MERCI DE VOTRE PARTICIPATION !

Une initiative du think-tank GR-IoT (Groupe de Réflexion IoT) qui vous prendra moins de 7 minutes !

Personne jusqu'à présent ne mesure réellement l'impact des cyberattaques visant les objets et systèmes connectés en France, et c'est bien dommage. Car au-delà du constat, il y a fort à apprendre sur la fréquence, sur les modalités des tentatives d'intrusion/destruction et surtout sur leurs impacts réels. Ces derniers peuvent être bien sûr catastrophiques. Mais ils obligent surtout à réagir, corriger, modifier, renforcer, protéger, anticiper... C'est sur ces points que cette étude et son partage font vraiment sens.

Si vous avez été attaqué en 2024, quelles actions avez-vous prises, qui pourraient être utiles à tous ? En établissant ainsi un bilan, nous souhaitons apporter des réponses constructives à ces questions cruciales.

Evidemment, ce sondage est confidentiel et anonyme. Les données collectées ne seront exploitées que par concaténation et jamais individuellement.

Les éléments recueillis et enseignements tirés alimenteront les prochains événements du think-tank GR-IoT (matinée en présentiel en décembre et webinaires à la suite). Merci pour vos réponses précieuses. Contacts utiles : Patrizio Piasentin et Philippe Grange - ct2@gr-iot.org ; voir aussi le site GR-IoT . Copyright Media Dell'Arte - (tous droits réservés)

Question Title

* 1. Qui êtes-vous ? Qui nous répond ?

Je suis dirigeant d'entreprise

Je suis directeur opérationnel/fonctionnel (précisez dans la case "Autre" ci-dessous)

Je suis DSI de l'entreprise

Je suis CTO (Chief Technology Officer)

Je suis DSSI ou RSSI de mon entreprise

Je suis en charge des systèmes OT/IoT/Systèmes connectés de l'entreprise

Je suis directeur de projet/responsable de projets IoT et Systèmes connectés

Je suis responsable R&D dans mon entreprise

Je suis ingénieur/développeur IoT & Systèmes Connectés au sein de mon entreprise

Je suis consultant externe cybersécurité des IoT et Systèmes Connectés

Autre fonction non répertoriée ci-dessus (précisez dans la case ci-dessous)

Autre (précisez) :

Question Title

* 2. Vous travaillez pour... (plusieurs réponses possibles)

Une entreprise propriétaire/cliente/utilisatrice d'IoT et de systèmes connectés (tous secteurs, toutes tailles)

Une entreprise considérée par NIS2 comme Ent. Critique (EC) Ent. essentielle (EE) ou Importante (EI)

Un éditeur des domaines des IoT et/ou Systèmes connectés

Un opérateur de connectivité des IoT et systèmes connectés (terrestre, satellitaire, hybride)

Une ESN/société de services/intégrateur spécialisé IoT ou généraliste

Une société de services SOC (centre d'opérations de sécurité)

Un concepteur/fabricant/intégrateur d'IoT et de systèmes connectés

Un acteur du cloud, de la data IoT, de l'IA (traitement, sauvegarde, transport, analyse, stockage)

Une entreprise productrice/distributrice de composants, constituants (dont capteurs), sous-systèmes IoT

Une entreprise/un BE spécialisé dans l'énergie/l'alimentation des IoT & Systèmes Connectés

Une entreprise de conseil/de labellisation/de règlementation spécialisée dans la cybersécurité

Une société d'assurance spécialisée cybercriminalité ou généraliste, un courtier couvrant ces domaines

Autre (précisez ci-dessous)

Autre (précisez) :

Question Title

* 3. BILAN INCIDENTS 1/3- Pour les systèmes connectés et applications à base d'IoT dont vous avez la responsabilité, que s'est-il passé en 2024 ? (plusieurs réponses possibles)

Nous avons été attaqués sévèrement sur plusieurs systèmes et plusieurs fois ces derniers 12 mois

Nous avons été attaqués plusieurs fois, essentiellement sur le même système assez ancien (plus vulnérable)

Nous avons constaté des tentatives fréquentes, heureusement sans conséquences

Nous avons remonté des alertes et tentatives, graves, que nous avons heureusement su/pu neutraliser à temps

Nous n'avons pas su/pas pu vraiment traiter les alertes (faux positifs ?), mais sans dégâts majeurs sur nos systèmes et objets connectés

Nous n'avons pas su/pas pu vraiment traiter les alertes et tentatives, et avons subi de fait des dommages plutôt importants

Il ne s'est rien passé (à notre connaissance) : nos IoT et systèmes connectés n'ont pas été attaqués

