Le nombre relativement faible de stations de recharge « violées » dans le monde à ce jour ne doit pas diminuer l’attention portée sur la cybersécurité de ces appareils. Comme tout autre appareil connecté au réseau, la borne de recharge peut également être une porte d’entrée pour d’éventuelles attaques et menaces. En risque ne se trouve pas seulement l’utilisateur final, mais également tous les acteurs potentiels impliqués dans le processus, tels que le fabricant de la borne de recharge et le fabricant de véhicules électriques. Atténuer ces risques est l’un des principaux objectifs de la conception de Dazebox et de la collaboration entre Daze et Graftholders.
Ce processus de conception s’appuie sur les principaux standards et cadres de cybersécurité tels que ISA IEC 62443, ISO 27001 et SP 800-53 publiés par le NIST (National Institute of Standards and Technology) ainsi que le Cadre de Cybersécurité et les directives NISTIR 8228 qui traitent de la sécurité des appareils IoT.
Ces cadres, en plus de maîtriser la technologie, nécessitent une approche systématique et structurée axée sur la gestion des risques dès le début de la conception (sécurité dès la conception), ce qui simplifie et optimise les activités ultérieures telles que la gestion des vulnérabilités, la gestion des accès, la protection des données et la détection des incidents. De plus, la sécurité dès la conception permet d’aborder les défis de sécurité dans un contexte moins intensif en ressources grâce à l’optimisation des processus de développement de produit. Dans le but de développer un produit sécurisé, un produit est développé qui correspond mieux aux attentes et aux besoins du client.
Pour appliquer efficacement ces normes complexes, Daze s’appuie également sur un partenaire qualifié, Graftholders, dont la mission est le développement de systèmes intégrés/IoT sécurisés.
Comment est née la collaboration entre Daze et Graftholders ?
Federico: Il y a environ deux ans et demi, Daze était une petite start-up qui commençait à se développer et, en particulier, avait besoin d’élargir son équipe technique. En tant que responsable du département, j’ai dû commencer à évaluer des collaborations qui nous permettraient d’augmenter notre vitesse de développement et de conception. Graftholders est venu à nous précisément dans ce but : pour nous soutenir dans les activités de développement de logiciels. Nous avons eu le plaisir de rencontrer Vincenzo et de commencer à collaborer avec eux. À l’époque, seul l’un de leurs ressources était suffisant pour notre collaboration, mais aujourd’hui, les membres de l’équipe de Graftholders travaillant avec nous au quotidien sont passés à 5. En plus du développement de logiciels, Graftholders nous aide particulièrement avec la cybersécurité, un sujet qui devient de plus en plus important chez Daze à mesure que l’horizon et l’ambition de nos projets et collaborations avec de grandes entreprises grandissent. Dans ce cas, nous ne parlons pas seulement de protocoles de sécurité pour notre logiciel, mais aussi, et surtout, de meilleures pratiques qui doivent être adoptées principalement par notre département technique et ensuite par toute l’entreprise.
Quels sont les principaux défis à relever/abordés ?
Federico: Certainement, le défi le plus important pour Daze à l’horizon est d’internaliser et de mettre en œuvre toutes les meilleures pratiques de sécurité non seulement dans l’équipe technique, mais dans tous les domaines et processus de l’entreprise, y compris les relations avec les tiers. Surtout, il est important que ces processus soient mis en œuvre sans ralentir notre vitesse de développement et de conception, une opération très délicate.
Vincenzo: Je confirme, travailler sur la cybersécurité est un compromis constant. Je crois que la perfection est l’ennemi du bien, il faut tirer le meilleur parti des ressources disponibles pour rendre les processus légers et non contraignants. La cybersécurité, abordée par une start-up ou une multinationale, est différente. En changeant l’échelle de l’équipe, la surface d’attaque des systèmes impliqués et la disponibilité des ressources économiques et humaines, la stratégie adoptée doit également être personnalisée.
Y a-t-il des projets pour l’avenir ?
