Sécuriser l’avenir industriel face aux défis de la cybersécurité

Gérard Per­rier Indus­trie (GPI), acteur incon­tour­nable du génie élec­trique indus­triel et des auto­ma­tismes, s’impose éga­le­ment dans la cyber­sé­cu­ri­té grâce à sa filiale inno­vante, DATIVE. En conju­guant exper­tise indus­trielle et solu­tions de sécu­ri­té de pointe, GPI et DATIVE anti­cipent les menaces cyber­né­tiques pour sou­te­nir la com­pé­ti­ti­vi­té et la sou­ve­rai­ne­té de leurs clients. Inter­view croi­sée de Lucille Khu­ra­na-Per­rier (M14), Direc­trice Géné­rale de GPI, et d’Aymeric Nos­jean, Res­pon­sable du pôle Cyber­sé­cu­ri­té chez DATIVE.

Pourriez-vous nous expliquer ce qu’est Gérard Perrier Industrie (GPI) et ses principaux domaines d’activité ?

Lucille Khu­ra­na-Per­rier : GPI est une entre­prise de taille inter­mé­diaire (ETI) qui regroupe envi­ron 3 000 employés et réa­lise un chiffre d’affaires de 300 mil­lions d’euros. Nous sommes un sous-trai­tant tech­nique et tech­no­lo­gique de pre­mier plan dans le domaine du génie élec­trique, des auto­ma­tismes, de l’électronique et de l’informatique indus­trielle. Ces com­pé­tences, nous les déployons de manière inté­grée, en pro­po­sant à la fois des ser­vices (ingé­nie­rie, tra­vaux, main­te­nance) et en fabri­quant dans nos propres usines des équi­pe­ments élec­tro­niques pour le compte de nos clients. Nous tra­vaillons en direct pour de grands don­neurs d’ordre de l’industrie, y com­pris dans les sec­teurs de l’énergie, de l’aéronautique et de la défense.

Quels sont les principaux défis rencontrés par GPI en matière de cybersécurité ?

Lucille : La cyber­sé­cu­ri­té est un sujet qui nous pré­oc­cupe depuis plu­sieurs années. En rai­son de notre posi­tion­ne­ment dans la chaîne d’approvisionnement de nos clients et de nos inter­ven­tions, notam­ment sur des sujets liés à l’automatisme et au contrôle-com­mande, nous pou­vons être une porte d’entrée, une source de failles ou de vul­né­ra­bi­li­tés pour nos clients. Nous conti­nuons donc à amé­lio­rer notre propre sécurisation.

Paral­lè­le­ment, nous avons adop­té une approche proac­tive sur ces ques­tions. Nous sommes convain­cus que notre connais­sance des contraintes indus­trielles et des tech­no­lo­gies, notam­ment les pro­to­coles de com­mu­ni­ca­tion uti­li­sés dans l’industrie, nous confèrent un rôle à jouer. Nous avons déci­dé, il y a quelques années, de nous posi­tion­ner en tant que four­nis­seur de solu­tions dans le domaine de la cyber­sé­cu­ri­té indus­trielle, en pro­po­sant des ser­vices pour ana­ly­ser et sécu­ri­ser les sys­tèmes de nos clients indus­triels. Cela concerne prin­ci­pa­le­ment la couche indus­trielle, bien que cela puisse éga­le­ment tou­cher la couche informatique.

Nous opé­rons via notre groupe GPI, une hol­ding indus­trielle qui com­prend une dizaine de socié­tés. Par­mi celles-ci, nous avons créé et incu­bé en interne la socié­té DATIVE, qui est à la fois un édi­teur de logi­ciels et un pres­ta­taire de ser­vices en cyber­sé­cu­ri­té indus­trielle. Ayme­ric a pris la tête de cette équipe, après avoir évo­lué en tant qu’ingénieur cyber­sé­cu­ri­té au sein de plu­sieurs enti­tés du Groupe, et acquis une grande connais­sance des enjeux industriels.

