Les risques liés à la messagerie en entreprise //

Les conséquences d’une attaque par mail (dans le cas où un utilisateur clique sur un mail malveillant) peuvent être dramatiques. Assurément, le simple fait de cliquer sur un lien ou de télécharger une pièce jointe hostile peut déclencher une attaque par logiciel malveillant et causer des dommages importants, tels que le vol de données, le blocage de l’accès à des fichiers ou des systèmes, voire la perte d’argent. 

Toutefois, même les utilisateurs les plus avertis peuvent être trompés par des courriers électroniques sophistiqués de phishing ou par des attaques appelées BEC (Business Email Compromised, dans lesquelles les cybercriminels usurpent l’identité d’un responsable d’entreprise pour convaincre un employé de l’entreprise de transférer de l’argent ou des données confidentielles). En effet, la messagerie électronique est l’un des vecteurs les plus accessibles pour les cyberattaquants et selon une étude de Proofpoint, plus de 96% des cyberattaques utilisent le courrier électronique comme vecteur d’offensive. En outre, pour corroborer ces propos, l’étude de Barracuda Networks affirme que les cybercriminels envoient environ 300 milliards de courriers électroniques malveillants chaque jour. Ces derniers peuvent contenir diverses armes pour porter atteinte aux organisations telles qu’une tentative de phishing, des pièces jointes malveillantes, ou encore des liens vers des sites Web infectés.  

Ces chiffres sont d’autant plus alarmants lorsque l’on sait que, selon une étude d’IBM et du Ponemon Institute, le coût moyen d’une attaque pour une entreprise peut osciller entre 50 000€ et 6 000 000 €. Fort de ce constat et parce que les attaques BEC sont de plus en plus courantes, les équipes Apside Cyber invitent fortement les organisations à sécuriser leur messagerie d’entreprise.  

Les bonnes pratiques pour protéger la messagerie en entreprise //

Cependant, les dispositions techniques citées ci-dessus ne sont pas les seules solutions pour protéger les organisations des cyberattaques. En dehors des stratégies techniques déployées par les DSI, la formation régulière en matière de sécurité informatique est également indispensable pour sensibiliser les employés aux menaces potentielles et les outiller pour les prévenir. 

Pour ce faire, les collaborateurs doivent être sensibilisés aux signaux d’alerte, aux bonnes pratiques pour sécuriser leurs mots de passe, à l’importance de sauvegarder régulièrement leurs données et à la prudence à adopter lors de l’utilisation de Wi-Fi publics. Ces formations peuvent être dispensées en présentiel ou en ligne en fonction des besoins de l’entreprise et de manière ponctuelle ou régulière, selon les risques identifiés et l’évolution des menaces.  

Par ailleurs, les utilisateurs doivent être particulièrement conscients des risques liés aux pièces jointes et aux liens hypertextes, en particulier s’ils ne sont pas attendus ou s’ils proviennent d’expéditeurs inconnus. Il est primordial de vérifier l’identité de l’expéditeur et l’orthographe de son adresse mail avant d’ouvrir le courrier, ou de cliquer sur un lien. Apside Cyber préconise également une sensibilisation aux techniques d’ingénierie sociale utilisées par les pirates informatiques, aux risques liés aux mots de passe faibles et à la nécessité de mettre à jour régulièrement les logiciels.  

Enfin, les experts cyber recommandent l’organisation d’exercices de test à travers de fausses attaques en vue de maintenir la vigilance des salariés face aux menaces en constante évolution.  

En adoptant des pratiques sûres, comme la vérification de l’identité de l’expéditeur des e-mails, la prudence lors du clic sur des liens et la sauvegarde régulière des données, la sensibilisation et la formation, les employés peuvent aider à protéger la messagerie de l’entreprise.  

Les services de cybersécurité pour protéger la messagerie en entreprise //

Faire appel à des experts en cybersécurité est le moyen le plus efficace pour protéger la messagerie de votre entreprise. Les services de cybersécurité tels que les fournisseurs de services de sécurité gérée (MSSP) peuvent prendre en charge la cybersécurité de votre entreprise en mettant en place des solutions de sécurité adaptées à vos besoins. Ils peuvent également surveiller votre système en continu en vue de détecter les menaces en temps réel et réagir rapidement en cas d’incident. En faisant appel à des experts, vous bénéficiez d’une tranquillité d’esprit en sachant que votre messagerie est entre de bonnes mains.  

Risques liés à l’exposition d’une organisation aux cyberattaques //

70% des PME victimes d’une cyberattaque déposent le bilan dans les trois ans. Le bilan est d’autant plus préoccupant alors que selon l’AMRAE, 84% des grandes entreprises sont assurées contre seulement 9% des ETI et 0,2% des PME et TPE. Mais de manière très pragmatique, quels sont les risques réels de ces cyberattaques ?  

Un cyberattaquant est guidé par un objectif principal : porter atteinte à une organisation. Cet assaut peut se manifester de plusieurs façons : il peut être d’ordre financier, en bloquant par exemple les systèmes d’information et activités et en demandant une rançon ; il peut être d’ordre réputationnel, en divulguant des informations sensibles pour l’image de l’entreprise ; ou encore il peut être d’ordre industriel et économique, en volant les données structurantes pour l’organisation et en les revendant à la concurrence.  

Plan d’Attaque – le diagnostic Cyber : promesses de l’outil //

Plan d’Attaque est une solution gratuite sous forme d’un questionnaire composé d’une quarantaine de questions (~20min). A la suite de ce questionnaire, les utilisateurs reçoivent immédiatement par mail un score de maturité, entre 0 et 100, qui permet de rendre compte de l’état général de sécurité de l’organisation, ainsi qu’un plan d’action personnalisé et priorisé.  

