3 questions à... Eric Martin : "La transformation digitale des industries agroalimentaires est une nécessité"

Après l'Humain dans l'agroalimentaire en décembre et un focus sur la Responsabilité Sociétale des Entreprises (RSE) en janvier, la thématique de ce mois de février est consacrée au Numérique et Digital et à leur apport pour les industries agroalimentaires. Un sujet phare et d'avenir, d'autant plus dans le contexte actuel. 

Pour évoquer aujourd'hui la transformation digitale et la cybersécurité, Eric Martin,Directeur de l’École Nationale Supérieure d'Ingénieurs de Bretagne-Sud (ENSIBS) et Responsable de la plateforme SCAP-Industrie du futur, a accepté de participer à notre format "3 questions à"... "Mon sentiment est que ce ne sont pas les technologies qui nous manquent le plus", affirme-t-il notamment.

Quels peuvent être les nouveaux risques induits par la transformation numérique et digitale aujourd’hui pour une entreprise agroalimentaire ? 

La transformation digitale des industries agroalimentaires est une nécessité pour toutes sortes de raisons, la performance industrielle, l’agilité, l’e-supply chain, la traçabilité ou encore la responsabilité sociale et environnementale. Le contrat stratégique de la filière agroalimentaire (novembre 2018) inscrit comme projet prioritaire le numérique pour redonner confiance au consommateur, pour améliorer la maîtrise de la qualité et de la traçabilité, pour gagner en compétitivité par l’automatisation et redonner de l’attractivité aux emplois.

La numérisation des données et la maitrise des informations contribuent à développer de nouvelles connaissances de son industrie. Le risque est que l’on définit comme la résultante de vulnérabilité, de menaces et d’impacts pour l’industriel lorsqu’une personne malintentionnée (ou négligente) exploite une vulnérabilité.

Sans tomber dans le simplisme je dirais que nous avons trois facteurs à considérer sur le risque cyber :

-   - La menace augmente et se structure, elle est mondiale et organisée. L’ANSSI agence nationale de la sécurité des systèmes d’information parle de menaces classifiées selon la capacité et l’exposition du système d’information industrielle. La menace provient autant d’un cyberdélinquant que d’une organisation malveillante que d’un personnel négligeant.

- - La vulnérabilité est une faiblesse au niveau des équipements, applications, procédure ou organisation. Souvent l’entreprise ignore ou sous-estime ses vulnérabilités. Pourtant selon le CERT-Kaspersky la majeure partie de ces vulnérabilités sont Low-Tech, 17% proviennent de sujet d’authentification, 15% sont des services web inadaptés.

-
- Enfin l’impact est la mesure de la gravité, conséquence d’une attaque. Il est très étonnant de constater que les IAA ont des plans de continuité d’activités relatifs aux risques industriels et négligent presque totalement les plans de continuité d’activité ou plans de reprise d’activité relatifs aux risques cyber. Comme dans tout projet industriel, il faut peser les enjeux, les avantages et les risques. Il faut aussi travailler à la maîtrise des risques.

Dans le contexte sanitaire actuel de nombreuses entreprises se digitalisent pour optimiser leur business. Quels conseils leur donneriez-vous pour se faire accompagner efficacement et se prémunir des cybermenaces ?

Le concept de défense en profondeur repose sur une approche de la cybersécurité en trois volets : l’aspect technologique, l’aspect organisationnel et l’aspect procédural. La crise sanitaire a fait basculer un nombre considérable de salariés en télétravail ; parallèlement les enjeux du secteur de la santé a provoqué un accroissement fulgurant de la cybercriminalité à l’égard des hôpitaux, de la chaine d’approvisionnement ou des laboratoires de recherche médicaux. Pourtant les premières mesures à adopter sont simples :

-   - pour les procédures, je conseille de suivre les recommandations de sécurité pour les télétravailleurs[1] présentées par le site www.cybermalveillance.gouv.fr ;

-   - pour les téléservices, utiliser les VPN réseau privé virtuel que toute DSI doit installer avant que l’on amène son PC à la maison. On retrouvera d’autres recommandations dans le récent rapport de la CLUSIF[2].

-   - Enfin le plan de l’organisation, formez et nommez les agents correspondants de la sécurité au sein de votre entreprise. On en retrouve la mission dans le guide d’élaboration de la PSSI[3] Politique de la Sécurité des Systèmes d’Information de l’ANSSI. Ces agents sont proches des utilisateurs, ils facilitent la diffusion de l’information de sécurité et assurent la remontée d’informations de sécurité.

 

De façon plus globale, en France, pensez-vous que notre niveau soit satisfaisant concernant la cybersécurité ?

La France s’organise structurellement sur les enjeux de la cybersécurité : sur le plan législatif (en particulier la loi de programmation militaire qui définit les responsabilités et actions en matière de cybersécurité), sur le soutien qu’apport l’ANSSI agence nationale de la sécurité des systèmes d’information, sur la montée en puissance des prestataires de confiance (le Campus Cyber qui se créé à La Défense, le PEC pôle d’excellence Cyber en Bretagne), enfin sur le plan de la formation tant d’expert en cyberdéfense ou d’ingénieurs en génie industriel "certifiés cybersécurité industrielle".

Mon sentiment est que ce ne sont pas les technologies qui nous manquent le plus. C’est un immense fossé de la culture cyber qui fait défaut à nos organisations, à nos procédures, à nos dirigeants. Parfois il m’arrive de revivre dans mes échanges sur la cybersécurité industrielle ce que je vivais en début de carrière lorsque nous commencions à promouvoir les ingénieurs qualité : On ne voit pas à quoi cela sert, je n’ai pas de budget pour ce sujet, c’est encore des contraintes qui vont perturber notre travail.

[1] https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/recommandations-securite-informatique-teletravail

[2] https://clusif.fr/publications/teletravail-cybersecurite-et-collaborateurs-les-nouveaux-equilibres/

[3] https://www.ssi.gouv.fr/uploads/IMG/pdf/pssi-section3-principes-2004-03-03.pdf