Autre cas/commentaire :

Question Title

* 4. BILAN INCIDENTS 2/3 - A quels types et fréquences d'incidents avez-vous eu à faire face en 2024 ? (plusieurs réponses possibles)

	Enormément d'incidents cette année	Plusieurs fois ces 12 derniers mois	Quelques tentatives/incidents sporadiques	Pas d'incident du tout
Faux positifs	Faux positifs Enormément d'incidents cette année	Faux positifs Plusieurs fois ces 12 derniers mois	Faux positifs Quelques tentatives/incidents sporadiques	Faux positifs Pas d'incident du tout
Ransomware	Ransomware Enormément d'incidents cette année	Ransomware Plusieurs fois ces 12 derniers mois	Ransomware Quelques tentatives/incidents sporadiques	Ransomware Pas d'incident du tout
DDOS (Deny of service)	DDOS (Deny of service) Enormément d'incidents cette année	DDOS (Deny of service) Plusieurs fois ces 12 derniers mois	DDOS (Deny of service) Quelques tentatives/incidents sporadiques	DDOS (Deny of service) Pas d'incident du tout
Vol de données et/ou de propriété intellectuelle	Vol de données et/ou de propriété intellectuelle Enormément d'incidents cette année	Vol de données et/ou de propriété intellectuelle Plusieurs fois ces 12 derniers mois	Vol de données et/ou de propriété intellectuelle Quelques tentatives/incidents sporadiques	Vol de données et/ou de propriété intellectuelle Pas d'incident du tout
Modifications de données/des valeurs (intégrité) en local	Modifications de données/des valeurs (intégrité) en local Enormément d'incidents cette année	Modifications de données/des valeurs (intégrité) en local Plusieurs fois ces 12 derniers mois	Modifications de données/des valeurs (intégrité) en local Quelques tentatives/incidents sporadiques	Modifications de données/des valeurs (intégrité) en local Pas d'incident du tout
Plantages récurrents/Baisse des performances de tout le système	Plantages récurrents/Baisse des performances de tout le système Enormément d'incidents cette année	Plantages récurrents/Baisse des performances de tout le système Plusieurs fois ces 12 derniers mois	Plantages récurrents/Baisse des performances de tout le système Quelques tentatives/incidents sporadiques	Plantages récurrents/Baisse des performances de tout le système Pas d'incident du tout
Intrusion au niveau des capteurs/actuateurs et composants IoT	Intrusion au niveau des capteurs/actuateurs et composants IoT Enormément d'incidents cette année	Intrusion au niveau des capteurs/actuateurs et composants IoT Plusieurs fois ces 12 derniers mois	Intrusion au niveau des capteurs/actuateurs et composants IoT Quelques tentatives/incidents sporadiques	Intrusion au niveau des capteurs/actuateurs et composants IoT Pas d'incident du tout
Tentatives de piratage au niveau des appareils de connectivité/de traitements intermédiaires (commutateurs, gateway, edge computing )	Tentatives de piratage au niveau des appareils de connectivité/de traitements intermédiaires (commutateurs, gateway, edge computing ) Enormément d'incidents cette année	Tentatives de piratage au niveau des appareils de connectivité/de traitements intermédiaires (commutateurs, gateway, edge computing ) Plusieurs fois ces 12 derniers mois	Tentatives de piratage au niveau des appareils de connectivité/de traitements intermédiaires (commutateurs, gateway, edge computing ) Quelques tentatives/incidents sporadiques	Tentatives de piratage au niveau des appareils de connectivité/de traitements intermédiaires (commutateurs, gateway, edge computing ) Pas d'incident du tout
Attaques du réseau/de la connectivité	Attaques du réseau/de la connectivité Enormément d'incidents cette année	Attaques du réseau/de la connectivité Plusieurs fois ces 12 derniers mois	Attaques du réseau/de la connectivité Quelques tentatives/incidents sporadiques	Attaques du réseau/de la connectivité Pas d'incident du tout
Attaques paralysantes des plates-formes de management des objets/systèmes et/ou des PF applicatives	Attaques paralysantes des plates-formes de management des objets/systèmes et/ou des PF applicatives Enormément d'incidents cette année	Attaques paralysantes des plates-formes de management des objets/systèmes et/ou des PF applicatives Plusieurs fois ces 12 derniers mois	Attaques paralysantes des plates-formes de management des objets/systèmes et/ou des PF applicatives Quelques tentatives/incidents sporadiques	Attaques paralysantes des plates-formes de management des objets/systèmes et/ou des PF applicatives Pas d'incident du tout
Intrusions malveillantes via le mécanisme de mises à jour (OTA)	Intrusions malveillantes via le mécanisme de mises à jour (OTA) Enormément d'incidents cette année	Intrusions malveillantes via le mécanisme de mises à jour (OTA) Plusieurs fois ces 12 derniers mois	Intrusions malveillantes via le mécanisme de mises à jour (OTA) Quelques tentatives/incidents sporadiques	Intrusions malveillantes via le mécanisme de mises à jour (OTA) Pas d'incident du tout
Attaque des bases de stockage de données/Modification des valeurs	Attaque des bases de stockage de données/Modification des valeurs Enormément d'incidents cette année	Attaque des bases de stockage de données/Modification des valeurs Plusieurs fois ces 12 derniers mois	Attaque des bases de stockage de données/Modification des valeurs Quelques tentatives/incidents sporadiques	Attaque des bases de stockage de données/Modification des valeurs Pas d'incident du tout
Intrusion des applicatifs et/ou des données stockées dans le Cloud	Intrusion des applicatifs et/ou des données stockées dans le Cloud Enormément d'incidents cette année	Intrusion des applicatifs et/ou des données stockées dans le Cloud Plusieurs fois ces 12 derniers mois	Intrusion des applicatifs et/ou des données stockées dans le Cloud Quelques tentatives/incidents sporadiques	Intrusion des applicatifs et/ou des données stockées dans le Cloud Pas d'incident du tout