Ayme­ric Nos­jean : Il existe éga­le­ment un enjeu de sou­ve­rai­ne­té, étant don­né que le groupe opère dans des sec­teurs tels que l’énergie, le nucléaire, ain­si que d’autres domaines très impor­tants pour l’autonomie stra­té­gique fran­çaise. Il faut veiller à ce que les outils choi­sis et inté­grés dans nos solu­tions soient sécu­ri­sés. Nous devons nous assu­rer qu’ils n’ont pas été déve­lop­pés par des pays avec les­quels la France pour­rait poten­tiel­le­ment avoir des conflits.

Quelles initiatives avez-vous mises en place pour renforcer la cybersécurité au sein de GPI ?

Ayme­ric : Il s’agit d’une vaste mise en œuvre de solu­tions de sécu­ri­sa­tion, notam­ment en ce qui concerne l’authentification et la ges­tion des accès. Actuel­le­ment, nous nous concen­trons éga­le­ment sur la confi­den­tia­li­té des don­nées : nous nous assu­rons que les don­nées sont fiables et qu’elles ne sont pas trans­mises à des tiers. Par ailleurs, nous avons entre­pris une démarche de confor­mi­té avec la norme ISO 27001, dont notre groupe est cer­ti­fié. De plus, nous avons pris en compte les futures direc­tives, telles que la NIS 2.

Lucille : Le groupe béné­fi­cie de l’avantage d’avoir une struc­ture interne dédiée au sein du ser­vice infor­ma­tique, ain­si qu’un Res­pon­sable de la Sécu­ri­té des Sys­tèmes d’Information (RSSI). De plus, nous pou­vons nous appuyer sur DATIVE pour la mise en place de solu­tions, notam­ment en ce qui concerne nos enjeux industriels.

Ayme­ric : Les dan­gers liés à la cyber­sé­cu­ri­té sont en per­pé­tuelle évo­lu­tion, ren­dant indis­pen­sable la mise à jour conti­nue des dis­po­si­tifs de pro­tec­tion. Il est cru­cial de se tenir au cou­rant des nou­velles menaces, des attaques émer­gentes et des groupes d’attaquants grâce à diverses sources d’information.

Comment DATIVE adapte-t-elle ses solutions de cybersécurité pour répondre aux exigences spécifiques de ses clients ?

Ayme­ric : Pre­nons l’exemple de GERAL, qui est l’une des socié­tés du groupe spé­cia­li­sée dans la fabri­ca­tion d’équipements élec­tro­niques. Nous avons col­la­bo­ré avec eux pour éta­blir dif­fé­rents niveaux de sécu­ri­sa­tion que nous pou­vons pro­po­ser et inté­grer de manière native dans leurs équi­pe­ments, selon les attentes de chaque client. Il est impor­tant de noter qu’actuellement, en matière de cyber­sé­cu­ri­té indus­trielle, le niveau de connais­sance varie consi­dé­ra­ble­ment par­mi nos clients : cer­tains n’ont aucune stra­té­gie de cyber­sé­cu­ri­té en place, tan­dis que d’autres sont très avan­cés dans ce domaine.

Notre objec­tif est donc de répondre à tous les besoins et pro­blé­ma­tiques ren­con­trés par nos clients. Cela implique d’adapter le niveau de sécu­ri­sa­tion des équi­pe­ments sur mesure en fonc­tion des exi­gences spé­ci­fiques de cha­cun d’entre eux. De plus, sur le plan de la veille, il est essen­tiel de garan­tir que les équi­pe­ments déployés chez nos clients, pré­sents ou futurs, soient constam­ment mis à jour. Nous sui­vons les vul­né­ra­bi­li­tés, aler­tons nos clients en cas de failles poten­tielles et res­tons infor­més des évolutions.

Quelle est l’approche de DATIVE en matière de cybersécurité et quels sont les bénéfices d’être une filiale de GPI ?