Federico: Nous continuerons certainement à collaborer sur le développement de logiciels. Ensuite, de nombreux cours de cybersécurité sont prévus pour l’équipe de développement et en général pour toute l’équipe de Daze, comme nous l’avons mentionné précédemment.
Vincenzo: Nous nous engageons à accorder une attention particulière à la formation de la direction de l’entreprise, en soulignant l’importance que les processus fondamentaux pour la cybersécurité soient adoptés par la direction avant le personnel opérationnel. La cybersécurité est un processus d’amélioration continue, visant à maintenir l’organisation toujours un pas en avant des attaquants. Tout comme pour être en avance sur les concurrents, il est essentiel d’avoir à la fois des techniciens qualifiés et une direction compétente, il en va de même pour être en avance sur les attaquants. Le « shift left » représente l’anticipation de la sécurité, la plaçant comme une priorité dans les premières étapes de chaque processus. Tout comme un produit réussi est conçu pour répondre aux besoins des clients dès sa conception, un produit sécurisé est directement conçu pour contrer les attaquants. C’est le concept de « sécurité dès la conception ».
Pourquoi est-il important d’éduquer tout le monde à la cybersécurité ?
Vincenzo: Éduquer chaque individu au sein d’une organisation sur la cybersécurité est essentiel pour protéger l’ensemble du système contre les menaces potentielles. Ce principe est basé sur la prise de conscience que, tout comme une chaîne se brise à son maillon le plus faible, la sécurité d’une organisation peut être compromise par une seule erreur ou distraction.
On dit qu’un vampire ne peut pas franchir une porte sans y être invité, donc les attaques de phishing exploitent un principe similaire dans le monde numérique : elles ne peuvent pas s’infiltrer dans nos systèmes sans une action, aussi innocente soit-elle, de notre part. Cela peut se produire lorsque, trompés par des messages frauduleux, nous fournissons involontairement nos identifiants, permettant ainsi aux attaquants d’accéder.
Le Rapport d’Enquête sur les Violations de Données de Verizon (DBIR) pour 2023 constate que 74 % des violations impliquent l’élément humain, soulignant l’importance de la formation à la sécurité pour tous les niveaux de l’organisation, des cadres au personnel de nettoyage. Une telle formation vise à renforcer chaque maillon de la chaîne, en enseignant à reconnaître et à rejeter les tentatives d’intrusion des « attaquants vampires » qui exploitent notre hospitalité numérique involontaire.
Cet engagement collectif envers l’éducation et l’adoption de pratiques de sécurité efficaces construit une défense robuste contre les menaces externes, transformant l’organisation en une forteresse impénétrable aux assauts des prédateurs numériques.
Quelle est l’erreur la plus courante commise au travail en termes de cybersécurité?
Vincenzo: L’erreur la plus courante commise en termes de cybersécurité n’est pas tant technique que stratégique : il s’agit de ne pas comprendre, au niveau de la direction, que les compétences développées dans le domaine de la cybersécurité peuvent être un avantage transversal pour l’organisation. Cette capacité, souvent attribuée à tort uniquement à la gestion des menaces cybernétiques, concerne en réalité la capacité de l’entreprise à répondre rapidement à des stimuli externes, qu’il s’agisse de menaces à la sécurité ou d’opportunités de marché.
La mise en œuvre correcte des pratiques de cybersécurité contribue à développer une organisation plus agile et réactive. La capacité à identifier rapidement les problèmes et à mettre en œuvre des solutions dans un délai court est une compétence fondamentale qui va au-delà de la simple protection contre les attaques cybernétiques. Cette approche proactive et dynamique de la gestion des risques et des opportunités non seulement améliore la sécurité, mais aussi la compétitivité et l’efficacité opérationnelle de l’entreprise.
Par conséquent, la principale erreur est de sous-estimer l’impact qu’une culture de sécurité bien intégrée peut avoir sur l’ensemble de l’organisation, limitant la perception de la cybersécurité à une fonction de soutien plutôt que de la voir comme une composante stratégique essentielle qui permet à l’entreprise de naviguer avec succès dans un environnement de plus en plus complexe et interconnecté.