Thermoplan a fait des trois valeurs «flexibilité, enthousiasme, simplicité» sa devise. Le fabricant de machines à café souhaite apporter une réelle valeur ajoutée à ses clients en leur proposant non seulement des appareils haut de gamme, mais aussi des services. Dernière innovation en date: ThermoplanConnect. Ce système de télémétrie développé par Thermoplan informe le client en temps réel de la performance de sa machine. Avec ThermoplanConnect, la machine communique avec le client, et bientôt l’inverse sera également possible. D’un seul clic, le client accède à toutes les données importantes relatives à sa machine grâce à une solution cloud. Les données collectées sont représentées sous forme de graphiques clairs et compréhensibles et permettent d’adapter les commandes, les livraisons et le stockage en fonctions des besoins.
La vocation première des machines à café est de préparer des cafés
Cela fait près de deux ans que la plate-forme a été lancée. Chaque machine qui quitte l’usine de Weggis est préenregistrée et apte à envoyer ses données sur le cloud. Sous réserve de l’accord du client, évidemment. Le développement de la plate-forme numérique ThermoplanConnect s’est accompagné d’un certain nombre de défis. «Nous nous sommes alliés à un éditeur de logiciels, car nous n’y serions pas parvenus seuls», relate Ueli Schweizer, membre de l’équipe chargée de la numérisation dans la division Développement de Thermoplan. «Le risque principal réside dans le fait que la vocation première des machines à café est de préparer des cafés. La connexion au cloud et à l’Internet des objets ne doit donc en aucun cas perturber leur fonctionnement.» Cet aspect a posé problème en Chine, car la localisation des machines reposait initialement sur une carte Google, ce que le Grand Firewall chinois ne permet pas.
Des risques accrus en raison de l’interconnexion
Autre hic lié à l’interconnexion: la probabilité d’être victime d’une cyberattaque augmente. Et plus il y a de machines connectées, plus les dégâts peuvent être graves importants. Imaginons qu’un hacker pénètre dans le système d’une entreprise pour paralyser simultanément l’ensemble des machines ou qu’un pirate informatique diffuse des messages racistes sur les écrans d’affichage des machines à café. L’atteinte à l’image et à la réputation de Thermoplan et de l’établissement concerné serait désastreuse.
Prévention et mises à jour régulières
Pour garantir une sécurité maximale, Thermoplan a donc fait appel au savoir-faire de Oneconsult, qui a tenté, en toute légalité, de pirater les machines à café et la plate-forme ThermoplanConnect. Avec un succès des plus limités, comme l'explique Tobias Ellenberger, COO de Oneconsult: «La recherche de failles dans le domaine de l’Internet des objets est une tâche aussi captivante qu’exigeante. Nous travaillons souvent sur des appareils familiers, du quotidien. Les failles de sécurité relatives aux objets connectés viennent en général du fait que ceux-ci n’ont pas été conçus dès le départ pour aller sur Internet et pour affronter ses menaces. Ils ne répondent donc pas aux dernières normes de sécurité. Un hacker légal commence par se demander comment un pirate s’introduirait dans un système, puis cherche à utiliser ou à modifier des fonctions ou des commandes que le pirate pourrait détourner pour parvenir à ses fins.» Tobias Ellenberger préconise de bien gérer les mises à jour et les droits d’utilisateur, de veiller à la sécurité des mots de passe, d’utiliser un codage ayant fait ses preuves et, par-dessus tout, de dissocier les réseaux. Dans le cas de Thermoplan, cela signifie que la production des machines à café est isolée du cloud. C’est juste avant l’emballage que les machines sont connectées au cloud. En matière de cybersécurité, le plus difficile est que l’on ne sait jamais d’où va arriver l’attaque ni ce qui la motive. De plus, la créativité des hackers ne connaît pas de limites. Les attaques sont par conséquent d’autant plus difficiles à anticiper. Le seul recours: s’y préparer au mieux en faisant un travail de prévention et en effectuant régulièrement les mises à jour.
L’humain, principale source de risque
Pour Thermoplan, le pire des scénarios serait une fuite de mots de passe chez un technicien de service après-vente. L’humain serait donc le maillon faible? «D’un côté, oui», admet Tobias Ellenberger, avant d’ajouter que l’humain est aussi la meilleure arme contre les attaques. C’est pourquoi Thermoplan a le culte de la sécurité: tous les techniciens de SAV de par le monde suivent une formation avant d’obtenir l’accès au cloud.
Assurance Cyber d’AXA
«La sécurité absolue n’existe pas», mais lorsqu’on est capable de détecter et d’évaluer correctement les risques, il est possible d’agir en amont et de se protéger. En cas de défaillance de vos systèmes de protection, l’assurance Cyber vous protège des conséquences financières.
Si vos données deviennent inutilisables à la suite d’une manipulation, AXA prend en charge les frais de restauration des systèmes et vous indemnise au titre des pertes d’exploitation et des frais encourus pour le maintien de l’exploitation. AXA couvre aussi les sinistres relevant de la responsabilité civile, par exemple lorsque des commandes en ligne se perdent en raison d’un piratage et que vos clients subissent un dommage.
AXA prend en charge:
- l’intervention immédiate d’un expert en cybersécurité (nos prestataires: Oneconsult, Crawford, Accenture);
- l’intervention d’un expert pour l’identification des failles de sécurité;
- les conseils destinés à prévenir des cas similaires;
- l’identification des personnes concernées par une violation des données et l’information de ces personnes;
- le recours à une agence de relations publiques pour éviter un dommage de réputation.
Fulvio Elia: Votre interlocuteur pour les questions Cyber en Suisse: Fulvio Elia, Gestion des produits Clients Entreprises, AXA.
Marion Rollandy-Claret: Votre interlocutrice pour les questions Cyber à l’international: Marion Rollandy-Claret, Senior Underwriter Financial Lines, AXA XL.
Ce texte est basé sur l’article «La sécurité absolue n’existe pas» (parution dans Mon Entreprise le 4 avril 2019).
