ENTREPRENEURS IT: Pascal Imbert Président du directoire de SOLUCOM (Cabinet de conseil)

 

ENTREPRENEURS IT:

 

Pascal IMBERT, Président du directoire SOLUCOM 

Un nouveau plan stratégique  2015 – 2020 pour Solucom 

 interview-de-pascal-imbert-president-SOLUCOM

 

 

Croissance externe et International :

« Notre implantation à l'international n'est qu'un début après le Maroc et la Belgique. Nous allons accompagner nos grands clients partout ou ils nous le demanderont à commencer par Dubaï (avec Axa) Singapour, Hong Kong, Brésil, sans oublier la Grande Bretagne, plate-forme incontournable en Europe ou une nouvelle opération de croissance externe n'est pas impossible. Il faut du temps, parfois plusieurs années pour réussir ce type d'opération. »

 

Talents et prestations :

« Nos consultants sont proposés légèrement en dessous de la moyenne d'un forfait quotidien en France soit 750 euros en 2014. La moyenne est davantage entre 800 euros et 1000 euros. Nous allons augmenter nos tarifs pour rejoindre cette moyenne en fourchette basse. La R&D représente en moyenne chez Solucom 7 % à 8 % du temps des consultants. Le salaire annuel moyen en 2015 s'élève à 55 000 euros avec des embauches autour de 36 000 euros. Nous avons réalisé plus de 300 recrutements sur l'exercice écoulé après avoir reçu plus de 7000 profils. Sur le marché de l'emploi de consultants IT, les offres ne sont pas totalement asséchées. Si l'économie repart cela peut changer. En cybersécurité, une agence comme l'ANSSI recrute beaucoup des profils similaires à Solucom par exemple. En interne notre « turn over » demeure en dessous de la moyenne du secteur 10 % pour Solucom contre 12 % à 15 % en fourchette normative. »

 

Clients et marché :

« Nous sommes sur une dynamique de croissance portée par l'ensemble de nos clients. La plupart de nos clients (200 premiers grands comptes en France) sont en croissance. Nous sommes très présents sur les secteurs de l'industrie et de l'énergie puis les banques – assurances et les services et transports. Notre croissance est due aussi à des acquisitions notamment en France avec Audisoft-Oxéa et Hapsis (4,5 millions de CA chacune). Au Royaume Uni Hudson&Yorke acquis cette année (3,7 M. de livres de CA) renforce notre présence sur ce marché. Les acquisitions s'effectuent selon des fourchettes d'investissement évoluant entre 0,6 % et 0,8 % du CA. Les secteurs banque et assurance ont pris le relais en IT de celui des télécoms par exemple qui ne représente plus pour Nous que 1 % de notre activité.»

 

Indicateurs et objectifs:

« Solucom sera peut être en fin d'année le premier cabinet de conseil indépendant sur le marché. En 2014, le CA s'élève à 163,1 millions d'euros (soit plus 15 % de hausse) avec une marge nette de 7,7 % (voir les résultats détaillés en section BONUS à la suite de cet article). Sur les quinze dernières années, nous avons toujours offert des dividendes en progression. La croissance de notre chiffre d'affaires doit être en 2015 supérieure à 12 % avec une marge opérationnelle courante entre 11 % et 13 %. (hors nouvelle acquisition). Le taux d'activité se situe à 83 %, le taux journalier moyen à 718 euros (en hausse de 0,7%) et nos effectifs à 1514 personnes (plus de 14 % de progression). La trésorerie se situe à 26,2 millions d'euros. »

 

Scénarios de croissance et axes essentiels du Plan 2015 – 2020

« Nos scénarios de croissance intègrent bon nombre d'opérations de croissances externes sur la période 2015 – 2020. En interne nous devons dessiner un nouveau paysage pour Solucom selon trois axes : développer une entreprise plus horizontale et plus agile, accélérer l'innovation et mobiliser les talents en priorité sur nos valeurs. Nous devons tenir compte de quelques freins constatés sur le marché en 2015. Par exemple, une visibilité encore courte (3,3 mois environ sur le carnet de commande) et des prix étroitement contrôlés par mes services Achats entre autres. Nous sommes à l'aube d'une transformation digitale en profondeur des entreprises via les innovations dues au Digital Working, relation client digitale, smat cities, Big data, cybersécurité... »

 

Jean Philippe Bichard @jpbichard

 

Voir le profil de Jean Philippe Bichard sur LinkedIn

 

 

infographie-2

 

 

BONUS: 

Communication Corporate :

 

Solucom signe un exercice dynamique et lance son nouveau plan stratégique Up 2020

Lors de sa réunion du 1er juin 2015, le Conseil de surveillance de Solucom a approuvé les comptes annuels consolidés au 31 mars 2015 résumés ci-dessous. Les procédures d'audit des comptes sont effectuées et le rapport d'audit a été émis par les commissaires aux comptes.

 Données consolidées au 31/03
 (en M€)

2014/15

2013/14

Variation

Chiffre d'affaires

163,1

141,6

+15%

Résultat opérationnel courant

21,1

18,2

+16%

Marge opérationnelle courante

13,0%

12,9%

-

Résultat opérationnel

20,4

17,7

+15%

Résultat net part du groupe

12,6

10,9

+15%

Marge nette

7,7%

7,7%

-

Incluant Lumens Consultants (consolidé depuis 01/12/13), Trend Consultants (consolidé depuis 01/01/14), Branche industrie – PEA Consulting (intégrée depuis le 01/10/14), Audisoft Oxéa (consolidé depuis 01/11/14), Hudson & Yorke (consolidé depuis 01/03/15).

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Une croissance dynamique de 15%

A l'issue de son exercice 2014/15, clos le 31 mars 2015, Solucom a réalisé un chiffre d'affaires consolidé de 163,1 M€, en progression de 15%. Solucom dépasse ainsi son objectif, relevé fin novembre, d'une croissance annuelle supérieure à 12%.