Le questionnaire est découpé en plusieurs grandes thématiques qui permettent d’auditer de manière globale l’exposition de l’entreprise. Les thématiques sont les suivantes :  

• Périmètre ; 
• Organisation de la sécurité ; 
• Authentification du contrôle d’accès ; 
• Sécurisation des postes de travail ; 
• Sécurisation des réseaux et infrastructures ; 
• Sécurisation de l’administration ; 
• Sauvegarde et restauration ; 
• Sensibilisation et formation des collaborateurs ; 
• Nomadisme. 

De manière très concrète, l’outil efficient offre en très peu de temps une liste de quick wins pour augmenter la protection des organisations. Il est imaginé pour mettre en exergue les axes de travail les plus importants ainsi que les plus grandes faiblesses et pour proposer des solutions faciles à mettre en œuvre pour augmenter très rapidement le degré de sécurité de l’entreprise.  

Plan d’Attaque : conception de l’outil de diagnostic cyber //

L’expertise Unit Apside Cyber est composée de 40 experts qui s’engagent et se donnent pour objectif de protéger les PME et les ETI. Pour répondre aux enjeux structurants de ce projet, ce sont 6 experts qui ont été mobilisés pour participer à la conception du questionnaire, à la définition des questions et à la recette de la solution notamment lors des 7 sessions d’ateliers organisées. Parmi ces spécialistes, nous pouvions compter Patrick, notre CTO Cybersécurité et Innovation, Thomas, notre manager services managés, Inès, notre manager gouvernance risques et conformité, Jérémie, notre manager cybersécurité opérationnelle et AMOA, Rémi, notre manager cybersécurité industrielle et cryptologie et Mohamed, notre manager audit technique et réponse à incident.   

Après un audit des solutions existantes sur le marché, l’équipe a effectué une veille approfondie grâce aux référentiels certifiés comme celui de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ou celui du NIST (National Institut of Standard Technologies). Ces deux référentiels reconnus (français et américains) contiennent les normes de cybersécurité ainsi que les méthodologies à implémenter pour garantir la sécurité des entreprises. Au terme de cette étude, l’équipe a extrait toutes les bonnes pratiques et a amorcé une phase de brainstorming.   

Cette étape a permis aux experts de définir les thématiques nécessaires pour mesurer de manière exhaustive l’exposition des organisations aux risques cyber et ainsi déterminer les questions les plus adaptées.   

Une fois les thématiques et questions définies, l’équipe Cyber a pu formaliser le questionnaire et effectuer la recette de ce dernier avant diffusion. Pour ce faire, les équipes se sont chargées d’éprouver le questionnaire face à des profils d’organisation divers dans le but d’évaluer la pertinence de l’ensemble des questions pour chaque cible adressée. Il aura notamment été appliqué à certains clients et les résultats du questionnaire se sont avérés conformes à ceux de l’audit cybersécurité préalablement réalisé.  

Plan d’Attaque : interprétation des résultats //

La promesse de l’outil est notamment d’offrir immédiatement à l’utilisateur une vue sur son score de maturité ainsi qu’un plan d’action personnalisé et priorisé. Pour répondre à cette dernière, il a donc été nécessaire d’élaborer précisément une liste de recommandations adaptées pour augmenter le score de maturité de l’entreprise auditée.  

Les niveaux de criticité ne sont pas définis selon un barème unique : en effet, ils sont plutôt conçus en fonction de la taille de l’organisation ciblée, de ses activités, de son écosystème et de l’ampleur de son système d’information.  

Ce plan d’action contient une liste de recommandations (aisément identifiables grâce à un code couleur) triées par ordre de priorité en fonction du coût de mise en œuvre et du rapport de protection. Ainsi, les top recommandations n’étaient pas nécessairement les plus coûteuses et complexes, mais bien celles qui permettraient à l’organisation d’être bien plus protégée le plus rapidement possible. Toutefois, des directives plus sophistiquées sont également abordées bien que pas nécessairement prioritaires.  

A titre d’exemple, parmi les recommandations, nous pouvons notamment compter : 

• Des solutions avancées pour sécuriser la messagerie contre les spams et hameçonnage mais également à la bonne configuration des enregistrements pour protéger l’entreprise ( SPF, DKIM et DMARC) ;
• Des directives concernant la mise en place de pare-feux (classiques ou UTM) et la segmentation des réseaux ;
• Des consignes afin de réaliser des tests de pénétration (évaluation, procédure, livrables…).

Accompagnement de l'EU Apside Cyber //

Enfin, il est évident que bien que les recommandations soient applicables directement par les organisations, l’Expertise Unit Cyber se montre à disposition pour répondre aux enjeux stratégiques des structures avec un accompagnement riche allant de l’évaluation du niveau de sécurité (analyse de risque et homologation dans le respect des méthodologies du client) à la réponse à incident avec une analyse complète (identification des solutions permettant la visibilité des menaces et protection complète des données et infrastructures). Vous souhaitez l’avis de nos experts ? Contactez-les via cette adresse : eu-cyber@apside.fr 

Genèse du projet : Apside x Gyrolift //

Le partenariat avec Gyrolift s’est fait naturellement avec Apside. En lien avec la Mission Handicap, Gyrolift a été invité à venir présenter leur fauteuil innovant à l’occasion de la semaine du Handicap 2021.

A la suite de cette visite et séduite par les valeurs qui ont porté ce projet innovant, Apside propose un partenariat par le biais de son bureau d’étude (BE). En effet, sponsorisé par la direction du groupe (et plus précisément par Pierre Gauthier, Président), le projet a remporté l’unanimité !

