Cyberprint : un projet UNIIC pour garantir la sécurité de votre système d’information

La transformation digitale des modes opératoires du secteur génère une augmentation, dans plusieurs domaines d’activité, de la surface d’exposition de nos adhérents aux risques cyber. Après avoir échangé avec plusieurs de nos membres qui gèrent des fichiers numériques et de la data en général, nous avons pu constater que le degré de connaissance, voire de maitrise, des entreprises sur ces sujets sensibles était faible, alors que les grands donneurs d’ordre étaient désormais très exigeants en ce domaine.

L’UNIIC, fidèle à sa mission de défense des entreprises du secteur, lance un plan d’action sur la maitrise des risques informatiques qui nécessite de construire une action structurée, à construire autour de phases de sensibilisation, de webinaires, d’audits de vulnérabilité (confidentiels) et d’accompagnement vers un référentiel AFNOR (ISO 27001).

Ce plan, accompagné par le service système d’information de l’UNIIC et un expert cyber sécurité, est pris en charge par l’UNIIC et la branche (Ambition Graphique) pour une première cohorte de 10 entreprises non concurrentes.

Le constat

• Le secteur des industries polygraphiques (tous procédés & tous marchés) est très atomisé puisque sur 4000 entreprises, 78 % relèvent des TPE (moins de 10 salariés).
• Vu la variété de leur positionnement marché (du généraliste au spécialiste) de la TPE à l’ETI, de l’entreprise travaillant sur appel d’offre à l’entreprise travaillant sur devis etc. il est devenu essentiel de protéger les informations sensibles des entreprises et de construire un système de management d’un système d’information.
• Au-delà de ce constat, après avoir sondé plusieurs entreprises exposées, nous avons pris la mesure de la vulnérabilité de certains types d’entreprises qui travaillent avec des donneurs d’ordre exigeant de pouvoir contrôler par sondage, la fiabilité des systèmes de management de l’information dans l’entreprise (données entrantes, sortantes, partagées ou stockées). Ce pouvoir de contrôle s’étend désormais au PCA (plan de continuité d’activité) devenu lui aussi essentiel pour être référencé dans certains appels d’offre.

• En outre, à la vulnérabilité technique s’ajoute l’insuffisance des clauses de garanties assurantielles. En effet, dans les polices multirisques, les clauses traitant des données numériques sont souvent réduites à une garantie de « reconstitution d’archives » en cas de sinistre non intentionnel.
• Les TPE/PME de notre secteur sont donc démunies face à ces risques et l’inflation de propositions d’accompagnement a conduit l’UNIIC à partager un constat et une méthode avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI) notamment.

Aussi, il nous importe désormais de :

• Définir les segments d’activité les plus exposés et cartographier les risques.
• Sensibiliser les entreprises témoins à la multiplicité des dangers.
• Lancer des « crash tests » couverts par la confidentialité.
• Présenter le référentiel ISO 27001.
• Elaborer des préconisations pour construire un système de management de ce type de risques.
• Accompagner les entreprises qui le souhaitent vers la certification ISO 27001.
• Mobiliser les collaborateurs des entreprises sur cette thématique.
• L’UNIIC qui porte ce projet, veut construire un plan d’action opérationnel en commençant par une phase préalable qui va de la sensibilisation à l’évaluation du degré de maturité des entreprises du panel que l’on vise ; et en tirer ainsi des conclusions pour passer en mode actif.

Les quelques cibles pré identifiés :

• Toutes les entreprises intervenant sur le secteur du marketing adressé 360 degrés (print et digital).
• Toutes les entreprises positionnées sur une diversification Web to print.
• Une grande partie des entreprises d’éditique que l’on appelle aussi courrier de gestion, dont les clients relèvent du monde de l’assurance ou des mutuelles par exemple.
• Des entreprises qui maitrisent l’électronique imprimée.
• Les routeurs personnalisateurs.
• Les imprimeries positionnées sur les périodiques ou le livre.

Plan d’action

• Présentation des enjeux à un panel d’entreprise.
• Définition d’une cartographie des risques avec l’expert accompagnant.
• Présentation d’études de cas.
• Audit de vulnérabilité.
• Présentation détaillée du référentiel AFNOR ISO 27001.
• Préconisation aux entreprises tests avec rapport d’audit individuel.
• Accompagnement vers la norme iso pour les volontaires.
• Construction d’un mémento pratique orienté méthodes, témoignages et solutions.

Au moment où l’Intelligences Artificielle accroit les risques qui pèsent sur votre système d’information, L’UNIIC est à votre écoute pour recenser les risques cyber et construire la boite à outils dont vous avez besoin.