Le cabinet a dégagé une croissance organique soutenue de 11%, complétée par la consolidation en année pleine de Lumens Consultants et Trend Consultants, et par les acquisitions réalisées sur l'exercice : branche industrie de PEA Consulting, Audisoft Oxéa et Hudson & Yorke.

L'effectif a lui aussi progressé rapidement au cours de l'exercice, avec un plan d'embauche pleinement rempli et un turn-over toujours bas, à 10%. Au 31 mars 2015, Solucom comptait 1 514 collaborateurs contre 1 327 un an plus tôt, soit une progression de 14%, dont 9% à périmètre comparable.

Des indicateurs opérationnels solides

Les indicateurs opérationnels de l'exercice se sont avérés solides, avec une fin d'année en définitive plus sereine qu'anticipée.

Le taux d'activité s'est élevé à 83% sur l'ensemble de l'exercice, chiffre stable par rapport à l'année précédente.

Le taux journalier moyen ressort à 718 €. Il progresse de 0,7% par rapport à 2013/14, conformément à l'anticipation d'une croissance de 0% à 1% fixée en début d'exercice.

La visibilité reste en revanche limitée, avec un carnet de commande qui s'établit à 3,3 mois au 31 mars 2015.

Marge opérationnelle courante de 13,0%, dans le haut de la fourchette visée

Le résultat opérationnel courant s'élève à 21,1 M€, en hausse de 16% par rapport à 2013/14.

La marge opérationnelle courante s'établit à 13,0%, contre 12,9% un an plus tôt. Elle s'inscrit dans le haut de la fourchette de 11% à 13% visée en début d'exercice.

Après comptabilisation d'autres produits et charges opérationnels pour -0,7 M€, constitués pour l'essentiel des frais liés aux acquisitions réalisées sur l'exercice, le résultat opérationnel s'élève à 20,4 M€, en progression de 15%.

Le résultat net part du groupe s'établit à 12,6 M€, en hausse de 15% également. La marge nette reste élevée, à 7,7%, chiffre identique à celui de l'exercice précédent.

Trésorerie nette en progression

Grâce à une solide capacité d'autofinancement, associée à une bonne gestion du poste clients, le cash-flow s'est établi à 14,6 M€ en 2014/15, en progression de 37%.

La trésorerie nette est en hausse, à 22,6 M€ au 31 mars 2015 contre 16,6 M€ un an plus tôt, en dépit des décaissements liés aux acquisitions et aux dividendes. Le montant des engagements financiers liés aux acquisitions reste quant à lui limité à 2,1 M€.

Les capitaux propres s'élèvent à 72,9 M€ à l'issue de l'exercice 2014/15.

Au titre de l'exercice 2014/15, Solucom proposera à l'assemblée générale des actionnaires du 22 juillet 2015 le versement d'un dividende de 0,39 € par action, en hausse de 18%.

Succès du plan stratégique Solucom 2015

L'exercice 2014/15 conclut avec succès le plan stratégique Solucom 2015, lancé en 2011.

Avec plus de 35% de son activité désormais réalisée en conseil en management, le cabinet a conquis des positions solides auprès des donneurs d'ordre métiers de ses clients et a démontré sa capacité à conjuguer ses savoir-faire Business et Technologie.

La dynamique internationale de Solucom a été enclenchée, à travers 2 implantations, au Royaume-Uni et au Maroc, et un partenariat stratégique à Singapour.

Au cours de ce plan, Solucom a en outre délivré une croissance organique soutenue et réalisé 8 acquisitions, conduisant à un véritable changement de dimension du cabinet. Le chiffre d'affaires de Solucom est ainsi passé 108 M€ en début de plan à près de 175 M€ aujourd'hui, en année pleine, soit plus de 60% de croissance.

« Up 2020 », un nouveau plan stratégique pour Solucom

Le marché entre dans une nouvelle ère, marquée par la révolution digitale. Une révolution industrielle et économique de grande ampleur, qui entraîne pour les clients de Solucom des bouleversements profonds et qui exige d'opérer en quelques années des transformations d'envergure, parfois vitales.

Cette nouvelle donne constitue bien sûr une formidable opportunité pour Solucom, compte tenu de sa proposition de valeur, combinant savoir-faire Business et Technologie, et de son retour d'expérience des ruptures qui ont préfiguré le digital.

Dans le cadre de son nouveau plan stratégique, Up 2020, Solucom compte renforcer sa surface et accélérer son développement international, afin d'être pleinement légitime sur les grands projets de transformation à venir.

Solucom entend en outre, et surtout, développer la valeur de son offre, en combinant vision, qualité d'exécution et culture de l'innovation. Avec une ambition : apporter les meilleures réponses au regard des défis stratégiques auxquels sont confrontés ses clients.

A horizon 2020, Solucom se fixe les objectifs suivants :

  • Franchir un nouveau cap en termes de taille, et compter 300 M€ de chiffre d'affaires ;

  • Acquérir un statut plus global, et réaliser 20% de son activité à l'international ;

  • Développer la valeur de son offre, et atteindre 15% de marge opérationnelle courante.

Perspectives 2015/16

Pour ce qui concerne l'exercice 2015/16, première année de ce nouveau plan stratégique, Solucom se fixe l'objectif d'enregistrer une croissance de son chiffre d'affaires supérieure à 12%, hors nouvelle acquisition, et de dégager une marge opérationnelle courante située entre 11% et 13%.

 

CyberDéfense: fausses alertes pour vrais cyberisques pour DEFNET 2015

 

DEFNET 2015: Fausses alertes pour vrais cyberisques

 

 

Commandement-Cyberisques-1

 

  

Les « Cyber Serious Game » sont très utiles pour expérimenter un modèle de centre opérationnel devant faire face aux cyber-attaques et tester le fonctionnement d'une réserve cyberdéfense pour toutes les armées. C'est l'objectif des exercices DEFNET 2015.

 

 « My Company vient d'être attaquée. Des données ont peut être été volées. Nous n'avons pas d'Internet et pas de back up. Expliquez ce qui s'est passé. Évaluez les impacts de la compromission, destruction et vols de données. Établissez une reconstruction. Vous avez huit heures ».