Ce partenariat vise à développer les compétences des Apsidiens juniors sur des thématiques présentes chez nos clients comme l’architecture système/fonctionnelle, les fonctions ADAS, la gestion de trame CAN, le prototypage… Le projet a été réalisé cette année, sur 6 mois, par une équipe de deux stagiaires dans le cadre de leur projet de fin d’études. Il est reconduit pour l’année 2023 sur le même mode de fonctionnement.

Le projet Gyrolift consiste actuellement à proposer différentes fonctions et réaliser des POC (Proof of Concept) de celles-ci. L’objectif à long terme est de s’inscrire dans une démarche de mécénat de compétences pour Gyrolift en testant la pertinence d’un certain nombre de fonctions directement au bureau d’études avant de leur proposer une solution d’intégration et d’industrialisation éventuelles pour les plus pertinentes au vu du POC.

Comment sont conçues les fonctions étudiées : les options possibles //

Une phase conséquente de la conception a été d’interfacer toutes les fonctions avec un système d’options. L’ensemble des fonctions développées peut être ajouté ou enlevé afin de passer du fauteuil initial au prototype développé avec ses 4 fonctions ADAS et son IHM.

Cette conception répond à deux besoins :

–             Ne pas modifier le fonctionnel actuel, notamment en termes de sécurité. Les fonctionnalités de sécurité du fauteuil initial ne sont en aucun cas impactées par les fonctions ajoutées, celles-ci viennent agir avant les contrôles sécurité et de façon indépendante. L’objectif est de garantir la sécurité des testeurs mais également de concevoir un système plus simple, de façon à n’avoir qu’une seule série de tests et validations pour répondre aux exigences de sécurité générales.

–             Proposer un système d’options à la startup Gyrolift, notamment avec une possibilité de venir monter facilement les POC, et par la suite les futures fonctions industrialisées sur le fauteuil. L’objectif serait, selon l’étude réalisée par l’équipe projet, de proposer une capacité d’options sur l’ensemble de la production pour permettre l’ajout des quatre fonctions développées.

Les options du Gyrolift : confort et sécurité //

Comme évoqué ensuite, les équipes du bureau d’études Apside proposent 4 options. Les 2 premières portent notamment sur l’affichage présenté au client ainsi que le démarrage :

• IHM additionnel :

L’IHM développé propose le contrôle du démarrage du fauteuil, des boutons de sélection des fonctions actives, un affichage de la vitesse du fauteuil ainsi que l’heure. Il a été conçu pour être le plus ergonomique possible pour une personne pouvant souffrir de troubles moteurs au niveau des doigts avec notamment des boutons imposants et espacés. Un autre aspect consiste à inclure les possibles troubles visuels comme le daltonisme en présentant des pictogrammes différents selon la validation ou non des états ou des emplacements selon les messages véhicules.

• Détection d’installation :

Ce système de détection d’installation est basé sur 2 principes : l’utilisateur doit avoir attaché sa ceinture et avoir au moins 1 pied correctement positionné sur le repose-pied du fauteuil avant de pouvoir démarrer.

Ce contrôle du démarrage s’effectue par l’inhibition du bouton de levé des béquilles. Cette vérification d’installation permet de garantir une forme de sécurité pour l’environnement des utilisateurs. La validation de la présence de la ceinture permet également de s’assurer que l’utilisateur est parfaitement sécurisé et qu’en cas d’arrêt brutal, il n’y a pas de risque d’éjection de l’utilisateur.

Les options du Gyrolift : le déplacement du fauteuil //

Une fois le fauteuil démarré et prêt à être utilisé, les équipes du bureau d’études ont ajouté 2 autres options pour la bonne utilisation de l’appareil :

• Détection d’obstacles arrière

Une troisième fonction consiste à offrir à l’utilisateur d’avoir une connaissance de son environnement malgré une incapacité de sa part à se retourner, due à son handicap et à sa position sur le fauteuil.

Les distances mesurées par les 7 capteurs d’écholocalisation à ultrasons situés à l’arrière du Gyrolift sont exploitées de sorte à proposer un affichage coloré et à une distance variable sur trois zones comme présenté sur l’écran IHM (voir photo ci-contre).

Les zones colorées sont à une distance proportionnelle du fauteuil et de l’obstacle détecté. La couleur de la zone varie également selon la distance à l’obstacle, du vert au rouge en passant par le jaune.

• Feux automatiques

La fonction liée aux feux automatiques consiste en deux choses : tout d’abord permettre à l’utilisateur de contrôler les feux de son fauteuil, mais aussi d’activer un contrôle automatique de la luminosité ambiante permettant d’activer les feux en dessous d’un certain niveau, et de les éteindre au-dessus d’un autre niveau. Les seuils d’allumage/extinction des feux suivent le principe de l’hystérésis.

La fonction de contrôle des feux est à l’origine non-disponible sur le fauteuil, les équipes l’ont donc ajouté et ont proposé une automatisation de ce contrôle disponible sur l’IHM.

Les résultats //

Les stagiaires composant l’équipe projet ont implémenté 4 fonctions sur le Gyrolift durant leur stage. Un système de détection d’installation a été ajouté au fauteuil. Ils ont par ailleurs implémenté une fonction de détection d’obstacles à l’arrière du véhicule, ainsi qu’un système de feux automatiques. Ils ont également réalisé un IHM complet additionnel au fauteuil.

Pour conclure, ce projet s’inscrit dans l’esprit d’Apside avec un enjeu sociétal fort, mené dans un objectif de formation continue et d’expertise technique. Apside est heureuse d’avoir contribué à sa manière à cette réelle innovation pour améliorer la vie des personnes à mobilité réduite.

