Transversal
3. Jean-Christophe Mathieu, coordinateur cybersécurité Siemens France
Empreinte d'une culture forte sur la cybersécurité depuis de nombreuses années, le groupe Siemens l'intègre transversalement, au sein de chacune de ses divisions. Jean-Christophe Mathieu, coordinateur cybersécurité pour Siemens France, dévoile la vision du groupe sur le sujet.
De quand date la prise de conscience du risque cyber chez Siemens ?
Pour la protection de l'entreprise elle-même, cela date d'environ 30 ans, avec l'avènement des grands systèmes informatiques. S'agissant de la protection des produits, cela remonte à huit ans. La prise de conscience a été un peu violente avec Stuxnet [ver informatique apparu en 2010 s'attaquant aux systèmes Microsoft Windows et visant les logiciels Scada WinCC/PCS 7 de Siemens]. Cela nous a permis, ainsi qu'à tous les acteurs des métiers industriels, de considérer les risques de cyber-menaces sur nos équipements et nos environnements. Et la supply chain comme tout le reste n'y échappe pas, bien évidemment.
De quelles manières la protection contre ces menaces cyber se traduit-elle au quotidien ?
Aujourd'hui, au sein du groupe Siemens, un peu plus de 1 300 personnes à l'échelle mondiale travaillent à temps plein sur le sujet cybersécurité dans une entité dédiée au sein du groupe. L'activité cyber est par ailleurs complétement transverse à l'ensemble des divisions, chacune d'entre elles disposant d'un effectif en la matière. Siemens est actuellement le seul équipementier au monde à disposer, pour le territoire français, d'une gamme de produits industriels qualifiés par l'ANSSI. La division Digital Factory du groupe, dédiée au monde des automatismes industriels, est d'autre part certifiée par le TÜV SÜD sur la base de la norme IEC 62443 : nous fournissons la preuve que nous respectons ce qui est demandé sur les process de développement et apportons le niveau de cybersécurité requis.
Comment répercuter la gestion de cette menace cyber auprès de tous vos sous-traitants ?
Il s'agit beaucoup de sensibilisation, d'éducation et de formation. Cela passe ensuite par un cahier des charges et parfois le fait de retirer de notre panel de fournisseurs certains prestataires qui ne peuvent pas ou ne souhaitent pas nous donner l'assurance que ce qu'ils nous fournissent est au niveau de ce que nous attendons. Nous mettons donc en place des questionnaires, des évaluations et des audits de façon à ce que tout au long de la chaîne de valeur, nous disposions du bon niveau de sécurité.
Une sensibilisation auprès du personnel de Siemens est-elle également nécessaire ?
Oui, la première démarche concerne la partie développement-conception, où nous possédons un guide de bonnes pratiques dans lequel on retrouve l'intégralité des mesures à appliquer dans la conception, la production et la mise en condition de sécurité des produits mis sur le marché. L'ensemble de ces connaissances est vérifié plusieurs fois dans l'année auprès du personnel en charge de la cybersécurité au travers de formations et d'évaluations des connaissances en ligne. La deuxième partie concerne l'ensemble des collaborateurs qui ont accès à des outils informatiques à qui nous fournissons aussi des formations avec une évaluation des connaissances une fois par an au niveau mondial.