C'est à peu près ce qu'on reçu comme exercice le matin du 24 mars au centre d'études stratégiques de l'armée de terre (CESAT) à l'Ecole Militaire en plein coeur de Paris, une quinzaine d'étudiants en sécurité des réseaux et systèmes de l'EPITA. D'autres exercices avec d'autres écoles et d'autres armées se déroulent également dans le cadre de l'exercice interarmées DefNet 2015, deuxième édition (1).

Fondés sur des scénarios de cyber-menaces réalistes, il permettent d'entraîner différents experts militaires et civils (étudiants et réserve citoyenne). DEFNET 2015, mobilise près de 500 militaires et civils, dont 80 spécialisés dans la défense numérique et simultanément sur sept sites différents (Paris, Rennes, Douai, Toulon, Mont-De-Marsan et en mer, sur deux bâtiments de la marine nationale), autour de thèmes complémentaires. Sur la base de Mont-de-Marsan, où l’Armée de l’Air a installé son centre technique de la lutte informatique défensive (CTLID), l’entraînement repose sur des modes opératoires. En Méditerranée,  deux bâtiments de la marine nationale en opérations,, le « Mistral » et le «Tonnerre », font l’objet de cyberattaques simultanées sur leurs systèmes SCADA (2). Enfin, au sol, l'Armée de terre à Douai participe à l'exercice avec le 41ème régiment de transmissions. Cyber-scénario : deux brigades interarmes doivent contrôler le territoire d’un « Etat partenaire » occupé par des groupes armés qui emploient des méthodes de cyber-terrorisme. C'est pour de faux au plan opérationnel mais pour de vrais concernant les scénarios. Bref des jeux de rôles de type « Cyber Serious Game » très utiles pour expérimenter un modèle de centre opérationnel devant faire face aux cyber-attaques et tester le fonctionnement d'une réserve cyberdéfense dans un cadre opérationnel pour toutes les armées.

Ces cybermenaces fictives sont en fait « bien réelles » comme le souligne le numéro Deux de l'ANSSI, le Contre amiral Dominique Riban. Il peut s'agir sur un site compromis via une vulnérabilité du blog de l'organisation de gérer les conséquences d'une usurpation de comptes « à privilèges » par exemple. Une fois entrés, les cyber-attaquants ouvrent différentes portes pour s'approprier les informations stratégiques en les exfiltrant. « L'idée de cet exercice explique le Colonel Michel Gourdin, directeur de l’EMSST  c'est de comprendre quelles portes ont été ouvertes et avec quelles conséquences puis de les refermer et de s'assurer qu'aucune n'est restée ouverte » ; Bref un grand nettoyage allant de la gestion des mots de passe aux vulnérabilités des applications réseaux et systèmes. Puis vient la phase de reconstruction précise. Avant de « nettoyer », les étudiants doivent comprendre le début de l'attaque, les fuites de données organisées par les « attaquants », les moyens employés et s'assurer qu'aucun « malware » et autres codes « dormants » n'ont été « oubliés ».

Dans l'exercice du 24 mars, des données ont été volées sur un ERP sensible. « sur une cinquantaine d'affaires que nous traitons chaque semaine à l ANSSI , c'est près de 4 a 5 alertes de ce type que nous constatons » révèle le directeur général adjoint de l'agence qui rappelle le cadre de ces exercices : « essentiellement défensif et non offensif. Pas d'exercice de riposte dans le cadre de DefNet 2015. Nous évoluons en respectant à la lettre la loi et notamment l'article 21 de la LPM qui autorise de riposter seulement pour stopper une cyber-attaque. Nous n'allons donc pas au delà ». Sébastien Bombal responsable du département système réseau et sécurité d’EPITA et capitaine de réserve (RC), souligne l'objectif pour cet exercice « nous recherchons à expérimenter avec l’état major aux armées les méthodes et moyens à mettre en place suite à des cyber-attaques nécessitant une collaboration cyber inter-armées et des réservistes pour des cibles civiles non vitales ». 

 

Jean Philippe Bichard            Voir le profil de Jean Philippe Bichard sur LinkedIn

 

1 ( DefNet 2015 fait suite a DefNet 2014, première édition.

 Érigée au rang des priorités du ministère dans le Livre Blanc sur la sécurité et la Défense nationale de 2013, la montée en puissance de la composante cyberdéfense se poursuit et se traduit par un effort cyber qui s’élève à un milliard d’euros pour l’actuelle loi de programmation militaire. Conformément aux orientations du plan ministériel de lutte contre les menaces cybernétiques et de développement des expertises militaires et technologiques nécessaires définies dans le Pacte Défense cyber signé par Jean-Yves Le Drian, ministre de la Défense, en février 2014, le premier exercice DEFNET s’est déroulé aux Écoles de Saint-Cyr Coëtquidan (Morbihan) du 30 septembre au 3 octobre 2014. Placé sous le commandement de l’état-major des armées, il s’agissait du premier exercice global de la chaîne cyberdéfense des armées. Simulant une attaque des systèmes informatiques de notre pays, il engendrait la mise en œuvre d’une cellule de crise et le déploiement des groupes d’intervention rapide.

 

2  http://www.cyberisques.com/fr/mots-cles-12/408-scada-et-milieu-maritime-une-cybersecurite-strategique

 

BONUS: 

 

Colonel Michel Gourdin directeur de lEMSST

LCL Dossé, EMA / CYBER et directeur de l’exercice DEFNET 2015   (Photo cyberisques 2015)

http://www.cesat.terre.defense.gouv.fr/emsst

 

 

OTAN : réunion du comité de cyberdéfense (CDC) en France

À l’initiative de la représentation permanente de la France auprès de l’OTAN (REPAN), de l’état-major des armées (EMA) et de la direction générale de l’armement (DGA), la France a accueilli jeudi 19 et vendredi 20 mars 2015 à Rennes et à Bruz (à DGA Maîtrise de l’information) une réunion du comité de cyberdéfense (CDC) de l’OTAN. Rappelons que le CDC est chargé de mettre en place la politique renforcée de cyberdéfense de l’Alliance ( approuvée en 2014 par les ministres de la Défense et entérinée lors du sommet du pays de Galles ). Cette délégation internationale était constituée d’une quarantaine de militaires et diplomates représentant 22 pays de l’OTAN. Elle était accompagnée par une dizaine de représentants du ministère de la Défense, du ministère des Affaires étrangères et du Développement international ainsi que de la Région Bretagne.

