Retour d’expérience : XAP, l’audit B.A.C. de STR, et le regard d’un dirigeant qui a changé d’avis.
Une entreprise qui construit, et qui découvre qu’il faut aussi défendre
XAP conçoit, produit et maintient de l’électronique embarquée. Un métier qui croise plusieurs disciplines (mécanique, électronique, informatique, électromagnétisme, génie climatique) et qui s’adresse à des univers exigeants : la Formule 2, la Formule 3, la Formule E dans la compétition automobile, mais aussi les tractions électriques et les kits de conversion de véhicules thermiques en véhicules électriques. Plus de 330 produits actifs au catalogue, 12 000 références en stock, 600 fournisseurs.
Une entreprise d’ingénieurs habitués à bâtir des objets techniques robustes, pour des clients qui ne tolèrent pas l’approximation. Et pourtant, comme beaucoup de dirigeants, Jérôme Bousquet reconnaît volontiers qu’avant l’audit B.A.C. proposé par STR, la cybersécurité restait un sujet traité de loin, pas ignoré, mais pas prioritaire :
« On n’était pas convaincu au début, je peux vous dire qu’on est convaincu à la fin. Pas convaincu de l’audit, non pas de la nécessité, mais de le faire. C’était une erreur. Il faut faire ces audits de façon régulière. »
Une installation qui ne s’est même pas vue
La promesse de la Box d’Audit Cyber tient en un mot : discrétion. Installée à l’intersection entre le firewall et le réseau interne, elle observe pendant une semaine l’ensemble des flux (internes et externes) sans altérer le fonctionnement de l’entreprise. Le dirigeant de XAP le confirme en des termes explicites :
« L’audit s’est déroulé sans intrusion, aucune, dans notre système d’information. Une légère coupure de quelques secondes de notre lien Internet qui ne s’est pas vu. On a laissé tourner les applications à peu près une semaine. L’auditeur est reparti avec la boîte noire de collecte et nous a fait un retour. »
Une restitution qui a empêché de dormir
C’est dans la phase de restitution que l’audit prend tout son sens. Et c’est aussi là qu’il bouscule, parfois pour de bonnes raisons.
« Un retour édifiant qui nous a empêché de dormir quelque temps. […] C’est vraiment une analyse qui est croisée avec deux systèmes d’analyse, et qui nous permet vraiment d’avoir une vision claire de notre système d’information. En tout cas, elle est claire pour le dirigeant. »
C’est précisément là que réside la valeur ajoutée du dispositif STR : une synthèse factuelle, hiérarchisée, qui nomme les erreurs de configuration sans dramatiser, et qui, surtout, les nomme avec leurs solutions : le dirigeant, même sans formation cybersécurité, comprend, voit, et peut décider.
« Construire ne suffit pas »
Au-delà du constat immédiat, c’est la réflexion plus large du dirigeant de XAP qui mérite d’être entendue par tous les chefs d’entreprise du territoire. Une réflexion qui dépasse largement le cadre d’un audit ponctuel :
« Il faut absolument concevoir aujourd’hui, en tout cas pour ma part, que cet audit doit être annuel au moins, et doit venir conforter une politique de sécurité qui vise autant à construire qu’à défendre ce qui est construit, ce qui n’est pas forcément le cas de gens comme nous, qui sommes plus habitués à construire qu’à défendre ce qui est construit. »
Cette phrase dit quelque chose de profond sur la culture des entreprises industrielles françaises : une culture du faire, de la réalisation, de l’ingénierie, dans laquelle la défense de ce qui a été bâti reste trop souvent un angle mort.
Un audit à intégrer au rythme de l’entreprise
Jérôme Bousquet va plus loin en proposant une analogie que tout chef d’entreprise peut entendre :
« Je recommanderai, et en tout cas, je vous commanderai des prestations sur ce mode-là de façon annuelle, pour vérifier la dérive de notre système de protection, ou l’alignement, s’il y a alignement. Au même titre qu’on a des éléments sur les alarmes, des éléments sur les distributions électriques dans nos tableaux de distribution. »
Personne ne discute aujourd’hui la nécessité de vérifier annuellement une installation électrique ou un système d’alarme. Le système d’information, lui, reste bien souvent ausculté par à-coups, après un incident, ou jamais. C’est précisément cet écart culturel que l’audit B.A.C. cherche à combler.
Et vous ?
En une semaine, sans rien changer à votre quotidien, vous pouvez savoir précisément comment votre système d’information résiste réellement aux menaces. Et décider, en connaissance de cause, des priorités à traiter.
Contactez STR pour échanger sur l’audit B.A.C. et voir si votre entreprise peut bénéficier de la prochaine fenêtre disponible.