Entretien avec Marie-Christine Moretti, dirigeante de Sésame Expertises
«La cybersécurité industrielle implique de travailler de manière horizontale»
Fondatrice et dirigeante de la société Sésame Expertises, à Famars, près de Valenciennes, Marie-Christine Moretti est une experte reconnue en cybersécurité industrielle et plébiscitée par les PME régionales comme les sociétés du CAC 40. Entretien.
Comment êtes-vous tombée dans l’univers de la cybersécurité, plus spécifiquement auprès des industriels ?
J’ai un parcours atypique puisque j’ai créé mon propre emploi, sans formation spécifique en amont. Pour tout vous dire, j’ai été victime d’un AVC il y a plusieurs années mais il n’a jamais été question pour moi de rester à ne rien faire. Ce n’est pas dans mon tempérament ! Mon mari vendait des appareils de métrologie et j’ai décidé d’apprendre le métier, par moi-même. Le plus compliqué a été de gagner la confiance des prospects, de leur expliquer que je travaillais seule, chez moi, sans expérience de terrain… mais j’ai été très transparente et mon discours a plu à la société Airbus, mon premier client, qui m’a sollicité pour travailler sur les mesures du cockpit de l’A380. Ainsi pendant 17 années j’ai effectué des études de métrologie pour l’industrie, un premier pas dans la cybersécurité puisqu’en toile de fond se pose la question de la sécurité.
On parle beaucoup de sécurité informatique, un peu moins de cybersécurité industrielle. Quels en sont les tenants et les aboutissants ?
En effet, la cybersécurité des systèmes d’information est rentrée dans les moeurs, elle est aujourd’hui bien prise en compte par les entreprises de toutes tailles. Ce n’est pas le cas des aspects liés à la cybersécurité industrielle qui prend en compte 3 points : la sécurité de la production, la conception de produits «secure by design» ce qui signifie que le risque et la sécurité sont intégrés lors de sa conception et tout au long de son cycle de vie, et enfin la sécurisation des données. Il faut donc regarder l’entreprise de manière holistique, avoir une vision globale pour connaître le système industriel du client où nous intervenons et les certifications liées à son activité. Dans la majorité des cas, le système industriel n’est pas sécurisable en tant que tel, il n’est pas possible de faire une mise à jour de l’outil de production pour renforcer la sécurité, il faut donc chercher d’autres solutions via un changement de mode de management : c’est tout l’enjeu de l’industrie 4.0 !
Autrement dit, la cybersécurité industrielle implique de travailler de manière horizontale, et non plus verticale, d’isoler les réseaux de manière physique pour isoler la production et l’administration. Mais pour cela, il faut connaitre l’industrie, les machines, la gouvernance, les fournisseurs… un informaticien seul, aussi talentueux qu’il soit, ne peut y arriver. C’est pourquoi nous nous sommes entourés chez Sésame Expertises d’une vingtaine de consultants, experts dans leurs domaines, pour pouvoir intervenir sur l’ensemble des aspects liés à la cybersécurité de l’ industrie.
Au-delà des acteurs industriels, votre expertise est également sollicitée par les organismes de certifications et les entités étatiques…
Je suis experte auprès de commissions de normalisation. Mon rôle est d’influer sur les futures normes mais aussi d’accompagner nos clients sur l’anticipation de celles-ci, d’en faire une opportunité plutôt que de les subir lorsqu’elles entrent en vigueur, ce qui implique un important travail de veille au niveau mondial. Je suis également sapiteur (NDLT : expert technique) sur des expertises judiciaires et j’aide nos clients dans le déploiement des mesures quant aux processus de certification en cybersécurité, notamment, que ce soit dans l’industrie automobile, aéronautique, etc.
Le CEFCYS, le CErcle des Femmes de la CYberSécurité, a récompensé mon engagement avec le prix Coup de coeur lors des trophées 2023, j’en suis très fière ! Je m’investis beaucoup auprès des jeunes, des universités et des femmes qui ne représentent que 30% des salariés de l’industrie et 17% dans la cybersécurité… nous ne sommes donc pas nombreuses dans le monde de la cybersécurité industrielle, alors que c’est aussi notre place ! Je travaille beaucoup, et partout dans le monde, car je considère qu’il faut être là pour faire avancer les choses dans la cybersécurité et la métrologie, avec cette maitrise des enjeux… et c’est véritablement passionnant !