Client

Qui est Fives CortX ?
Créée en 2017, Fives CortX est une filiale du groupe Fives, spécialisée dans l’ingénierie industrielle.

Expertises : digital industriel, IoT et traitement de la data.

Spécialité : le développement de modèles prédictifs et de classification afin d’optimiser la productivité des systèmes industriels et rationaliser leur maintenance.

Fives CortX rejoint La Ruche Industrielle en 2020, une association lyonnaise de 9 acteurs majeurs du secteur industriel. Fives CortX conclut un partenariat avec Wallix en 2019 et intègre Bastion à sa solution.

Pour suivre les préconisations de l’ANSSI, Fives CortX s’est lancée dans l’homologation du portail de sa solution CortX Alchemy Edge, destinée à la collecte des données dans l’industrie 4.0. Conseil, audit organisationnel, pentest… Advens a accompagné Fives CortX dans ce processus d’homologation pendant près d’un an.

Contexte et enjeux

CortX Alchemy Edge : le portail à homologuer

CortX Alchemy Edge : le portail à homologuer
CortX Alchemy, plateforme logicielle robuste et flexible de Fives, est le point d’entrée pour toutes les solutions de Fives CortX.

Simple d’utilisation, CortX Alchemy intègre la collecte de données, des capacités de visualisation et la modélisation prédictive pour proposer aux clients industriels un tableau de bord augmenté dédié à la surveillance de leurs équipements.

La solution CortX Alchemy se décline en trois architectures différentes : Edge, On Premise et Cloud.

Un partenariat avec WALLIX Inside a été mis en place pour renforcer la sécurité et la démarche de développement « secured-by-design » : un coffre-fort de mots de passe est embarqué sur la gateway.

Fives CortX face aux cyber enjeux de l’industrie

L’industrie 4.0 : une nouvelle cible pour les cyberattaques

L’interconnectivité des données de l’industrie 4.0 augmente considérablement la surface d’attaque des systèmes industriels. L’environnement industriel doit prendre les mesures nécessaires pour faire face à ces potentiels risques afin de :

  • accroître la protection de ses données et sécuriser leurs accès,
  • améliorer la cyber résilience des outils de production pour garantir la continuité d’activité.

91 %

91 % des organisations industrielles déclarent avoir rencontré au moins un problème de cybersécurité dans leur environnement OT en 2021 (Kaspersky ICS Security Survey 2022).

Des exigences réglementaires de plus en plus musclées au niveau européen

Les risques en cybersécurité augmentent sur les environnements industriels, à cause du contexte géopolitique. L’Union européenne a récemment renforcé ses exigences réglementaires sur ces questions de cyberdéfense, avec la promulgation de différents textes applicables à tous les États membres.

Pour l’ANSSI , l’homologation de sécurité est « un préalable à l’instauration de la confiance dans les systèmes d’information et dans leur exploitation. »

Fives CortX, en tant que prestataire de services, n’est pas encore soumis à ces nouvelles obligations. L’entreprise a décidé d’avoir un coup d’avance sur le durcissement des réglementations en anticipant l’homologation du portail de sa solution. Fives CortX souhaite anticiper les contraintes imposées par le futur Cyber Resilience Act.

Cyber Resilience Act

Pierre angulaire d’un nouveau standard européen de cybersécurité pour les appareils connectés, son but est :
 

  • de responsabiliser les fabricants sur la cybersécurité de leurs produits,
  • d’informer les clients et les utilisateurs sur les normes de cybersécurité des objets qu’ils achètent et utilisent,
  • de prémunir les entreprises contre la multiplication des défaillances de l’IoT (Internet des Objets) en introduisant la notion de Security by Design – cybersécurité par défaut.
Le Cyber Resilience Act

L’homologation de sécurité pour offrir un produit plus sécurisé

Fives CortX a pris la décision d’homologuer sa gateway pour offrir une garantie de sécurité supplémentaire à ses clients et utilisateurs. Cette homologation présente de nombreux avantages :

  • c’est une démarche rapide et agile, partagée au plus haut niveau avec la direction,
    la gestion est faite par les risques, avec une prise en compte de vraies vulnérabilités grâce aux audits techniques,
  • les procédures d’obtention et les tests techniques sont plus souples, plus rapides et moins coûteux qu’une certification.