 

L'industrie de la Cyberdéfense bien implantée en Bretagne: 

Projet SOCRATE : Salle Opérationnelle Cyber sécurisée pour la RAdio et la TElephonie 

Subvention : 81 014 €(av.remboursable)

Projet ESTIMER : expérimentation d’une solution de sécurisation par tatouage d’images médicales échangées sur les réseaux privés et publics (cloud)

Subvention : 30 037 €

 

Projet LR2 : boîtier de contrôle et sécurisation des accès internet dans le cadre familial
Subvention :27 322 €

 

Projet COTS : sécurisation de produits COTS (Commercial Off The Shelf : logiciels embarqués d’Interface Concept
Subvention : 50 000 €

 

Projet BEST : borne d’enrôlement pour la sécurité des transactions
Subvention : 50 000 €

 

Projet TASDel : brique de tests de sécurité automatisés des logiciels en cours de développement
Subvention : 15 223 € (Dareboost) et 19 335 € (Société pour l’Informatique Industrielle à Cesson-Sévigné)

 

Projet HARDSPLOIT : outil logiciel et matériel d’audit du niveau de sécurité d’un système embarqué
Subvention : 47 600 €

 

Projet Giga-ORECAS : outil réseau de cartographie et de surveillance des flux, version Gigabit
Subvention : 46 596 € (Amossys) et 8 959 € (Claranet)

 

Projet IMPROVE 1000 : développement d’une solution d’optimisation réseau comprenant la compression et la cryptographie pour rendre inaccessibles les informations transportées
Subvention : 38 155 €(av.remboursable)

 

Projet INFRASEC : Expérimentation dans l’industrie chimique d’un système de cartographie des éléments vitaux d’une architecture et d’identification des chemins d’attaque.
Subvention : 47 400 €(av.remboursable)

 

Projet SYD (Système « Yec’hed » Data) : système de collecte et traitement de données de santé anonymisées et sécurisées dans le cadre d’études sur la consommation médicamenteuse des Français.
Subvention : 131 335 €(av.remboursable)

http://www.bdi.fr/notre-action/numerique

 

 

Rapport "Partnering for Cyber Resilience Towards the Quantification of Cyber Threats" réalisé par Deloitte

 Rapport Deloitte sur la quantification des cyberisques

 

La cybersécurité a été l’un des thèmes majeurs du Forum économique mondial de Davos* alors que les menaces de cyberattaques se font de plus en plus présentes (lire http://www.cyberisques.com/mots-cles-8/400-400-milliards-de-cyber-dommages-en-2015-selon-la-lloyd-s ) Le rapport "Partnering for Cyber Resilience Towards the Quantification of Cyber Threats" réalisé par Deloitte à cette occasion, s’intéresse à la vulnérabilité des entreprises et les coûts liés aux piratages et vols de données.

Capture

Dans un communiqué adressé à la presse Deloitte annonce la mise en place d'une méthode déclinée en trois types d’évaluation : estimer la position et les actions de l'entreprise (vulnérabilité, audit de l’existant, moyens de défense…), comprendre la diversification des menaces et l'exposition aux risques plus importante qui désormais existe (qualification des niveaux de risques) et enfin estimer les coûts (Méthode Monte Carlo*)

Pour Deloitte, cabinet doté d'une forte culture de l'audit auprès de grands comptes, il s'agit d'adresser un message aux dirigeants d'entreprises françaises « encore  trop peu sensibilisés » à ces risques cyber analyse Marc Ayadi, Associé responsable IT Risk Advisory chez Deloitte. Il est vrai que la récente cyber-attaque sur SONY a démontré le niveau de complexité atteint par les cyber-attaquants.

Deloitte a cherché a travaillé sur un cadre de référence qui permet de recenser les différentes catégories de cyber-risques. « A partir d'une cartographie nous tentons d'établir un scorring à ces différents risques. Nous le réalisons notamment via des plate-formes de services en calculant les variables pour l'ensemble de ces risques » explique Marc Ayadi.

Si le rapport livre quelques pistes de réflexion,les cas concrets d'attaques via des outils de type APT ne sont pas abordés. En revanche les modèles mathématiques utilisés pour livrer des estimations et quantifier les impacts des cyber-attaques semblent novateurs. C'est notamment la cas avec la méthode MonteCarlo** appliquée à ces nouveaux risques cyber.

Cyber-resilience-1

 

 « 90 % des entreprises à travers le monde reconnaissent qu'elles sont insuffisamment préparées contre ces nouvelles attaques. La première étape vers un monde numérique plus sûr est l’identification, la cartographie des risques afin d’en limiter la vulnérabilité. Il faut se focaliser sur les risques les plus stratégiques, établir des plans de réaction et de repli , et mettre en place une gouvernance appropriée. » commente Marc Ayadi, Associé responsable IT Risk Advisory chez Deloitte.

