dormakaba
craftsman_1040x260
Service

Conseil de sécurité #8

« En matière de contrôle d’accès, faites confiance aux systèmes dont la sécurité informatique est soumise à des tests rigoureux et continus. »

Thomas Herling, Global Business Owner (GBO) Electronic Access and Data (EAD)

Conseils de sécurité - Sécurité informatique

En toute franchise – pouvez-vous affirmer avec certitude que rien ne vous échappe concernant les points critiques dans votre entreprise pour assurer la sécurité informatique de vos processus et systèmes à long terme ?

A plusieurs, on est plus perspicace que seul. C’est pourquoi nous comptons sur le soutien d’experts informatiques indépendants dans le développement et la maintenance de nos solutions de contrôle d’accès et de gestion des temps telle que l'entreprise de conseil suisse Redguard, spécialisée dans la sécurité des informations et la sécurité informatique. Celle-ci a accompagné dormakaba, entre autres, lors du processus de développement de la solution d’accès sur le cloud exivo et a défini avec nous des lignes directrices pour le développement de logiciels sécurisés. Néanmoins, le logiciel n'est sécurisé à long terme qu'avec les dernières mises à jour. Des inspections régulières dans le cadre d’un contrat de maintenance y contribuent.

Si vous souhaitez en savoir plus sur le niveau de menace qui pèse sur votre entreprise et sur vos solutions d’accès, lisez l'entretien avec Dominique Meier, notre partenaire & chef des opérations chez Redguard. Dans cet entretien, il mentionne également les facteurs décisifs pour votre sécurité informatique.

Dominique Meier, Senior Security Consultant & Head of Operations at Redguard

Entretien avec Dominique Meier, conseiller principal en sécurité & chef des opérations chez Redguard


dormakaba : Dans quelle mesure pensez-vous que les entreprises européennes sont bien positionnées en termes de sécurité informatique ?

Dominique Meier : Cela dépend du secteur d’activités et il y a d’énormes différences. Ce sont, à mon avis, les petites et moyennes entreprises qui doivent en particulier combler leur retard. La numérisation représente un défi croissant. Par conséquent, la sécurité informatique devient soudain un sujet d’importance pour de plus en plus de secteurs et d’entreprises. Pour cette raison, il est évident que tout le monde n’est pas parfaitement positionné dès le départ. Les environnement évoluent et des exigences totalement nouvelles apparaissent – par ex. dans le secteur de la santé avec le dossier électronique du patient ou en raison de l’Industrie 4.0 avec la mise en réseau en dehors du réseau de l’entreprise. Des études montrent que dans de nombreuses entreprises, les compétences techniques ne sont pas encore suffisamment abouties pour traiter ce sujet de manière indépendante.

 

dormakaba : Quels sont les risques réels en matière de cyberattaque ?

Malheureusement, il s’agit d’un risque très réel – avec des conséquences concrères. Mi-2019, en Suisse, le spécialiste des techniques du bâtiment Meier Tobler a fait l’objet d’une cyberattaque. L’entreprise a évalué les dommages à 5 millions de francs suisses. A cela se sont ajouté des coûts supplémentaires spécifiques d’un à deux millions pour pouvoir faire face à la cyberattaque. Un collaborateur avait réservé un hôtel en ligne et le virus est entré dans l’établissement via la confirmation de réservation.

 

dormakaba : Et qu’en est-il des solutions d’accès ?

La sécurité des solutions pour les systèmes d’accès est aussi élevée que les normes de sécurité actuelles l’imposent, celles-ci étant en constante évolution. C’est pourquoi dormakaba fait contrôler ses produits et ses processus par des experts informatiques indépendants et a élaboré avec nous des lignes directrices pour le développement de logiciels sécurisés. Un exemple actuel étant les cartes à transpondeur RFID pour le contrôle d’accès électronique. Les systèmes de génération plus ancienne tels que Mifare Classic ou Legic Prime ne répondent plus aux normes de sécurité actuelles, c’est-à-dire que les cartes peuvent être lues ou copiées. Cette faille de sécurité existe depuis longtemps. Néanmoins, ces technologies RFID sont encore largement utilisées.

 

dormakaba : Quels sont selon vous les points faibles les plus importants en matière de sécurité informatique ?

Bien sûr, la technologie fournit de nombreux points d’attaques, mais le maillon le plus faible de la chaîne de sécurité est généralement l’être humain. C’est pourquoi il est important de sensibiliser constamment les collaborateurs et les clients aux risques.

 

dormakaba : Que recommandez-vous aux entreprises si celles-ci souhaitent améliorer leur sécurité informatique ?

Il faut avoir une vision globale du sujet et inclure les aspects techniques, humains et organisationnels. Si l’on achète un pare-feu et une protection antivirus, cela ne signifie pas automatiquement qu’on est en sécurité.  Ce n’est qu’en examinant l’ensemble de la chaîne que l’on peut établir les bases d’une sécurité informatique durable. Il s’agit de définir les processus et les responsabilités. Et il faut préciser, sur la base de la stratégie commerciale, quel niveau de sécurité est réellement visé.

 

dormakaba : Y a-t-il des listes de contrôle offrant une aide pour prendre des mesures appropriées ?

Oui, il y a de nombreux outils différents pour la mise en œuvre. Parmi ceux-ci figurent des normes établies telles que la norme DIN 27001 sur les systèmes de gestion de la sécurité de l’information ou, en Allemagne, le recueil de protection informatique de base (IT-Grundschutz-Kompendium) du BSI. Ils offrent un bon cadre qui contribue à identifier les risques importants et à prendre des mesures appropriées.

 

dormakaba : Quelle est l’importance des contrôles et de la maintenance des logiciels – y compris en ce qui concerne les solutions d’accès et de gestion du temps ?

À mon avis, c’est impératif. Dans le cas contraire, vous ouvrez littéralement la porte aux criminels. Seules les mises à jour de sécurité régulières garantissent que vous restez à jour et que vous êtes protégés contre d’éventuelles attaques. Et cela est valable pour tous les systèmes. En 2017, il y avait une faille critique dans Windows qui a été corrigée très tard par de nombreuses entreprises. Cela a donc eu un impact très important. En conséquence, par exemple en Angleterre, seize hôpitaux étaient complètement hors ligne et ont dû refuser des patients. Des pirates informatiques avaient chiffré les données et exigeaient une « rançon » de plusieurs millions. La sécurité informatique n’est pas quelque chose que l’on se contente de mettre en place en pensant que cela suffit. C’est un processus continu. Il faut vérifier continuellement si le niveau de menaces et le système ont évolué, puis effectuer les ajustements nécessaires.

Contact

Nous espérons que ces informations vous ont été utiles. Si vous avez des questions spécifiques, nous nous ferons un plaisir de les clarifier avec vous. Merci de nous envoyer un courriel à info.be@dormakaba.com. Nous nous réjouissons de votre contact.