Pharrowtech se définit un plan de cyber-sécurité pour les trois années à venir

Pharrowtech, une start-up high-tech issue de l'imec en 2019, conçoit des puces radio et des antennes pour une communication sans fil extrêmement rapide. Avec le soutien de VLAIO, l'entreprise élabore désormais une feuille de route étape par étape.

Mots clés: #Pharrowtech, #sécurité, #VLAIO

Lire plus

Info partenaires

( Photo: Pharrowtech )

ENGINEERINGNET.BE - «Notre infrastructure informatique avait moins d'un an, nous n'avions pas encore d'identification à deux facteurs, alors que nous devions travailler à distance sous la pression de la Covid-19.

Via la boîte aux lettres d'un employé, nous recevions de fausses factures clients suivis de téléphones de rappel pour les payer. Cependant, en tant que start-up, tout passait encore par moi », déclare le PDG Van Thillo. Un rappel téléphonique avec une voix masculine qui s'appelait ‘Jessica’ a mis la puce à l'oreille. « Nous avons réinitialisé la mail-box et verrouillé le système », explique Van Thillo.

L'incident a été signalé au conseil d'administration. « Nous étions dix à l'époque. Aujourd'hui à 25. L'année prochaine, nous devrions être à plus de 40. Nous avons eu de la chance cette fois-là, mais il était clair qu'il fallait en faire plus. Nous voulions qu'une tierce partie audite notre système existant. » Le CISO (Chief Information Security Officer) d'imec nous conseillait NVISO. La société découvrait également le package de cybersécurité du VLAIO à l'époque.

L'exercice n'était pas ponctuel 
« Notre décision d'évaluer et d'améliorer notre cybersécurité est venue avant même que nous ayons entendu parler des options de subvention », déclare Van Thillo. « À l'origine, nous visions une évaluation externe de notre sécurité et un test d'intrusion ‘pen-test’ qui identifierait les vulnérabilités de nos systèmes. Grâce au soutien de VLAIO, nous avons pu travailler plus en profondeur et également établir une feuille de route qui tiendrait le coup pendant trois ans. »

Il est clair qu'il ne s'agit pas dans ce cas d'un exercice ponctuel. « Nous devrons obtenir la certification ISO et nous terminerons ce processus avant que le premier client ne le requière », déclare fermement Van Thillo. L'ISO 27002 cartographie tous les domaines de la cybersécurité ; de la stratégie de sécurité informatique jusqu'au choix de composants résilients, en passant par la gestion des utilisateurs, de leurs données et d'une restauration éventuelle. « Cette approche structurée ne veut rien laisser au hasard. Nous choisissons aussi consciemment pour certaines priorités. »

Quatorze domaines sont testés 
La norme ISO a été créée pour les entreprises de divers horizons. « Nous avons décrit les étapes nécessaires spécifiquement pour Pharrowtech », explique Niels Torisaen, cyber strategy consultant chez NVISO. Cela pave le chemin vers la certification, même si certaines zones sont encore dans l'ombre. « Quatorze domaines ont été testés.

Nous avons élaboré un plan pluriannuel échelonné sur cette base. » Chez Pharrowtech, cinq personnes ont passé quelques mois à réfléchir structurellement à la cybersécurité. « Dans notre monde du conseil, un projet à deux hommes semaine n'est pas exceptionnel », ajoute Torisaen. L'investissement dans la cybersécurité est conséquent, mais nécessaire.

Une valeur ajoutée grâce à un bon « ping-pong » 
« La cybersécurité représente des frais généraux, mais sans elle, notre objectif est irréalisable », déclare Van Thillo. Si tout se passe bien, comme pour beaucoup d'autres processus de support, celui-ci est transparent. La valeur ajoutée de l'expertise externe réside dans cette vision différente et impartiale des processus métier.

« Parfois, cela peut entraîner un conflit, mais cela peut aussi se décliner par un bon “ping-pong” avec les clients, ce qui permet d'avancer. Nous nous attaquons dès lors à la menace extérieure. Au plus longue la réflexion commune, au mieux l'on connaît l'histoire de l'entreprise », stipule Torisaen. NVISO compte environ une centaine d'employés. 