Un grand bravo à l’équipe en stage au moment du projet, Caroline P. et Remi B. ayant mené le projet, et désormais ingénieurs chez Apside Industrie.

Crédits photo : Gyrolift

Qu’est-ce que la QVCT ? //

Depuis le 31 mars 2022, la QVT laisse place à la QVCT. Cette appellation regroupe les démarches visant à améliorer les conditions de travail des salariés et, par conséquent, la performance globale de l’entreprise.

Apside s’investit dans ce bien-être professionnel grâce à son partenariat avec MAM Sport Santé, structure qui propose des offres autour du management de la performance, de la formation, de la réalisation de bilans de compétences et de la qualité de vie et des conditions de travail innovantes. Selon eux, le bien-être ne s’applique pas uniquement lorsque nous sommes en entreprise, il n’y a qu’une seule qualité de vie. C’est pourquoi, ils s’intéressent plus particulièrement à ce qu’ils surnomment la QVTC : la Qualité de Vie Tout Court ! En effet, la qualité de vie dépend de nos propres perceptions et ressentis. C’est en ce sens que l’approche de MAM Sport Santé se base sur des valeurs d’écoute, de compréhension de l’environnement, des attentes individuelles mais aussi collectives.

Comment mettre en place une QVCT optimale ? //

Une démarche QVT, commence avant tout par l’audit de l’entreprise pour en comprendre le fonctionnement, les attentes de chacun et pour choisir les bons outils pour cet accompagnement.

Pour mettre en place une QVCT optimale, il faut :

• S’interroger, car chaque entreprise a ses propres besoins et attentes ;
• Tester, car un nouveau fonctionnement n’a pas d’intérêt s’il reste au stade de la théorie ;
• Vivre, car c’est l’expérience qui nous permet de mesurer véritablement l’impact d’un changement sur notre santé mentale et physique

Ensuite, nous observons 3 niveaux dans la QVCT :

• Individuel: quelles sont mes attentes et besoin s pour me sentir bien et performant dans mon travail comme dans ma vie personnelle ?
• Groupe de travail: quels sont les besoins du groupe pour être performant ? Les interactions et missions collectives sont-elles efficaces ?
• L’entreprise: mes employés sont-ils présents et épanouis dans l’entreprise ? Les résultats sont-ils engageants ? L’image de marque de ma société est-elle propice à un bon investissement de la part de mes salariés ?

Tous ces facteurs doivent donc être pris en compte pour mettre en place une qualité de vie optimale pour vos salariés.

Et alors, qu’est-ce que la QVCT chez Apside ? //

La QVCT chez Apside se traduit par des valeurs et des actions visant à l’épanouissement des salariés. En effet, parce que le groupe incarne des valeurs fortes – engagement, proximité et professionnalisme, le bien-être de nos collaborateurs est notre priorité.

Parmi ces actions, nous pouvons notamment compter :

• Le sport, à travers la participation à des évènements solidaires (courses à pied, voile…),
• L’associatif, en soutenant des causes d’utilité publique,
• Le télétravail, qui offre de la flexibilité et limite le temps passé dans les transports,
• La proximité et la convivialité, pour donner à chacun l’attention qu’il souhaite,
• … et bien d’autres !

Apside a depuis plusieurs années investi dans sa politique RSE, consciente qu’adresser les enjeux sociétaux est un gage d’épanouissement. Apside, résolument humaine, prône une meilleure qualité de vie et des conditions de travail, et promet un engagement sociétal & numérique.

Métiers de l’électronique et de l’informatique embarquée : prémices de l’habilitation électrique chez Apside //

Jusqu’à présent, afin de pouvoir satisfaire ces obligations, Apside faisait notamment appel à des sociétés spécialisées dans ces formations obligatoires. Pour le niveau de formation visé par l’agence de Rennes (BR/B2V pour des interventions de dépannage et BE Essais pour des interventions de type essais, mesures…), la formation sur catalogue représentait 3 jours de formation, avec un contenu adapté à des intervenants dans le monde de l’électricité, mais peu adapté à nos métiers du numérique.  

En 2018, une première étape d’analyse de risque (travail sur des très basses tensions) avait permis à Apside et Socotec d’élaborer un programme spécifique sur une journée et demie de formation, avec un langage et des mises en application plus appliqués aux situations réelles rencontrées par nos collaborateurs. Si les apprenants ressortaient plus satisfaits de cette formation, l’organisation de ces sessions de formation nécessitait une certaine logistique : 8 à 12 personnes devaient être dans le besoin de cette formation à la même période et disponibles sur les mêmes créneaux. La délivrance du titre d’habilitation électrique étant parfois impérative au démarrage d’une mission, les équipes Rennaises perdaient alors en réactivité. 

Métiers de l’électronique et de l’informatique embarquée : contenu de la formation //

Afin de créer cette formation, notre équipe a approfondi la norme d’habilitation électrique NF C18-510 (norme couvrant toutes les habilitations électriques) dans le but d’en extraire les savoirs et les savoir-faire nécessaires aux habilitations électriques de nos métiers. Pour cela, le formateur SOCOTEC a pointé à nos équipes les données structurantes. Ces derniers ont ensuite établi un tableau de ces savoirs et ces savoir-faire, pour procéder à un découpage en 3 modules : « Contacts et notions d’électricité », « Tronc commun », « BR et BE Essais ». 