Autre type d'incident/Commentaire :

Question Title

* 5. BILAN INCIDENTS 3/3 - Comment estimez-vous les impacts en ressources et en euros de ces cyberattaques (ou tentatives) ?

	Cliquez ci-dessous pour indiquer les grandeurs
En coûts financiers totaux (rançon, dédommagements, baisse de production, actions réputationnelles, achats de prestations et de patchs...) (en €)	En coûts financiers totaux (rançon, dédommagements, baisse de production, actions réputationnelles, achats de prestations et de patchs...) (en €) Cliquez ci-dessous pour indiquer les grandeurs menu
En engagement de ressources internes pour remise en conditions opérationnelles (en ETP)	En engagement de ressources internes pour remise en conditions opérationnelles (en ETP) Cliquez ci-dessous pour indiquer les grandeurs menu
En achats de conseils et de prestations de spécialistes cyber, mise en place d'un SOC... (en €)	En achats de conseils et de prestations de spécialistes cyber, mise en place d'un SOC... (en €) Cliquez ci-dessous pour indiquer les grandeurs menu
En remise en conformité, mise en oeuvre de patchs, reconstruction partielle (en ETP)	En remise en conformité, mise en oeuvre de patchs, reconstruction partielle (en ETP) Cliquez ci-dessous pour indiquer les grandeurs menu
En normalisation, formation cyber, assurabilité (en €)	En normalisation, formation cyber, assurabilité (en €) Cliquez ci-dessous pour indiquer les grandeurs menu

Autre/Commentaire

Question Title

* 6. SE RELEVER, APPRENDRE - A la suite de ces alertes, incidents et/ou dégâts constatés, qu'avez-vous immédiatement déjà mis en oeuvre en 2024 et qu'allez-vous entreprendre en 2025 ?

Question Title

* 7. SE POSER LES BONNES QUESTIONS - Sur la base de vos expériences 2024 (bonnes ou mauvaises) en matière de cybersécurité, quelles sont selon vous les 4 questions-clés prioritaires (ordre indifférent) à se poser désormais pour protéger vos systèmes connectés & IoT ?

Nos systèmes et IoT utilisent-ils des Secure Elements pour stocker les clés et protéger les processus d'authentification ?

Nos systèmes appliquent-ils une authentification continue, des contrôles d’accès stricts conformément au modèle Zéro Trust ?

Nos systèmes et IoT respectent-ils les exigences NIS2, IEC 62443, EN 303 645,..., notamment en ce qui concerne les mots de passe forts, la mise à jour sécurisée et la protection contre les vulnérabilités ?

Les données sont-elles toujours chiffrées lors de leur transit et leur stockage dans le Cloud ?

Les mises à jour sont-elles automatisées et validées par des signatures numériques pour garantir leur intégrité ?

L’accès aux IoT est-il protégé par une authentification forte (MFA, certificats) ?

Les connexions IoT-Cloud utilisent-elles des protocoles sécurisés tels que TLS/SSL pour prévenir les interceptions ?

L'accès aux ressources du réseau est-il limité par rôle et segmenté pour réduire l'impact des attaques (moindre privilège) ?