Ayme­ric : Chez DATIVE, notre prin­ci­pal avan­tage est d’avoir été fon­dés par l’industrie et pour l’industrie grâce au groupe GPI. Nous pos­sé­dons aujourd’hui une excel­lente connais­sance du monde indus­triel et savons déployer des solu­tions de sécu­ri­sa­tion adap­tées. Dans l’industrie, nous ne pou­vons pas nous per­mettre d’interrompre la pro­duc­tion pour le déploie­ment d’une solu­tion de sécu­ri­té. Il est donc impé­ra­tif de mettre en place des solu­tions qua­si­ment trans­pa­rentes tout en assu­rant un niveau de sécu­ri­té opti­mal. De plus, l’intérêt pour le groupe de dis­po­ser de DATIVE réside dans notre capa­ci­té à obser­ver non seule­ment ce qui se passe en interne, mais aus­si chez nos clients : cela nous per­met d’identifier dif­fé­rents niveaux de sécu­ri­sa­tion et de pro­po­ser au groupe les solu­tions les plus adap­tées en fonc­tion des besoins et des outils. Nous appor­tons ain­si un regard externe sur la cybersécurité.

Lucille : Et même pour les nou­veaux ser­vices et pro­duits que le groupe déve­loppe aujourd’hui, il est cru­cial de garan­tir leur sécu­ri­té. Par exemple, tou­jours chez DATIVE, l’équipe spé­cia­li­sée dans l’édition de logi­ciels déve­loppe des solu­tions d’optimisation de la per­for­mance indus­trielle qui col­lectent et ana­lysent des don­nées indus­trielles. Évi­dem­ment, ces pro­jets impliquent des enjeux de sécu­ri­té impor­tants : le fait que cette équipe tra­vaille au sein de la même entre­prise que l’équipe de cyber­sé­cu­ri­té per­met de s’assurer que les déve­lop­pe­ments res­pectent les der­nières normes et évo­lu­tions en matière de cybersécurité.

Selon vous, quels sont les enjeux majeurs de la cybersécurité pour les entreprises industrielles ?

Ayme­ric : Aujourd’hui, les enjeux majeurs consistent à déployer des solu­tions de cyber­sé­cu­ri­té qui soient en adé­qua­tion avec les contraintes de la pro­duc­tion, qui ne peut sou­vent pas être inter­rom­pue. Il est essen­tiel que cet enjeu de cyber­sé­cu­ri­té soit éga­le­ment pris en compte par les équipes ter­rain. Com­ment y par­ve­nir ? Par le déploie­ment de solu­tions spé­ci­fiques à l’industrie et par la sen­si­bi­li­sa­tion des uti­li­sa­teurs. En effet, la sen­si­bi­li­sa­tion est cru­ciale, car, mal­heu­reu­se­ment, le prin­ci­pal risque cyber pour une entre­prise pro­vient sou­vent de l’utilisateur.

Lucille : Au sein des entre­prises, les couches infor­ma­tiques sont aujourd’hui lar­ge­ment sen­si­bi­li­sées à la cyber­sé­cu­ri­té. Cepen­dant, la par­tie indus­trielle reste rela­ti­ve­ment nou­velle dans ce domaine. Les hackers n’ont pas encore plei­ne­ment exploi­té ce ter­rain. De même, les res­pon­sables indus­triels n’ont pas encore pris plei­ne­ment conscience des failles exis­tantes. Il y a donc peu de four­nis­seurs de solu­tions dédiées à la cyber­sé­cu­ri­té indus­trielle, comme ce que pro­pose DATIVE.

https://www.dative-gpi.com/

---

Articles similaires :

Cam­pus Cyber : la vitrine de l’excellence fran­çaise en cybersécurité Connaître et anti­ci­per la menace : un enjeu déci­sif pour se pro­té­ger efficacement Des accès sécu­ri­sés pour un sys­tème d’information mieux protégé ! Pro­ven­Run : l’expert du Secu­ri­ty by Design Cyber­sé­cu­ri­té : une offre inté­grée et au plus proche des entreprises