L’appui de l’Academy by Apside a permis aux équipes de formaliser le processus de création des différents modules à travers des storyboards, notamment en répertoriant la diversité des activités, ou encore en veillant à l’ergonomie des supports. Toutefois, la conception d’une formation nécessite non seulement un apport théorique riche, mais également des dispositifs d’évaluation. Dans ce cadre, les concepteurs ont mis en place des QCMs d’évaluation formative, des QCMs de vérification des acquis ainsi qu’un QCM d’entrainement similaire à celui de l’évaluation théorique.  

Concernant la pratique, l’équipe projet avait connaissance des tests à mettre en place : en effet, plusieurs concepteurs avaient déjà participé à plusieurs habilitations électriques et aux recyclages associés. Il ne reste donc qu’à les personnaliser en fonction des métiers ciblés, et à répertorier le matériel adapté. C’est ainsi que 2 types de mises en situation ont été créés – individuelle et collective – avec des variantes, sous forme de « jeu de rôle ». Ces situations permettront au futur apprenant de démontrer l’acquisition des connaissances et compétences nécessaires à l’obtention de la certification.   

Finalement, les apprenants devront suivre un parcours e-learning de 3h sur l’Academy by Apside, (accompagnés d’un tuteur formateur disponible pour répondre aux questions et interrogations), et 3h de formation en présentiel qui permettront de récapituler les connaissances et de passer les évaluations théoriques et pratiques.  

Métiers de l’électronique et de l’informatique embarquée : conclusion //

Entre les sessions de recyclage tous les 3 ans et les formations initiales des nouveaux collaborateurs, ce sont déjà plus de 25 personnes qui devraient bénéficier de ce nouveau type de formation au sein de l’agence de Rennes en 2023. Cette initiative permettra ainsi à l’agence de gagner en réactivité et en temps de formation. Sans nul doute, cette formation a un grand avenir devant elle, avec un déploiement possible auprès d’autres agences confrontées aux mêmes risques électriques. Et qui sait, peut-être que nos concepteurs pourront vendre cette formation à l’écosystème du groupe (clients, partenaires…). 

Sécurisation d’un système embarqué : grandes étapes //

Afin de répondre à ces enjeux majeurs, l’Expertise Unit Cyber Apside propose une méthodologie de sécurisation des systèmes embarqués en 5 grandes étapes :

1. L’identification : elle consiste à identifier le contexte du système et les menaces potentielles qui pourraient l’affecter en prenant en compte les aspects techniques, organisationnels et humains.
2. L’étude : elle repose sur l’évaluation de ses vulnérabilités en analysant ses points forts et ses points faibles qui pourraient être exploités par les sources de menace identifiées.
3. La définition du plan d’action : il s’agit de déterminer les mesures de sécurité adéquates en employant des outils et des techniques de sécurité adaptés à l’environnement.
4. La mise en place opérationnelle : elle s’appuie sur l’instauration de mesures de sécurité identifiées, en veillant à leur intégration dans les processus et les procédures de l’entreprise tout en formant les employés à leur utilisation.
5. La veille : qui comprend la surveillance et l’audit régulier de la sécurité du système en testant l’efficacité des mesures de sécurité mises en place et en adaptant ces dernières en cas de besoin.

Sécurisation des systèmes embarqués : l’étude //

Dès que contexte et périmètre ont été identifiés, il convient d’étudier les vulnérabilités potentielles.

Comme dans toute phase de cadrage, se poser les bonnes questions permet de déterminer les actions à mener. En effet, les investissements et enjeux de cybersécurité sont évalués différemment suivant les situations et les scénarios envisagés. Apporter les réponses aux interrogations suivantes permettra de mieux calibrer ses enjeux :

• « Des exigences fonctionnelles concourent-elles déjà à la sécurité de mon système ?»
• « Mon produit possède-t-il des sécurités (antivirus, pare-feu, HIDS, MDP JTAG) et est-il administré par un système centralisé (SCADA, SIEM, UEM/MDM) ?».
• « Quels impacts pour mon business en cas d’attaque sur mon système ?».

Évaluer et auditer la sécurité déjà en place aide à mieux identifier ses failles et ainsi à déterminer les efforts techniques et financiers requis pour élever son niveau de sécurité. Par ailleurs, un dysfonctionnement causé par une source malveillante aura de lourdes conséquences sur une organisation.

Ces impacts peuvent notamment être :

• Matériels (sureté de fonctionnement) ;
• Financiers (contexte opérationnel, chaîne de production) ;
• Réputationnels (image de marque) ;
• Humains (atteintes à l’intégrité physique des personnes).

Il faut enfin se demander quelles sont les spécificités et contraintes (s’appliquant au système) dont on ne peut pas se séparer. La réponse à cette interrogation permettra d’identifier les limites d’un système, car toutes les mesures ne sont pas implémentables et le coût lié à la cybersécurité doit être maîtrisé.

Sécurisation des systèmes embarqués : définition du plan d’actions //

Une fois que l’état des lieux est dressé, il devient pertinent de déterminer les mesures de sécurité à mettre en œuvre pour couvrir les risques cyber identifiés précédemment. Afin de contrer les menaces d’ordre physique et matériel sur un produit, voici quelques exemples de mesures :

• Verrouillage des interfaces du matériel: Les interfaces de communication et de débogage doivent être protégées par mots de passe voire condamnés à l’aide d’obturateurs/scellés ;
• Désactivation des fonctions non essentielles du micrologiciel : Des guides de sécurisation et de configuration sont disponibles (cf. guide ANSSI pour la sécurisation d’un système GNU/Linux) ;
• Fonctions cryptographiques: le démarrage sécurisé (Secure Boot) authentifiera un micrologiciel et l’ajout d’un HSM protègera les secrets cryptographiques ;
• Politique de mise à jour: Ces MAJ régulières assureront une sécurité efficace face aux dernières menaces avancées (0-day) ;
• Sauvegardes régulières et PRA : Les sauvegardes sont rappelées en production via un plan de reprise d’activité (PRA). C’est une procédure documentée indispensable définissant les règles de déploiement des sauvegardes ;
• Ségrégation : Une bonne pratique consiste à fragmenter physiquement les réseaux en fonction des usages. En cas de compromission, seule une partie du système sera impacté et les risques réduits. Si l’isolation n’est pas possible, l’emploi de zones démilitarisées et de diodes réseaux garantiront une ségrégation logique.