Nos systèmes & IoT sont-ils surveillés en temps réel (en interne ou en externe) avec des outils SIEM/SOC/SOAR pour détecter et réagir aux comportements anormaux ?

Les ressources Cloud sont-elles protégées par une authentification stricte et une segmentation pour limiter l’exposition en cas de compromission ?

Autre question primordiale (veuillez préciser)

Question Title

* 8. LOIS, NORMES, STANDARDS et REGLEMENTATIONS - Un long chemin vertueux s'impose à tous, relatif au respect d'impératifs légaux, normatifs & règlementaires (cyber)sécuritaires. Comment vos IoT et systèmes connectés intègrent-ils cette " compliance " ?

Ils sont " à l'état de l'art " à date de leur déploiement et vont rester ainsi jusqu'à la fin de leur cycle de vie

Nous avions anticipé les contraintes de certaines règlementations futures, dans la mesure des informations disponibles

Ils sont pour la plupart " secure-by-design ", en avance sur le règlementaire

Nous y avons intégré les normes les plus avancées et sommes en capacité de les faire évoluer au fil des contraintes nouvelles

Nous avançons à la même vitesse que la transposition des obligations européennes dans le droit français : lentement et par à-coups

Nous nous sommes rapprochés des instances-clés de normalisation et de règlementation pour bénéficier d'une certaine avance

Nous allons tout remettre à plat dans ces domaines lors des V2 de nos systèmes les plus critiques

Il est urgent de ne pas se précipiter : sans toutefois être hors la loi, nous gérons les risques au jour le jour

Autre proposition (veuillez préciser)

Question Title

* 9. ASSURANCES & INDEMNITES - Allez-vous entamer une démarche de couverture assurantielle de vos systèmes connectés et IoT en cas de cyberattaque ?

Nos systèmes sont déjà assurés contre les actions cybercriminelles

Nous sommes en plein travail d'évaluation des pré-conditions sine-qua-non à ce type d'assurance (qui impacte jusqu'à notre organisation, nos méthodes et nos outils)

Nous n'avons pas encore réfléchi à cette hypothèse

Nous avons entamé des démarches préalables de diagnostic et audit technique de nos systèmes IoT avec un courtier spécialisé

C'est d'ores et déjà prévu dans nos objectifs prioritaires de 2025-2026

Nous n'y croyons pas, car nos systèmes sont trop complexes donc non-assurables

Nous cherchons des assureurs et opérateurs "new gen" qui comprennent nos risques et sont prêts à les couvrir

Les primes sont très chères, pour une couverture insuffisante : on a laissé tomber l'idée

Autre position (veuillez préciser)