Un système d’information (et l’ensemble de ses processus) peut être homologué sans qu’aucun de ses actifs et/ou composants soit certifié. L’homologation de sécurité répond donc au besoin d’un produit même si celui-ci a des nouvelles versions tous les 6 mois avec de nouvelles fonctionnalités.

La démarche d’homologation diffère peu d’une démarche de certification, étant donné qu’elle est axée sur les risques et contrôles avec des audits techniques. La grande différence est au niveau du contrôle lui-même, qui n’est pas fait par un tiers (c’est là qu’entre en jeu Advens) et reste de l’ordre de la démarche interne. C’est la direction qui s’engage sur les risques et vulnérabilités présentés : c’est donc un message fort adressé à ses clients.

Pourquoi Fives CortX a choisi Advens

David Zak, Président de Fives CortX, et Kélig Dugué, Directrice de la Cybersécurité du groupe Fives, ont initié cette homologation et ont choisi Advens pour les accompagner sur ce projet.

Pour eux, être accompagné par Advens, c’est la garantie de :

  • comprendre et appliquer la démarche d’homologation de sécurité préconisée par l’ANSSI, être autonome et profiter des garanties de sécurité supplémentaires durant 3 ans (si le produit évolue significativement au cours de cette période, une homologation doit être repassée pour garantir la mise en production sécurisée de la solution)
  • faire tester leur produit par un professionnel de la cybersécurité, permettant de corriger les éventuelles failles trouvées.

Nous avons trouvé chez Advens un partenaire à taille humaine, capable de répondre à nos enjeux tout en prenant en compte la spécificité de notre contexte d’exécution. Leur accompagnement et cette collaboration nous ont fait grandir et ont renforcé nos pratiques au quotidien.

David Zak
David Zak • Président de CortX

Une connaissance technique poussée pour tester la sécurité du portail

L’accompagnement d’Advens a permis à Fives CortX de se réapproprier les concepts de base en matière de sécurité des données :

  • au niveau produit : révision de la politique de sécurité, mise en place d’un processus pour assurer une solution secured-by-design,
  • au niveau humain : mise en place d’un programme de formation pour les équipes développeurs.

La partie technique de l’accompagnement d’Advens a consisté à mener de nombreux tests d’intrusions (Pentests) très complexes pour s’assurer de la fiabilité de la gateway et de l’absence de toute faille de sécurité.

La phase de pentests et le plan de remédiation proposés par Advens nous ont permis de découvrir et corriger des failles de sécurité jusqu’alors insoupçonnées. Leur accompagnement technique a donc été indispensable pour mieux appréhender le comportement des cyberattaquants et savoir réagir en cas d’intrusion

Thomas Lourdaux
Thomas Lourdaux • Responsable DevOps, Fives CortX

Résultats

Un accompagnement technique indispensable pour le monde de l’OT

Nous avions déjà collaboré avec Advens et, une fois de plus, leurs équipes ont été au rendez-vous. Ce qui m’a beaucoup intéressé dans ce projet, c’est l’analyse de risques. Elle a été menée en profondeur et avec la bonne méthode, dévoilant ainsi toutes les vulnérabilités propres à notre périmètre d’activité. Cette démarche nous a permis de nous focaliser sur les points les plus critiques.

Thomas Lourdaux
Thomas Lourdaux • Responsable DevOps, Fives CortX

Un tremplin pour homologuer la partie Cloud

Avec cet accompagnement opérationnel et technique d’Advens, Fives CortX est aujourd’hui très confiant sur le niveau de cybersécurité du portail de sa solution CortX Alchemy Edge. L’homologation permet à Fives CortX de proposer une gateway plus sécurisée : un gage de qualité qui rassure ses clients.

Mais l’homologation n’était qu’une étape. Ce qui compte désormais pour Fives CortX, c’est d’homologuer toute la plateforme Cloud… Et qui de mieux qu’Advens pour continuer le travail engagé ?

Les experts d’Advens ont su faire preuve d’une grande capacité technique et ils nous ont permis de cibler les actions à mener en termes de cybersécurité. Il s’agit pour nous d’une première étape dans notre long processus visant à améliorer notre maturité cyber. Cette expérience réussie nous prépare au mieux pour envisager l’homologation de la partie Cloud de la solution.

Itamar Ferreira Dos Santos
Itamar Ferreira Dos Santos • RSSI, Fives CortX

Découvrir les offres d’Advens pour l’industrie 4.0