*Davos-Klosters, Switzerland 21 - 24 January 2015

 

**Méthode MonteCarlo

 En mathématiques, on appelle méthodes de Monte-Carlo les techniques permettant d’évaluer une quantité déterministe à l’aide de l’utilisation de tirages aléatoires. C’est de cette idée de recours au hasard que vient la dénomination « Monte-Carlo », par allusion au célèbre quartier de Monaco réputé pour son casino... Historiquement, c’est en 1949 que le physicien gréco-américain Nicholas Metropolis et le mathématicien américain d’origine polonaise Stanisław Ulam publient l’article fondateur de cette méthode de calcul et lui donnent son nom. Pour être plus exact, l’idée de procéder à des tirages aléatoires pour évaluer des intégrales compliquées était dans l’air du temps parmi la communauté des physiciens, mais l’apport majeur de Metropolis & Ulam fut de proposer la technique d’échantillonnage préférentiel (cf. § I.5.c), qui améliore largement l’efficacité de la méthode. Pour l’anecdote, c’est dans le cadre des recherches du projet Manhattan sur le développement de la bombe atomique que ces chercheurs (avec quelques autres dont notamment John von Neumann) avaient commencé à développer leurs idées. Des développements importants des méthodes de Monte-Carlo furent l’algorithme de Metropolis – Hastings pour la simulation de certaines variables aléatoires en physique statistique (travaux dus notamment à Marshall Rosenbluth en 1953 et à Keith Hastings en 1970), algorithme qui à son tour fut la base de la méthode du recuit simulé (1983) pour trouver des extrema globaux de fonctions définies sur des espaces de grande dimension. Plus ré- cemment (2008), on a aussi parlé des méthodes de Monte-Carlo à l’occasion de leur utilisation dans des logiciels joueurs de go (très grossièrement, l’idée est que l’ordinateur évalue la qualité d’une position en imaginant que les joueurs terminent leur partie en jouant au hasard), où ces méthodes ont permis des progrès spectaculaires avec notamment le logiciel MoGo, développé au sein de laboratoires de recherche français.

Jean Philippe Bichard @jpbichard

 

BONUS :

Les cyberisques vus par un courtier : Willis

Needs Based Solutions

First cyber risk transfer solutions must be needs led, not product led.  This is because, until you know the cyber vulnerabilities of an organisation relative to the specific threats that organisation faces, you can’t really fill the gaps to the policy wordings as they exist (and most of these are thin and not standard).

Cyber Amplifies Many Other Risks

Second, cyber is not just a discrete risk but, perhaps more importantly, cyber is an enabler/amplifier/accelerator of risks that we are already embracing in our portfolio including but not limited to D&O; Crime BBB; the R in K&R etc. In combination, these things mean that successful cyber engagement is just as much about understanding the ramifications upon existing classifications of risk as it is understanding the new perimeter of cyber.

Cloud Risk

Speaking of new perimeter, cloud computing is rapidly becoming a key component of many organisations’ technology enablement strategies as they continue to seek differentiation in competitive markets. Cloud however is a significant issue from a risk perspective, both in the context of governance and compliance, for example, geographic location of data – are you sure where personnel data is resident, and is that consistent with the jurisdiction of geographies where client organisations operate?

Also in the context of distributed data across many cloud service providers means that accidental aggregation that can compromise the re-aggregated credentials is a real issue.

Cloud therefore constitutes an arena where we are only now coming alive to some of the dimensions of complexity with which we are going to have to wrestle in the coming 12 months. Helping guide clients through the maze of uncertainty to get to the right risk transfer solution is something that we all need to reflect upon.

http://blog.willis.com/2015/01/what-risks-will-emerge-in-2015/

 

Sébastien Bombal, Directeur des opérations, Orange Cyberdefense

 

Sébastien Bombal, Directeur des opérations Orange Cyberdefense

 

 

Entretien Jean Philippe Bichard Cyberisques NEWS 

 

Pourquoi la cybersécurité sur Scada devient elle réellement stratégique en 2015 ?

C'est une prise de conscience lente qui commence dans les années 2000. Au-delà des premiers papiers sur les risques d’un «cyber armageddon» souvenons-nous qu'en 2001 les tours de New York font prendre conscience du risque terroriste sur des infrastructures civiles vitales d’un pays . La France légifère en 2007 et cette étape constitue le début de la création des secteurs d’importance vitale et de la prise de conscience de l’importance de la sécurité des infrastructures industrielles et la prise en compte de leurs dysfonctionnements potentiels pour la nation. Puis en 2010, la cyberattaque avec Stuxnet et sa cible iranienne matérialise ce risque pour le politique et les décideurs. Nous sommes en 2015 et cette prise de conscience est totale, à travers notamment la LPM et les travaux de l'ANSSI en France. La France n’est pas en retard mais les US ont déjà des contraintes réglementaires fortes sur les industriels sensibles.

 

Quelles spécificités distinguez-vous en 2015 en matière de protection des SI SCADA ?

Il faut distinguer dans un premier temps les composant COTS (composants sur étagère) et les composants dédiés au monde « SCADA » tels que les automates et l’électronique embarquée (actionneurs / capteurs) sur les architectures « SCADA ». Il y a donc une base informatique importante dans les processus utilisant du « SCADA », suite à la numérisation de l’automatisme; reste que ces composants informatiques ont des cycles de vie assez courts. Ce qui constitue un premier paradoxe par rapport à des systèmes industriels qui ont, eux, des cycles longs. Un paradoxe qui cumule le « temps de vie » des composants, le « temps de développement » et de mise sur le marché d’un outil industriel, et un « temps de maintenance » de l’outil informatique qui n’est pas sur le même tempo que le cycle de maintenance d’usine. Il est ainsi courant de voir des outils industriels mis sur le marché avec des composants informatiques quasi obsolètes, qui vont devoir être opérés pendant des décennies, et subir des opérations de maintenance comme la mise d’un patch de sécurité une à deux fois par an (arrêt d’hiver / arrêt d’été d’une usine).

 

D'autres paradoxes « securitaires » existent sur SCADA : base installée ssn fonction sécurité, différence d'approches entre sureté et sécurité...

Oui, un autre paradoxe, le deuxième, ce sont les systèmes « SCADA » qui se focalisent sur la sécurité du processus, là où les systèmes de gestion se focalisent sur la sécurité de la donnée. Troisième paradoxe, en matière d'architecture et de conception de systèmes « SCADA », ils n’ont pas été prévus en terme de sécurité pour s’ouvrir, s’interconnecter, détecter voire résister à une malveillance. Aujourd'hui, en 2015, la majorité des SI industriels sous SCADA sont interconnectés entre eux, pour des besoins de « supply chain », de maintenance préventive, de flux tendus, via des réseaux bureautiques/corporates. Le niveau de risque n’est plus le même.  J'ajoute enfin un dernier paradoxe, le quatrième, constitué par les cultures des hommes qui gèrent les différents SI d'une organisation : informaticiens (sécurité de l’information) et automaticiens (sûreté de fonctionnement). Au-delà des cultures, le défi consiste à intégrer les risques identifiés sur les SI bureautiques au sein des architectures SI de type industriels (expertise de l’informaticien), mais aussi de raisonner en sûreté de fonctionnement (expertise de l’automaticien). Faire converger les mesures techniques de cybersécurité et les mesures électro-mécaniques de sûreté de fonctionnement est un véritable défi. On ne protégera pas un système industriel avec uniquement de la cybersécurité.