	Nous avons déjà fait en 2024	Nous allons faire dès 2025	Non Applicable
- Rien de particulier car nous exploitons du legacy ancien à remplacer	- Rien de particulier car nous exploitons du legacy ancien à remplacer Nous avons déjà fait en 2024	- Rien de particulier car nous exploitons du legacy ancien à remplacer Nous allons faire dès 2025	- Rien de particulier car nous exploitons du legacy ancien à remplacer Non Applicable
- Passer nos systèmes stratégiques à la moulinette des logiciels de diagnostic cyber	- Passer nos systèmes stratégiques à la moulinette des logiciels de diagnostic cyber Nous avons déjà fait en 2024	- Passer nos systèmes stratégiques à la moulinette des logiciels de diagnostic cyber Nous allons faire dès 2025	- Passer nos systèmes stratégiques à la moulinette des logiciels de diagnostic cyber Non Applicable
- Patcher et renforcer les systèmes attaqués en cours de production	- Patcher et renforcer les systèmes attaqués en cours de production Nous avons déjà fait en 2024	- Patcher et renforcer les systèmes attaqués en cours de production Nous allons faire dès 2025	- Patcher et renforcer les systèmes attaqués en cours de production Non Applicable
- Mettre en oeuvre un système de prévention d'intrusions (IPS/IDS)	- Mettre en oeuvre un système de prévention d'intrusions (IPS/IDS) Nous avons déjà fait en 2024	- Mettre en oeuvre un système de prévention d'intrusions (IPS/IDS) Nous allons faire dès 2025	- Mettre en oeuvre un système de prévention d'intrusions (IPS/IDS) Non Applicable
- Sous-traiter à une ESN cyber la surveillance de nos systèmes-critiques (externalisation totale ou hybride)	- Sous-traiter à une ESN cyber la surveillance de nos systèmes-critiques (externalisation totale ou hybride) Nous avons déjà fait en 2024	- Sous-traiter à une ESN cyber la surveillance de nos systèmes-critiques (externalisation totale ou hybride) Nous allons faire dès 2025	- Sous-traiter à une ESN cyber la surveillance de nos systèmes-critiques (externalisation totale ou hybride) Non Applicable
- Nommer un référent cyber pour chaque application/système-critique	- Nommer un référent cyber pour chaque application/système-critique Nous avons déjà fait en 2024	- Nommer un référent cyber pour chaque application/système-critique Nous allons faire dès 2025	- Nommer un référent cyber pour chaque application/système-critique Non Applicable
- Restructurer nos équipes et créer une DSSI dédiée OT/IoT/SC	- Restructurer nos équipes et créer une DSSI dédiée OT/IoT/SC Nous avons déjà fait en 2024	- Restructurer nos équipes et créer une DSSI dédiée OT/IoT/SC Nous allons faire dès 2025	- Restructurer nos équipes et créer une DSSI dédiée OT/IoT/SC Non Applicable
- Embaucher un/des spécialistes cyber OT/IoT/SC	- Embaucher un/des spécialistes cyber OT/IoT/SC Nous avons déjà fait en 2024	- Embaucher un/des spécialistes cyber OT/IoT/SC Nous allons faire dès 2025	- Embaucher un/des spécialistes cyber OT/IoT/SC Non Applicable
- Se former spécifiquement pour parer à l’avenir les types d'attaques rencontrées en 2024	- Se former spécifiquement pour parer à l’avenir les types d'attaques rencontrées en 2024 Nous avons déjà fait en 2024	- Se former spécifiquement pour parer à l’avenir les types d'attaques rencontrées en 2024 Nous allons faire dès 2025	- Se former spécifiquement pour parer à l’avenir les types d'attaques rencontrées en 2024 Non Applicable
- Nous allouer les services d'un cabinet de conseils cyber	- Nous allouer les services d'un cabinet de conseils cyber Nous avons déjà fait en 2024	- Nous allouer les services d'un cabinet de conseils cyber Nous allons faire dès 2025	- Nous allouer les services d'un cabinet de conseils cyber Non Applicable
- Reprise en mains par la DSI de la cyber OT/IoT/SC	- Reprise en mains par la DSI de la cyber OT/IoT/SC Nous avons déjà fait en 2024	- Reprise en mains par la DSI de la cyber OT/IoT/SC Nous allons faire dès 2025	- Reprise en mains par la DSI de la cyber OT/IoT/SC Non Applicable
- Suspendre les projets en cours de développement pour mises en conformité	- Suspendre les projets en cours de développement pour mises en conformité Nous avons déjà fait en 2024	- Suspendre les projets en cours de développement pour mises en conformité Nous allons faire dès 2025	- Suspendre les projets en cours de développement pour mises en conformité Non Applicable
- Ne plus concevoir nos projets IoT futurs qu’en mode « secure-by-design »	- Ne plus concevoir nos projets IoT futurs qu’en mode « secure-by-design » Nous avons déjà fait en 2024	- Ne plus concevoir nos projets IoT futurs qu’en mode « secure-by-design » Nous allons faire dès 2025	- Ne plus concevoir nos projets IoT futurs qu’en mode « secure-by-design » Non Applicable
- Lancer des formations pour tous nos responsables aux règlementations cyber (NIS2, IEC 62443, EN 303 645,etc.)	- Lancer des formations pour tous nos responsables aux règlementations cyber (NIS2, IEC 62443, EN 303 645,etc.) Nous avons déjà fait en 2024	- Lancer des formations pour tous nos responsables aux règlementations cyber (NIS2, IEC 62443, EN 303 645,etc.) Nous allons faire dès 2025	- Lancer des formations pour tous nos responsables aux règlementations cyber (NIS2, IEC 62443, EN 303 645,etc.) Non Applicable
- Travailler à l'assurabilité de nos systèmes	- Travailler à l'assurabilité de nos systèmes Nous avons déjà fait en 2024	- Travailler à l'assurabilité de nos systèmes Nous allons faire dès 2025	- Travailler à l'assurabilité de nos systèmes Non Applicable
- Nous renforcer juridiquement	- Nous renforcer juridiquement Nous avons déjà fait en 2024	- Nous renforcer juridiquement Nous allons faire dès 2025	- Nous renforcer juridiquement Non Applicable
- Mettre en place le protocole légal d'information aux autorités et à nos clients	- Mettre en place le protocole légal d'information aux autorités et à nos clients Nous avons déjà fait en 2024	- Mettre en place le protocole légal d'information aux autorités et à nos clients Nous allons faire dès 2025	- Mettre en place le protocole légal d'information aux autorités et à nos clients Non Applicable