur de la qualité. La cybersécurité n'est pas reléguée uniquement à la personne informatique ou à la personne en charge de la cybersécurité - chaque employé à tous les niveaux de l'entreprise a une forme de responsabilité. La cybersécurité doit faire partie de la culture d'une entreprise - tout comme la qualité - pour être efficace.

Questions :Où puis-je trouver des informations pour informer mes employés sur les mesures qu'ils peuvent prendre pour réduire les cyber-risques de l'entreprise ?

Tapot : Accédez à la page Web des ressources de cybersécurité du NIST MEP. Sur cette page, vous trouverez un certain nombre de ressources, y compris un outil d'auto-évaluation simple que vous pouvez utiliser (basé sur le cadre de cybersécurité du NIST) pour auto-évaluer le niveau de cyber-risque de votre entreprise. L'auto-évaluation peut vous aider à déterminer où se trouvent les faiblesses de votre entreprise et où concentrer les ressources pour les améliorer. Nous ne suivons pas vos informations et ne conservons pas les résultats. Après avoir passé l'évaluation, vous recevrez un score afin que vous sachiez où se situent vos faiblesses en ce qui concerne vos efforts de cybersécurité. Vous pouvez également contacter l'un des 51 centres MEP, situés dans les 50 États et à Porto Rico, qui font partie du réseau national MEP ^{TM >> pour des questions ou de l'aide.}