 

Que vont changer en terme d'organisation les décrets sur les SI industriels en cours de préparation à l'ANSSI suite à la promulgation de la LPM ?

Le décret et les arrêtés sectoriels vont obliger de classer les SI industriels de 1 à 3. la classe 3 étant celle qui touche les sites les plus sensibles pour la nation propres aux OIV. Reste que le législateur ne peut pas tout et que tout ne viendra pas de la sécurité informatique. Il faut raisonner avec les deux savoir faire : automatismes et informatique. Ces deux disciplines doivent cohabiter pour développer de nouveaux axes sécuritaires comme les boucles de sûreté indispensables au bon fonctionnement des SI SCADA sécurisés. Bref électronique, automatisme et numérique doivent cohabiter. Ceux qui visent des solutions à 100 % de numériques sur SCADA se trompent pour les raisons évoquées plus haut.

 

Les coûts liés à la mise en place de politique de sécurité en environnement SCADA demeurent rarement évoqués. Pourquoi et que proposent Orange Cyberdefense à ses clients ?

Cela reste du « sur-mesure » évidemment ; Mais vous avez raison, les coûts apparaissent plus complexes que ce que l'on perçoit. En fait, ils sont généralement supérieurs aux coûts de la sécurité, car un tel projet entraîne des mises à jour et une gestion de l’obsolescence massives, des choix d’équipements d’infrastructure avec de la sécurité native, etc... Au-delà de la sécurité, on tire très vite des coûts de matériels obsolètes, licences obsolètes, d’applications à faire évoluer pour segmenter et cloisonner les fonctions critiques, etc... J'ajoute qu'en environnement industriel, les coûts de préparation du projet de maintenance ou d’évolution de l’outil industriel supposent de prendre en compte le « métier » du client. Si une usine  pratique la production par lots ou séries, les interruptions volontaires exploitent des « fenêtres d’arrêt  » plus larges que pour une production en flux continu (pétrole, gaz, eau...) qui nécessitent des fenêtres d’arrêt complexes. La gestion de projet sera donc plus au moins coûteuse en fonction des contraintes de production.

 

En terme de renforcement des points vulnérables de SI sous SCADA, quelle approche technique privilégie Orange Cyberdefense auprès de ses clients ?

Il faut identifier et classifier les SI industriels, c'est la première opération, puis évaluer les impacts potentiels pour prioriser les efforts. Il faut ensuite privilégier la segmentation du réseau et des flux d’information (média amovible y compris), la gestion de l’obsolescence, la mise en place d’un contrôle d’accès logique, les moyens de télémaintenance et de mises à jour…. Il nous faut aussi identifier les outils et surtout prendre en compte les processus métier avec les zones critiques et moins critiques. Ainsi, une question aussi simple que de comprendre qui utilise l'outil, et avec quoi cet outil communique est primordiale. Un exemple typique de segmentation qui impacte les processus métier c’est le bureau d'étude qui accède à la bureautique et internet, travaille sur le procédé à venir et intervient sur la production en cas de problème. Tout faire depuis le même ordinateur n’est pas raisonnable !

 

Vous n'excluez pas que des malwares industriels se glissent dans les processus ?

Non, c'est effectivement un risque et déjà un réalité. Havex Stuxnet, shamoon… sont des malwares ciblant déjà des industriels. Mais si on se souvient de Conficker en 2008, il avait en son temps infecté des ordinateurs Microsoft de gestion, des outils industriels ou des windows embarqués dans des systèmes militaires. (1) L’injection d’un malware perturbant ou détruisant un outil de contrôle de commande industriel est un scénario crédible et avéré aujourd’hui.

 

Comment travaillent les équipes d'Orange Cyberdefense sur les sites industriels SCADA des clients dont bon nombre d'OIV ? Disposez-vous d'une méthodologie spécifique par exemple ? Appliquez-vous une philosophie du risque qui consiste a expliquer aux clients que les menaces cyber sont déjà présentes chez eux ? Préconisez-vous la mise en place de « cyber-war-room » ? Vous venez du nucléaire, votre expérience est très utile sur les sites sensibles...

Notre conviction est que l’incident se produira un jour, inévitablement. Notre différence, c'est la méthode. Les points importants pour nos client, c’est un accompagnement de bout en bout avec la puissance d’un groupe concerné par ces préoccupations critiques. La sécurité industrielle c'est du sur-mesure aujourd’hui. Nous n'en sommes qu’au début, et d’autres segments de marché s’ouvrent comme la sécurité des objets connectés. Ce sont aussi des capteurs et des actionneurs !

 

 

 

 

Pour en savoir plus sur cet article et accéder à votre contenu personnalisé profiter de notre offre :

 

 

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

 

 

 

Abonnement individuel par eMail personnalisé 40 envois / an

 

offre spéciale anniversaire887 Euros* au lieu de 1199,00 Euros

 

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

 

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX: synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale, sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels, solutions et investissements Secure IT stratégiques et "cyber war room", Cyber sabotage et réseaux industriels en environnement SCADA, taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique et réglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.

 


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

 

http://www.cyberisques.com/fr/subscribe

 

 

 

 

La première chose à faire pour sécuriser des SCADA, si ce n’est pas fait en 2015, c'est de réaliser l'inventaire et les premières évaluations (audit, cartographie…) puis de réfléchir à une gouvernance interne en incluant les aspects financiers et juridiques : qui va payer, qui va assumer le risque ?