Sécurisation des systèmes embarqués : la sécurisation //

Toutes les étapes précédentes sont nécessaires afin d’effectuer la phase de sécurisation de manière optimale. Les exigences et mesures de sécurité pourront alors être mises en œuvre selon une procédure et un plan d’actions précis qu’il faut définir en prenant soin de préserver l’écosystème de production.

Pour ce faire :

1. Déploiement dans un environnement de test: Il est d’usage d’expérimenter les ajouts dans un environnement de test ou de développement afin de garantir le bon fonctionnement du système final une fois sécurisé.
2. Vérification d’intégration : Il est important de tester la viabilité de toutes les fonctions du système via des tests unitaires dédiés. Certaines pourraient être corrompues ou nécessiteraient d’être adaptées à l’environnement sécurisé.
3. Simulations d’incidents: Des incidents type cyber pourront être simulés afin de vérifier la bonne intégration et le bon fonctionnement des mesures de sécurité dans les processus de l’entreprise.
4. Formation des employés : Afin de s’assurer de la bonne gestion des incidents cyber, les employés devront aussi être formés à la bonne conduite des procédures de sécurité dans l’entreprise.

Sécurisation des systèmes embarqués : la veille //

Parce qu’une résolution d’un incident réussie ne garantit pas d’être définitivement à l’abris, il faut rester en veille permanente, en auditant et éprouvant régulièrement sa politique de sécurité et afin de l’adapter si besoin.

Cette surveillance passe notamment par 3 axes :

• Supervision

Il est conseillé de mettre en œuvre des solutions de gestion centralisée (type SCADA) qui, associés à des systèmes de supervision (SIEM), faciliteront la détection d’incidents et d’alertes de cybersécurité. Les solutions d’IAM et de PKI aideront à la gestion des divers secrets manipulés au sein de votre environnement.

• Sécurité réseau

Les communications, au sein d’un réseau doivent être chiffrées à l’aide d’algorithmes/protocoles sécurisés. Les NIDS/NIPS aident à détecter les attaques réseau et empêchent les exfiltrations de données en cas de défaillances des systèmes de sécurité.

• Audit du système

Faire auditer son système par des professionnels de la cybersécurité ! Non seulement ils apportent un regard extérieur, mais ils permettent également la détection de vulnérabilités potentielles non couvertes, de mieux évaluer le niveau de sécurité des systèmes et de rationaliser les actions cyber à mettre en œuvre. Les audits peuvent prendre diverses formes (organisationnel, technique, web, réseau, code source) suivant une large sélection de mesures de sécurité en s’appuyant sur de nombreux catalogues (ISO-27002, ISO-62433) et guides (ANSSI, CIS) et peuvent permettre de faire certifier vos produits vis-à-vis de normes (ISO-27001, ISO/SAE-21434, ISO/IEC 62443, CC-EAL).

L’expertise unit Cyber //

Ces 5 grandes étapes s’inscrivent dans une méthodologie globale et théorique, mais chacune d’entre elle aura un poids et une importance différente selon la nature de chaque organisation. Au sein d’Apside, nous avons une expertise unit dédiée à la cybersécurité qui se tient à la disposition des structures de toutes tailles ayant besoin de conseil pour sécuriser leur système embarqué. N’hésitez pas à prendre contact avec nous via cet email (eu-cyber@apside.fr) si vous souhaitez l’avis de nos experts.

A propos de l’auteur : Rémi Viard – Responsable de la division CCIS (Cryptology and Cybersecurity for Industrial Systems) au sein de l’Expertise Unit Cyber du groupe Apside – Responsable et créateur du TAESC’Lab (Laboratoire électronique de tests de pénétration des systèmes industriels et embarqués) – Spécialiste sur les sujets liés à la cybersécurité dans de nombreux secteurs (IT, OT, aérospatiale, Automobile).

« Le dématérialisé n’existe pas » : message central de la Fresque du Numérique

Évoquer le numérique ou la transformation digitale conduit à un raccourci : puisqu’on digitalise, on limite les papiers, les trajets, etc. et donc on « dématérialise ». Cet abus de langage amène à penser que le numérique est sans impact tangible, ce qui est totalement faux ! Les objets numériques sont loin d’être écologiques. Les usages de plus en plus intensifs, notamment du streaming vidéo, ont un impact considérable sur la planète.

Le secteur du numérique est responsable de l’émission d’une grande quantité de CO2 (le gaz à effet de serre responsable du réchauffement climatique) dans des proportions plus grandes que l’aviation civile !

La Fresque du Numérique est un jeu qui permet de comprendre ces impacts, et d’adapter nos façons de créer et de consommer le numérique pour contribuer à un monde durable.

Fresque du numérique, l'inquiétude liée à la croissance exponentielle des objets et usages

En 2019, il existait 32 milliards d’équipements numériques en circulation sur la planète. On en prévoit 48 milliards en 2025… Les projections actuelles annoncent une croissance vertigineuse des émissions de CO2 liées au numérique, de l’ordre d’environ 10% par an. Si les usages continuent à croître en suivant la tendance actuelle, les émissions du numérique atteindront 35% des émissions de CO2 globales en 2050, contre 4% aujourd’hui.

Les nouveaux usages tels que la blockchain, la 5G, les objets connectés, et l’intelligence artificielle sont moteurs de cette augmentation significative déjà observée. C’est pour cette raison qu’il est grand temps de sensibiliser les utilisateurs mais aussi les acteurs du numérique, afin d’imaginer ensemble le monde de demain.

Le Green IT, parmi les solutions présentées lors de la Fresque du Numérique

Notre précédent article sur le Green IT et l’impact du numérique l’explique parfaitement : il existe des alternatives concrètes pour raisonner nos usages du numérique, mais aussi raisonner la façon de les concevoir. La Fresque du numérique encourage toutes ces pratiques et en premier lieu le Green IT !

Ce concept, aussi appelé éco-conception, consiste à créer un système numérique sobrement, que ce soit techniquement ou fonctionnellement, afin qu’il réponde aux usages essentiels des utilisateurs avec le moins d’énergie et de matière possible. Le terme de « sobriété numérique » se fait de plus en plus entendre : comment fabriquer moins et mieux ? Selon le dernier rapport de l’association Cigref, la sobriété numérique est une démarche d’entreprise responsable, qui consiste à « modérer l’explosion des usages et la démultiplication des équipements, qui ne sont pas toujours nécessaires, et surtout pas soutenables ». Il s’agit donc de rationaliser, ce qui allie souvent écologie et économie.

À ne pas confondre, l’IT for Green est le choix de mettre le numérique au service de la planète, à travers des projets digitaux qui contribuent par exemple à réduire les émissions de gaz à effet de serre. Il est le plus souvent le fait d’initiatives distincts, par des personnes ou des collectifs, alors que le Green IT est une démarche globale et permanente qui doit s’imposer à tous.

Ces deux visions sont parfaitement complémentaires, et sont présentées comme solutions lors de la Fresque du Numérique, plus que jamais un atelier indispensable.

Coaching des nouveaux arrivants : développer les compétences techniques

Au travers de cette initiative, Jean-Michel offre aux participants l’occasion de se former sur de nouvelles technologies, en cohérence avec celles qu’ils connaissent déjà. Il s’agit notamment d’acquérir des compétences sur des technologies actuelles et d’avenir, pas toujours apprises dans les établissements universitaires.

Le fait de s’auto-former sur une nouvelle technologie permet d’une part de démontrer les capacités d’apprentissage et d’adaptabilité de la personne, et d’autre part qu’ils deviennent à terme des développeurs autonomes et compétents sur plusieurs langages de programmation.

Coaching des nouveaux arrivants : un double bénéfice d’intégration et de satisfaction client

Ce coaching des nouveaux entrants ne s’est pas imposé à nous, Apside recrutant des profils ayant démontré leurs compétences. C’est une initiative que nous avons pris dans une démarche d’amélioration continue, qui doit apporter des bénéfices en interne et en externe.

D’une part, ce coaching permet à Apside Aix de s’assurer que chaque profil qui rejoint l’entreprise reçoive une formation intégrante à l’image d’Apside, et qu’il bénéficie d’un suivi alimentant notre GPEC (Gestion Prévisionnelle des Emplois et des Compétences).

D’autre part, Apside Aix s’assure que chacun de ses talents soit immédiatement efficace lorsqu’il commence une mission client, même si c’est un profil jeune diplômé. La qualité des prestations de nos collaborateurs est au cœur de nos préoccupations, et ce coaching est une étape de plus dans notre exigence de résultats pour chaque projet qu’Apside mène.

La dimension du choix d’un LMS

Cet enjeu de digitalisation de la formation se confronte bien souvent très vite au choix de l’outil, ou autrement dit, à cette interrogation : quelle plateforme d’enseignement à distance sélectionner ?

Le chemin de croix débute alors ! Non seulement le nombre de solutions proposé par les acteurs de ce secteur florissant ne cesse de s’accroître, mais le type de ces solutions explose tout autant.

Pour preuve, aux premiers LMS (Learning Management System) se sont ajoutées les plateformes gratuites en ligne (Parcoroo, iEcole, Podia,…), les plug-ins de solutions de création de site (LearnDash, LearnPress, Tutor LMS,…), les LMS cloud (Moodle Cloud), les LMS customisés (Touch’Lite,…), les plateformes propriétaires de provider (Simplonline, Upility, Didask,…), les LCMS (Learning Content Management System), les LEP (Learning Engagement Platform), les LXP (Learning eXperience Platform), les plateformes de social learning voire mixtes (Tuttis, Hivebrite, Speach.me,…), les plateformes de mobile learning (Beedeez, Teach On Mars, Sparted,…),… Coté fournisseurs, le site capterra.com recense à date plus de 1140 LMS Software (https://www.capterra.fr/directory/30020/learning-management-system/software ) ! Les possibilités offertes sont, si ce n’est infinies, très riches.

Digitalisation de la formation et LMS : ne pas choisir, c’est aussi choisir !

Opter pour un LMS ne se détermine donc pas par de simples fonctionnalités présentes ou non dans un outil mais bien par une réflexion plus globale centrée sur l’organisation, le dispositif de formation et les acteurs en présence. Réflexion qui peut conduire à la fois à la décision de ne pas s’équiper d’une plateforme mais d’une solution alternative, comme à celle d’en acquérir plusieurs !

L’outil n’est qu’un MOYEN, et surtout pas LA solution, face aux enjeux posés par la digitalisation.

