L’époque où les systèmes de production fonctionnaient dans des environnements parfaitement cloisonnés est révolue : l’IT traditionnelle et les systèmes industriels sont désormais interconnectés, pour le meilleur comme pour le pire. La transformation digitale est un formidable gage de compétitivité, mais elle entraîne dans son sillage de nouvelles menaces ciblant l’appareil de production. Garantir sa résilience implique d’intégrer la cybersécurité au cœur même de l’activité.
Les systèmes de production de l’Entreprise encourent de nouveaux risques
Pour que l’automatisation, la supervision à distance ou la maintenance prédictive tiennent leurs promesses, toutes les grandes industries au travers de leur Transformation digitale doivent travailler à des questions aussi diverses
que l’interopérabilité des systèmes, la connectivité des équipements ou la gestion des processus en temps réel. Les transformations nécessaires s’opèrent au moyen de passerelles toujours
plus nombreuses entre un appareil de production traditionnellement isolé du monde extérieur et un système d’information qui n’a de cesse de multiplier les points de contact avec les collaborateurs, les fournisseurs,
les clients ou les partenaires, au sein de nouveaux écosystèmes liés à l’entreprise étendue. Cette numérisation progressive amène des évolutions profondes qui accentuent les risques liés
à la cybersécurité.
L’impact d’une attaque ne se limite plus aux actifs immatériels de l’entreprise, à ses fichiers commerciaux ou à sa propriété intellectuelle. Avec des environnements interconnectés, la menace
porte désormais sur le bon fonctionnement d’une ligne de production, la qualité du produit final ou le (non-)respect des exigences de conformité. Les conséquences se révèlent parfois désastreuses,
comme l’ont montré les récentes attaques de grande ampleur comme WannaCry ou NotPetya. Le dernier cas de cyberattaque contre des systèmes de production qui a visé Norsk Hydro montre, qu’au-delà de prendre l’organisation en otage, le risque devient l’arrêt net de production.
La gestion du risque devient de ce fait une priorité pour l’ensemble des décideurs concernés. L’étude L’état de la cybersécurité industrielle 2018 réalisée par PAC pour le
compte de Kaspersky Lab révèle que 77% des entreprises estiment probable ou très probable
la survenue d’une attaque visant les systèmes de contrôle industriels.
Une approche technique et humaine
La mise en œuvre d’une politique de cybersécurité est un sujet à la fois technique et humain, qui mérite d’être mis en œuvre au plus haut niveau, de façon à ce qu’elle devienne
un élément de la culture numérique de l’entreprise, sans se limiter aux seuls métiers opérationnels. La sensibilisation et la formation jouent dans ce contexte un rôle primordial. Sur le plan technique,
la sécurité doit devenir un élément de réflexion « by design », intégré le plus en amont possible des projets numériques.
L’une des contraintes consiste à ne pas faire de la sécurité un obstacle à l’innovation ou aux expérimentations mais un accélérateur de confiance: les composants dédiés ont donc
tout intérêt à être proposés sous forme de services de façon à pouvoir très facilement intégrés dans une nouvelle application. Une autre difficulté réside dans l’ouverture
des systèmes aux acteurs tierce partie : le fournisseur qui se connecte directement au SI doit impérativement disposer d’un accès limité et respecter les politiques de sécurité associées.
Il apparait nécessaire de se préparer à cette gestion de crise cybersécurité : le triptyque Donneur d’ordre de l’Entreprise, fournisseur de services cybersécurité et éditeurs de solutions
cyber-sécurité devient essentiel.
Cartographier et prévenir le risque
À l’échelle de l’organisation, la sécurité exige une gouvernance adaptée, pragmatique et basée sur une véritable politique de gestion du risque. Quelle que soit l’organisation retenue,
les responsables doivent disposer des moyens nécessaires à une appréciation réelle et continue du niveau de risque auquel l’entreprise fait face. Au quotidien, elle suppose la mise en œuvre d’une veille
spécialisée, qui va s’attacher à repérer les nouvelles menaces et déterminer leur impact sur les systèmes de production, de tester régulièrement ses mécanismes de protection pour
mener les actions préventives, et enfin d’adapter ses lignes de défense à la menace à travers un SOC (Security Operations Centre) proactif.
Ainsi, avec le risque croissant d’occurrence d’un incident de sécurité, un dispositif de réponse à incident et de gestion de crise efficace devient un élément déterminant des stratégies
de cybersécurité auquel l’Entreprise doit se préparer. La communication cyber-sécurité dans la gestion de crise est une approche à ne pas négliger, l’humain reste au cœur de ses enjeux.
Il doit s’appuyer sur une gouvernance transverse à l’organisation et ses partenaires, opérateur de confiance en cybersécurité (Ex Qualification PDIS de l’ANSSI) , éditeur de solutions de réponse
à incident, et régulateur – l’ANSSI en France- le cas échéant, et des entrainements réguliers à la crise à tous les niveaux de l’organisation (CEO, management, opérationnels).
Au niveau d’une filière, il est essentiel de partager les marqueurs et les enseignements adéquats pour tout incident détecté, enrichis des retours d’expérience d’autres acteurs. Le déploiement
des bonnes pratiques et des essentiels de sécurité permet ainsi d’élever globalement le niveau de sécurité de toute la filière.
Une cybersécurité globale et partagée
Qu’il s’agisse d’IT, de système industriel ou d’humain, une stratégie de cybersécurité réussie impose une approche holistique, envisagée le plus en amont possible des projets. La transformation
numérique ne se contente pas de mettre en relation des silos : elle donne naissance à des systèmes de plus en plus distribués, répartis au sein d’une chaîne dont la robustesse ne vaut pas mieux que celle
de son maillon le plus faible. L’avènement de l’industrie 4.0, offre à ce niveau de formidables opportunités : en numérisant tous les paramètres de fonctionnement de l’usine intelligente, on se
donne des moyens sans précédent pour construire une véritable sécurité de bout en bout, basée sur des mécanismes de prévention, de protection, de détection et de réaction.