Au-delà de l’accompagnement de bout-en-bout de nos clients, nous proposons aussi des solutions en service managé prenant en compte la souveraineté.

 

Orange Cyberdefense pourrait aller jusqu’à un engagement de résultats et pas seulement de moyens en matière de protection des SI sous SCADA ?

L'engagement de résultats est devenu une attente du marché aux US, il viendra fatalement en Europe sous la pression réglementaire des obligations d'alertes dont le délai de notification aux autorités sera de plus en plus court.

 

Propos recueillis par Jean Philippe Bichard 

 

Perception-risk-Cyberisques-19-FEV-2015

 

BONUS: 

Dans le secteur Entreprises, les revenus des solutions de sécurité d’Orange sont en progrès de +37% au 4ème trimestre 2014. Selon plusieurs études (Gartner, PAC, PWC..) la partie service du marche "cybersécurité" devrait croître de 8 % à 10 %  jusqu'en 2017. Les acteurs consolident leur position: IBM a racheté en 2013 Trusteer, Thales s'est réorgnisé et affiche 500 millions d'euros de chiffre d'affaires, Cassidian repris par Airbus avait déjà repris le français Arkoon pour ses technologies et sa base installée, enfin Capgemini positionne en cyberdéfense Sogeti Higt Tech et Euriware rachetée récemment et spaciaalisée ne cybersécurité en environnement énergie / nucléaire.

Lire aussi: http://www.cyberisques.com/fr/mots-cles-12/408-scada-et-milieu-maritime-une-cybersecurite-strategique

(1) http://secretdefense.blogs.liberation.fr/2009/02/05/les-armes-attaq/

 

 

Université de technologies Troyes (UTT) : des formations d'excellence et pluridisciplinaires en cybersécurité

Université de technologies Troyes (UTT) : des formations d'excellence et

pluridisciplinaires en cybersécurité

 

 

C'est un constat : la France manque de spécialistes de lutte contre les cybermenaces. L'université de technologies Troyes (UTT) depuis plus de dix ans s'est toujours montrée en pointe pour former et sensibiliser nombre de cyber-experts. Son directeur Pierre Koch insiste à l'occasion d'une présentation à la presse le 13 janvier à Paris sur la nécessité d'adapter les formations aux évolutions permanentes des besoins face aux cybermenaces. « Aujourd'hui, avec le fort développement d'objets connectés, de données non formatées et de protocoles peu sécurisés pour ces objets notamment, existe un besoin grandissant de comprendre comment sécuriser les connexions entre ces objets et leurs utilisateurs. C'est un des axes de développement dans nos recherches et formations. » Le directeur précise que l'UTT apporte des compétences complémentaires pour relever les défis de société en disposant notamment d'une position historique et sans équivalent en France sur la maîtrise des risques et les apports de la cybersécurité. Le directeur de l'UTT envisage pour 2016 le développement d'un nouveau cursus propre à la formation continue sur mesure avec des formats courts certifiants. Un projet qui s'inscrit dans la philosophie de l’université : de l'excellence sans élitisme*. Le volet européen n'est pas oublié avec le rôle « leader » de l'UTT dans le projet 2Centre (Cybercrime Centres of Excellence Network for Training Research and Education) en collaboration avec la Gendarmerie Nationale, Thales, C&S, Microsoft France, Orange et l’université de Montpellier.

Pour le Général d'Armée Marc Watin-Augouard Directeur du Centre de recherche de l’école des officiers de la Gendarmerie Nationale (CREOGN) et Président du Centre Expert contre la Cybercriminalité Français (CECyF) « L'UTT de Troyes forme une vingtaine de gendarmes chaque année qui recevront leurs diplômes des mains du Ministre de l'Intérieur à l'occasion du FIC* la semaine prochaine à Lille. Il faut comprendre que pour nous, dans la gendarmerie, Internet est non seulement une place a surveiller comme les entreprises veillent sur leur SI mais c'est aussi un vecteur de rumeurs via des messages à caractère raciste, antisémites qui font l'apologie de la haine. Nous devons donc veiller a ce qu'il demeure un cyber-espace de liberté. Ce qui suppose de cyber-sécuriser Internet ».

Des paroles qui prennent une résonance particulière six jours après le terrible attentat qui a coûté la vie à plus de 17 personnes policiers et journalistes après le massacre d'une partie de la rédaction de Charlie Hebdo. « Nous constatons que des messages de haine et d'incitation à des actes barbares se perpétuent sur les réseaux sociaux. Nous ne pouvons l'admettre. On voit que la lutte contre la cybercriminalité comporte non seulement un volet technique mais également une dimension humaine, sociologique et pourquoi pas philosophique » relève Marc Watin-Augouard qui précise : « Pour Nous, cette lutte se répartit selon trois tiers : procédure, technique, humain. »

Une approche confirmée par Florent Retraint, enseignant chercheur, responsable du Programme Scientifique et Technologique Cybersécurité de l'université de Technologie de Troyes. Pour cet universitaire réputé « il s'agit de mettre ensemble des compétences qui ne se croisent pas forcément afin de travailler unis au-delà de la formation à des recherches dans deux directions : mettre au point des outils de détection des cyber-menaces et développez des outils de « forensic » via des corrélation d’événements par exemple basés sur des graphs. spatio-temporels. » Le chercheur insiste sur la complémentarité des compétences en matière de recherche en cybersécurité. Au sein de l'UTT, existe un Programme Scientifique Cybersécurité de l’Unité Mixte de Recherche CNRS Institut Charles Delaunay (ICD). Une dizaine d’enseignants-chercheurs et quatre ingénieurs participent à ce programme. l’ICD met en relation plusieurs domaines des sciences de l’ingénieur et de sciences humaines : compétences en technologies de l’information, traitement statistique de l’information et sociologie.

Une dizaine de projets de recherche en cours (fonds privés et publics) pour un montant avoisinant les 2 M€ sont en cours de réalisation. Un plateau technique CYBERSEC permet de tester les solutions de sécurité développées.