« Quiconque fait affaire avec nous profite de cette montagne de connaissances. Le fait d'impliquer son propre personnel est crucial pour sauvegarder les connaissances et exacerber la prise de conscience vis-à-vis de la sécurité », poursuit Torisaen. « Les employés sont une partie essentielle de l'entreprise, et donc aussi de la cybersécurité. Sans impliquer le personnel, les résultats sont caducs. » Actuellement, la participation des employés de Pharrowtech au processus est encore limitée. 

« Chaque mois, nous avons une réunion 'all-hands' pour toute l'équipe. Nous la clôturons systématiquement par un certain nombre de rappels récurrents. Restez vigilant en fait partie », déclare Van Thillo.

Du bon sens 
« Il faut partir du principe que l'insécurité est omniprésente », déclare Van Thillo. En outre, le paysage des menaces évolue au même titre que celui de l'entreprise. Avec son pool d'experts, NVISO reste à l'affût et peut réagir rapidement aux incidents. Ils ont simulé des incidents qui ont mis à l'épreuve la feuille de route stipulée. « Une fois le plan établi, une balance annuelle des menaces s'impose. Les priorités sont alors établies. Quels éléments peuvent conduire à un shutdown complet ? », explique Torisaen.

Une prochaine étape pourrait concerner les services de suivi CISO ; ou, surveiller si les priorités sont toujours correctes et quel impact les nouvelles menaces ont sur le plan et sur le niveau actuel de cybersécurité. « Le package proposé est correct, quel que soit l'angle sous lequel on le considère. D'une part, il y a l'approche ascendante exigeant des contrôles techniques.

Est-il facile d'accéder au réseau de Pharrowtech ? Entre autres choses, nous avons demandé un ordinateur portable standard à Pharrowtech pour y vérifier à quelle profondeur nous pouvions pénétrer dans le réseau. D'autre part, il y a également l'approche ISO descendante. Elle donne confirmation de l'exercice ascendant en termes de conception et de feuille de route. Par exemple : la gestion des correctifs est-elle strictement suivie ? » , 
esquisse Torisaen. « Nous sommes très fort 'common sense' : faites preuve de bon sens », conclut Van Thillo. 
www.vlaio.be

Qui est Pharrowtech ? 
Pharrowtech développe des puces radio pour des connexions Internet sans fil robustes à haut débit (Gigabit/sec). Sa technologie sans fil permettra e.a. un  
accès Internet plus rapide, une RV et une RA immersives, mais aussi l'IdO et la « smart city technologie ». L'entreprise, qui compte désormais 25 salariés, lancera ses premiers produits sur le marché en 2022, ce qui séduira les constructeurs d'appareils. Elle utilise un modèle « fabless » typique du monde des semi-conducteurs : elle conçoit et commercialise elle-même les puces, puis sous-traite la production à des fabricants à Taïwan, en Corée et en Chine.

Bénéficiez du soutien financier de VLAIO pour investir dans la cybersécurité de votre entreprise 
Souhaitez-vous mieux appréhender les vulnérabilités de votre entreprise ? Vous n'avez pas encore de stratégie pour accroître la cybersécurité de votre entreprise ? Ce programme d'amélioration de la cybersécurité est alors fait pour vous ! Les neuf prestataires sélectionnés par la VLAIO assistent les PME dans le renforcement durable de leur cybersécurité. (www.vlaio.be/cs-verbetertrajecten)

Vous aussi, démarrez votre processus d'amélioration grâce à la subvention « Processus d'amélioration de la cybersécurité », l'Agence Innovation & Entrepreneuriat (VLAIO)  encourage les PME à incrémenter leur niveau de cybersécurité.

  • Pour les PME en Flandre
  •  Accompagnement individuel par un expert en cybersécurité
  • La subvention intervient à hauteur de 45 % du coût