Les applications du FPGA

On retrouve ces puces un peu partout et notamment chez soi. Par exemple, il est sans doute arrivé à beaucoup de voir son décodeur TV accepter une mise à jour, avec comme message « mise à jour firmware X.X ». Cette manipulation est en fait une reprogrammation d’un FPGA à l’intérieur du décodeur. Mais la valeur ajoutée du FPGA s’exprime également dans des secteurs stratégiques comme le spatial, l’aéronautique ou la défense. In fine, on peut retrouver des FPGA un peu partout, grâce à sa qualité première qui est la mise à jour à distance de manière infinie afin de réaliser des activités différentes – ou corriger une erreur sans avoir à rappeler tout le matériel.

Le deuxième gros avantage du FPGA étant la rapidité des calculs et des traitements, on les retrouve ainsi dans les clouds, où les FPGA permettent l’accélération de certains traitements. Typiquement, les FPGA vont être utiles aux clouds pour le chiffrement. Aujourd’hui lorsque l’on crée un VPN, entre un point A et un point B, on va vouloir chiffrer des données. Auparavant, seul un CPU en était capable, en récupérant dans le serveur des données et en procédant à des calculs – souvent longs – pour les chiffrer. À la différence du microprocesseur, le FPGA est une configuration matérielle de nombreux éléments unitaires qui fonctionneront de concert. À chaque cycle d’horloge, chaque petit élément effectuera alors une tâche, là où le CPU ne sera capable d’en effectuer qu’une seule. Un chiffrement via FGPA ne pourrait ainsi prendre qu’un cycle d’horloge contre une multitude via un microprocesseur.

Le rôle du développeur FPGA ?

Un projet FPGA se déroule en plusieurs phases assez traditionnelles. La première sera la phase de spécification. Particulièrement longue et challengeante, elle va permettre de choisir ce que l’on veut intégrer au FPGA, en termes de fonctionnalités de base et de taille notamment. La deuxième phase correspondra au codage (figure 3), en langage VHDL pour l’Europe, Verilog pour les USA. Elle aboutira à la construction de l’architecture qui va être interprétée et synthétisée, puis routée sur le FPGA.

La troisième phase consistera en la vérification en simulation. Le développeur observera ainsi l’exécution du traitement avant de l’intégrer à une puce FPGA. Cette phase permet ainsi d’aller voir à l’intérieur de tous les liens et signaux pour étudier leur comportement et ainsi d’avoir la vision globale du fonctionnement du FPGA. Et dès que la maturité est jugée suffisante sur ces simulations, le développeur effectuera des tests sur carte des différentes fonctions afin de vérifier qu’elles sont bien présentes et que les spécifications initiales sont respectées.

Toutes ces phases sont réalisées en lien avec les équipes hardware, qui définissent le besoin de comportement de leur carte électronique, et également des équipes logiciel dans le cadre des communications entre CPU et FPGA (voir plus loin la notion de SoC).

Comme un développeur IT, le développeur FPGA peut s’appuyer sur des bibliothèques (appelées composants en langage électronique), en langage VHDL, qui regroupent des outils de base permettant de faire des conversions de type de signaux ou du calcul de base. Pour des fonctions réimplémentées, plus complexes, le développeur se tournera vers les IP (pour Intellectual Property soit propriété intellectuelle). Ce sont des composants logiciels, avec leurs entrées et leurs sorties, qui peuvent être soit ouverts, écrit en VHDL, soit fermés, ou on aura une description en VHDL des entrées et sorties et au milieu une boîte noire qui sera appelée par l’outil de placement routage pour positionner les cellules précompilées et les mettre à la place souhaitée. Ces IP pourront être disponibles en open source ou payantes.

FPGA ou composant électronique numérique programmable : une solution d’avenir ?

Les dernières années avaient vu les projets FPGA se réduire, notamment à cause des performances de calcul toujours plus grandes des microprocesseurs. Mais aujourd’hui, on observe un regain d’intérêt pour le FPGA grâce au SoC (System On-Chip). Le on-chip est un FPGA auquel on va rajouter des éléments hardware en dur ou en soft. Typiquement, on peut rajouter en interne ou à côté des matrices FPGA un CPU afin de tirer avantage des deux unités électroniques. Le CPU va ainsi commander les différentes configurations du FPGA.

La matrice FPGA comportera alors plusieurs parties : la partie programmable logique, avec le code VHDL ; et des parties CPU ou dédiées à certaines interfaces. On pourra donc réaliser sur une seule puce ce qu’on pouvait réaliser avant sur plusieurs ou sur la totalité d’une carte.

Outre le fait de centraliser les qualités de chacun, cela permet aussi de concentrer tous les composants en un endroit et donc de réduire le temps de circulation des signaux et de gagner un temps précieux, évitant ainsi soudures, pistes longues, adaptations ralentissant les électrons.

Enfin, grâce aux instructions programmées dans les FPGA, on peut se servir du CPU pour en quelque sorte le reprogrammer en lui donnant des tâches spécifiques au besoin.

Finalement et vu son coût (de 1 à 3000$ la puce), le FPGA seul aura un intérêt en fonction des spécifications de la carte électronique. Pour les grandes séries, le CPU seul pourrait être le plus indiqué, mais si on souhaite lui apporter de la flexibilité, on peut se tourner vers le SoC. Et si on veut faire des petites séries, alors le FPGA sera idéal, car il aura le meilleur rapport qualité/prix et le meilleur ROI. En effet, outre son temps de développement, une puce CPU dédiée (ce qu’on appelle un ASIC) prendra environ 6 mois à être fabriquée dans les usines de silicium. Et ceci sans le droit à l’erreur car non reprogrammable.