 

UTT-1

 

 

Des cas réels comme cas d'école

Les équipes de Florent Retraint ont travaillé sur des cas réels qui pourquoi pas peuvent constituer des cas d'école. La cyber-attaque de décembre 2014 sur les SI de Sony Picture illustre cette approche (lire : http://www.cyberisques.com/fr/component/content/article/78-mots-cles-promotionnels/386-hack-sony-heureusement-que-ces-types-n-etaient-pas-la-quand-chaplin-a-fait-le-dictateur )

Dans le cas de Sony relève Florent Retraint, « il y a eu vol de certificats sans doute avec complicité interne et une exfiltration de 11 teraoctets en moins de quinze jours. Nous pensons que cela a été rendu possible techniquement par l'usage de certains outils liés par exemple à la stéganographie (dissimulation de données dans des images fixe ou vidéo) ce qui dans le cas de Sony est possible via les téléchargements de films ». Ce qui laisse penser à ce chercheur que chaque entreprise en fonction de son activité doit mettre en place une politique de sécurité qui lui est propre. Dans le cas de Sony, l'une des vulnérabilités spécifiques, c'est le transfert de données « multimédia vidéo » nécessitant de gros volume à transmettre, ce qui complique les controles.

Pour Florent Retraint les recherches menées en cybersécurité en 2015 touchent nécessairement plusieurs disciplines. Selon l'universitaire, au niveau des couches réseau et de l'adressage IP (Internet Protocol) le futur en cybersécurité serait carrément d'abandonner les aspects sécurité au niveau des adresses IP pour se concentrer sur le contenu transmis par les réseaux en s'appuyant sur des nouveaux protocoles de type ECM (Enterprise Content Management). « Le problème c'est que nous sommes à un moment charnière ou nous commençons tout juste a concevoir des produits avec la sécurité « in design » précise le directeur des études « Il nous faut donc ajouter des couches sécurité mais ce ne sera bientôt plus nécessaire quand les nouvelles générations de solutions auront intégrées des modules sécurité parfaitement homogènes avec le reste de l'architecture ».

 

Une formation d'excellence diversifiées

En matière de formation pure, Deux filières d’ingénieurs en sécurité informatique avec 60 diplômés par an sont opérationnelles à l'UTT. La filière « Sécurité des Systèmes et des Communications » propose de former des ingénieurs chargés de concevoir des systèmes sécurisés et administrateurs systèmes et réseaux chargés d'assurer la sécurité informatique; La filière « Management du Risque Informationnel » s’intéresse aux concepts, méthodes et techniques de traitement de la sécurité dans les systèmes d'information. Elle se propose de former des ingénieurs capables de concevoir, de mettre en œuvre, d'évaluer la sécurité de Systèmes d'Information.

Reza Elgalai, Enseignant – Ingénieur, Responsable de la Licence Professionnelle « Enquêteurs en Technologies Numériques » à l’UTT. Explique que deux grandes directions existent pour rejoindre l'UTT : 1 master et 1 licence Pro. Le Master SSI : « Sécurité des Systèmes d’Information » intégre 50 étudiants en 2ème année avec des possibilité d’alternance. Le programme intégre des notions d'analyse de risques, techniques de sécurisation, Obligations, cryptographie, risque internet, Intégration d’un module cybercriminalité sur la réponse à incident… Des partenaires tels que AGERIS, La Poste, ANSSI, GN, LEXSI, BNP Paribas, Cabinet Bensoussan … participent à ces cursus en déléguant des experts. Reza Elgalai souligne une forte demande en formation continue (VAE, VAP).

Pour la formation licence Professionnelle « Enquêteur Technologies Numériques » un Diplôme national unique en France est accordé aux étudiants en partenariat avec la Gendarmerie Nationale. Ce diplôme est réservé aux services d’enquêtes de certains états : Maroc, Belgique, Luxembours, Ukraine...En France, de nombreux ministères (Ministère de l’Intérieur, Ministère de la Défense, Ministère des Finances publiques, Ministère de la Justice). Cette formation basée sur un tryptique Méthodologie, Technique et Juridique explore les méthode d’enquête, recherche et préservation de la preuve numérique, analyse d’ordinateurs, de téléphones mobiles, de réseaux … sans omettre le cadre légal d’intervention. Elle correspond à 420h de formation sur 13 mois (présentiel et distant).

Jean Philippe Bichard

@cyberisques

 http://www.cyberisques.com/

 

 

 

BONUS :

 

http://www.utt.fr/fr/universite.html

L'UTT en chiffres

2600 étudiants
175 doctorants
24% d’étudiants étrangers
4504 ingénieurs diplômés
6 diplômes d’ingénieur
1 Master avec 9 spécialités
1 doctorat avec 3 spécialités
2 licences professionnelles
2 Master en alternance
154 enseignants-chercheurs
220 personnels administratifs et techniques
8 équipes de recherche au sein de l’Institut Charles Delaunay
60 contrats de transfert de technologie par an
183 partenariats universitaires internationaux
3000 entreprises partenaires
37 354 m2 de locaux

Dates clés

1994 : Signature du décret de création de l’UTT
1996  : 1er diplômé de l’UTT
1997 : Emménagement de l’UTT dans ses propres locaux
2000 : Création de l’Ecole Doctorale
2004 : Lancement de formations Master
2006 : Création de l’Institut Charles Delaunay (ICD)
2007 : Mise en service de la première extension du campus (halle sportive, halles industrielles, foyer étudiants, locaux d’enseignement et bureaux)
2009 : Passage à la gestion autonome prévue par la réforme universitaire
2010 : Certification des comptes
2010 : Création de la « Fondation partenariale de l’Université de technologie de Troyes pour la maîtrise des risques, les systèmes complexes et la sécurité globale »

 

Evènements a venir :

 

FIC 2015 (20-21 janvier 2015)

WISG 2015 (3 -4 février 2015)

RESSI 2015 (19-22 mai 2015)

 

 

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

@ATTYPIQUE    attypique   

 

ATTYPIQUE.COM  (Avec 2 T !) 

 

 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires