Cyber-attaques, la menace pèse sur les industriels
L’industrie du futur promet de rendre plus flexible, efficace et autonome la production, incitant les industriels à investir massivement pour ne pas rater le virage de cette 4ième révolution industrielle.
En opérant une convergence des systèmes d’information d’entreprises (IT) et des systèmes d’information industriels (OT), cette nouvelle industrie fait intervenir un ensemble connecté de technologies (IOT, outils de mobilité, Jumeau numérique, cloud, machine learning, Big Data, 5G, …) qui communiquent entre elles afin de superviser et piloter efficacement les processus industriels. Cette convergence entraîne une multiplication des portes d’entrée pour des organisations malveillantes, rendant vulnérable cette nouvelle industrie.
Durant la pandémie de Codiv-19, seuls 7% des industriels estimaient que leur stratégie en matière de cybersécurité était suffisante selon le rapport “The state of industrial cybersecurity” de Kaspersky. Cette étude montre que la prise en compte des enjeux de sécurité et de gouvernance des données est essentielle pour garantir la réussite de la transformation du monde industriel.
Une industrie du futur vulnérable
Autrefois cloisonnés, les systèmes d’information industriels (OT) sont maintenant connectés aux systèmes d’information d’entreprises (IT), les processus industriels et les machines sont digitalisés, les informations remontent vers les systèmes de stockage de données gérés par l’entreprise (Cloud, Edge Computing, Serveurs dédiés). Ces informations sont ensuite traitées par un ensemble d’applications et de systèmes intelligents, accessibles à distance, pour suivre et optimiser la production et les chaînes d’approvisionnement. Ces informations et décisions peuvent :
- Redescendre vers les systèmes pour être pilotés automatiquement ou à distance.
- Redescendre vers des opérateurs dis « augmentés » pour les accompagner et les aider à prendre des décisions.
- Redescendre vers des outils de data visualisation pour piloter l'activité.
La convergence des systèmes d’information et l’adoption des technologies IT par les équipements industriels, augmentent les menaces qui peuvent maintenant entrer par n’importe quel élément connecté au système (tablette, capteur, wifi, ordinateur, SCADA, …) et impacter sa totalité. Les conséquences sur l’entreprise peuvent être importantes, vols de données confidentielles, mise en danger des opérateurs, arrêts de production, impacts sur l’environnement et sur l’image de l’entreprise. Ces risques ne peuvent être négligés par les industriels et doivent être pris en compte dans tous les projets d’innovation.
Sécuriser ses données oui mais comment ?
Souvent perçue comme une contrainte, la cyber sécurité ne doit pas constituer un frein à l’innovation. Au contraire, elle doit l’accompagner pour garantir la réussite et la sécurité du projet. Alors, que peut mettre en place un industriel pour garantir la sécurité de ses installations ?
Etablir une stratégie cyber sécurité
La première étape de la démarche est de poser un cadre, on définit les objectifs, une structure de gouvernance et les outils de suivi. Il est possible de s’appuyer sur la norme ISO/CEI 27000 qui définit les exigences pour la mise en place d’un système de management de la sécurité de l'information. La stratégie de cyber sécurité doit appuyer la stratégie globale de l’entreprise et n’est pas là pour freiner les idées mais au contraire mettre en œuvre les moyens pour les développer en toute sécurité. Une fois mise en place, elle aura plusieurs objectifs :
Analyser et corriger le parc existant
Un parc industriel possède des éléments qui au moment de leur création n’ont pas été conçus pour évoluer dans un environnement ouvert et distribué. Ainsi, dans une démarche d’amélioration continue, il est nécessaire de remettre en question la sécurité des éléments du parc pour garantir leur intégration dans la stratégie de sécurité.
Accompagner les projets d’innovation
Comme mentionné précédemment, la cyber sécurité va être en appui dans un projet d’innovation pour garantir sa sécurité tout au long de son cycle de vie. L’équipe en charge de la cyber sécurité doit alors garantir, sans le remettre en cause, l’intégration du projet dans la stratégie de sécurité de l’entreprise.
Former et prévenir les utilisateurs
Les failles de sécurité sont souvent engendrées par une méconnaissance des utilisateurs aux enjeux et normes de sécurité. Un mot de passe trop faible, l’utilisation d’une clé usb d’origine inconnue ou l’ouverture d’une pièce-jointe non sécurisée sont autant d’erreurs qui affaiblissent la sécurité de l’entreprise. Il est alors nécessaire d’établir un plan de sensibilisation et de formation, adapté aux utilisations, et qui va permettre une prise de conscience des enjeux et une montée en compétences des acteurs.
Les industriels investissent massivement pour transformer les processus industriels et les rendre plus efficaces. Pour garantir la réussite de ces projets, l’industrie doit prendre en compte, dès maintenant, les enjeux de cyber sécurité. Alors, elle pourra mettre en place une stratégie et une organisation qui accompagnera les projets d’innovations pour garantir leur sécurité.
La cyber sécurité devient alors un atout indispensable des industriels pour investir, avec des risques limités, dans les innovations de la 4ième révolution industrielle.