A propos

J’ai plus de trente ans d’expérience en projets impliquant le numérique dans de nombreux domaines industriels, de l’innovation à l’exploitation en passant par les développements et l’intégration. Les mutations technologiques, les invariants projet, les nouveaux modes de management, les innovations réelles, les illusions, et les mutations sociologiques donnent à ma vision un cadre de relativisation et de ciblage précis des attentes exprimées ou non, y compris dans les aspects non techniques.

Mes interventions ont pour caractéristique de viser l’efficacité dans les projets que j’accompagne.

Domaines de compétence

Cybersécurité des systèmes industriels

SCADA et contrôle-commande

Gestion de l’énergie

Conduite de projets publics et privés

Innovation

Missions – types

Cette liste est non exhaustive

Formations

Module 1 : Réponse à appel d’offre sur les clauses SCADA / Automation / Cybersécurité

Ce module s’adresse aux commerciaux confrontés à des clauses de cybersécurité dans les cahiers des charges du client, ou lors de discussion avec ce dernier.

Il se déroule sur une journée seule et permet la montée en compétences de l’équipe commerciale.

La formation aborde les sujets suivants :

  • Contexte réglementaire (y compris mise en application future de NIS2)
  • Les acronymes et le jargon
  • Les différentes postures client
  • Le processus de cybersécurité : savoir où en est le client
  • Les points techniques et technologiques à connaître
  • Les sujets délicats suer lesquels ne pas s’avancer

De plus, la fin de la journée est consacrée à un exercice sur un cahier des charges apporté par l’intégrateur.

Cette formation sera faite sur une journée, avec des supports qui restent aux participants. Elle se déroulera chez le client. La session comprendra a maximum 7 personnes

Prix forfaitaire : 3 500 € HT

Module 2 : Intégration de la cybersécurité en conception de systèmes industriels

Ce module a pour but de dégager les bonnes pratiques de base concernant la conception d’un SCADA. Cette conception ne coûte pas plus cher et permet de montrer des bonnes pratiques.

Les points abordés sont les suivants :

  • Segmentation des flux par VLAN, notamment pour l’administration
  • Gestion centralisée des comptes et organisation des rôles
  • Restrictions d’accès réseau
  • Durcissement des machines
  • Inventaire et cartographie
  • Back-up
  • Intégrité des fichiers
  • Documentation et tests de la sécurité informatique
  • Précautions dans les échanges d’information entre le client, l’intégrateur et les fournisseurs

Les éléments de conformité ANSSI seront mis en avant. On anticipera la mise en application de NIS2.

A noter, ce module peut déboucher sur la mis en place d’un guide technique adossé à des produits standards open source. En parallèle de ce guide, une description peut être faite et intégrée en base dans les réponses à appels d’offre.

Cette formation sera faite sur une journée, avec des supports qui restent aux participants.

Module 3 : Intégration de la cybersécurité en projets de systèmes industriels

Ce module a pour objet de présenter les activités relatives à la cybersécurité dans les diverses étapes des projet d’informatique industrielle. Elles incluent :

  • Les mesures techniques avec équipements particuliers de sécurité (pare-feux, authentification…)
  • Les mesures liées à l’architecture
  • Les mesures de durcissement sur l’ensemble du système
  • Les vérifications et tests à effectuer
  • Les documents à produire
  • Les essais plateforme et mise en service
  • Le transfert au client
  • Les services en phase de maintenance
  • Les services en phase d’exploitation (dont MCS, Maintien en Conditions de Sécurité).

Cette formation sera faite sur une journée, avec des supports qui restent aux participants.

Module 4 : Cybersécurité des systèmes industriels

Module 5 : Sûreté de fonctionnement et Cybersécurité

Prestations-types

Prestation 1 : Rédaction des documents cybersécurité internes dont PAS (Plan d’Assurance Sécurité) et PCA / PRA

Cette prestation a pour objet de doter l’intégrateur d’un Plan d’Assurance Sécurité qu’il rendra contractuel auprès de ses fournisseurs et sous-traitants.

Ces engagements sont importants pour les associer à la démarche. Le PAS regroupe toutes les clauses liées

  • Aux mesures prises par les fournisseurs
  • A leur application dans les interactions avec l’intégrateur.

Ces éléments doivent être gérés par le chef de projet avec une documentation suffisante pour assurer

  • La transmission des clauses du marché chez les fournisseurs
  • Le transfert du risque chez eux tracée contractuellement
  • La coordination pour les mesures techniques et / ou organisationnelles
  • Les services ultérieurs, notamment la gestion de l’obsolescence et le MCS.

Cette prestation sera déterminée sur devis selon les besoins particuliers de l’intégrateur. Elle sera d’autant plus pertinente que la société aura déjà été formée sur au moins l’un des modules ci-dessus.

Prestation 2 : Accompagnement projet sur les aspects cybersécurité

Cette prestation consiste à apporter une assistance à l’intégrateur lors de la réponse à appel d’offre. En effet, les cahiers des charges ne sont pas toujours ni précis ni clairs, voire oublient des clauses qui seront cependant importantes en cours de projet ou lors de la réception.

Il convient de faire une réponse qui n’augmente pas significativement les coûts tout en étant valorisée lors de la réponse.

Cette prestation sera réalisée sur devis selon les besoins de l’intégrateur et le projet. A noter, les commerciaux et technico-commerciaux ayant suivi le module de formation 1 devraient être autonomes sur ce sujet, sauf pour des projets complexes ou très particuliers.

Prestation 3 : Accompagnement projet en maitrise d’œuvre (DIA, AVP, PRO, ACT, DET, AOR)

Cette prestation consiste à accompagner un intégrateur sur tout ou partie d’un projet. L’accompagnement consiste à :

  • Valider les éléments de conception du projet d’un point de vue cybersécurité
  • Participer aux choix d’architecture, de matériels, de procédures
  • Valider la documentation (avec écriture de certains documents cyber si nécessaire)
  • Interfacer le client pour assurer la bonne prise en compte de ses besoins dans les limites du marché
  • Valider les procédures projet, notamment vis-à-vis des fournisseurs, lors des phases d’essai,
  • Préparer la mise en service du système avec les phases de garantie et maintenance.

Cette prestation est réalisée par un consultant à temps partiel intervenant sur site et à distance. Elle sera chiffrée sur devis.

Prestations expertes

Analyse de risque cybersécurité utilisant ma méthode APERO

Audit cybersécurité des systèmes industriels

Définition et conception des architectures de systèmes intégrant la cybersécurité

Évènements

Webinaire : Méthode APERO – Analyse cybersécurité des systèmes industriels

La méthode APERO (Analyse Pour l’Evaluation des Risques Opérationnels) a pour objet de déterminer les risques cybersécurité d’un système industriel, en connection avec la sûreté de fonctionnement.

Elle est compatible ISO 27005, EV+BIOS RM dans le sens où elle en reprend certaines étapes et permet d’alimenter leur formalisme propre.

Méthode en 4 étapes, elle s’appuie sur une analyse fonctionnelle ce qui permet ensuite de choisir la granularité à laquelle on veut descendre. L’utilisation d’un formalisme abstrait permet de la dérouler à toute phase d’un projet, et de présenter un cadre stable dans le temps.

Ce webinaire détaille les différentes étapes et montre quelques exemples.

En savoir plus