Placer la cybersécurité au cœur des systèmes de production

par Fabien Lecoq - Chief Technical Security Officer, Sopra Steria
| minutes de lecture

L’époque où les systèmes de production fonctionnaient dans des environnements parfaitement cloisonnés est révolue : l’IT traditionnelle et les systèmes industriels sont désormais interconnectés, pour le meilleur comme pour le pire. La transformation digitale est un formidable gage de compétitivité, mais elle entraîne dans son sillage de nouvelles menaces ciblant l’appareil de production. Garantir sa résilience implique d’intégrer la cybersécurité au cœur même de l’activité.

Les systèmes de production de l’Entreprise encourent de nouveaux risques

Pour que l’automatisation, la supervision à distance ou la maintenance prédictive tiennent leurs promesses, toutes les grandes industries au travers de leur Transformation digitale doivent travailler à des questions aussi diverses que l’interopérabilité des systèmes, la connectivité des équipements ou la gestion des processus en temps réel. Les transformations nécessaires s’opèrent au moyen de passerelles toujours plus nombreuses entre un appareil de production traditionnellement isolé du monde extérieur et un système d’information qui n’a de cesse de multiplier les points de contact avec les collaborateurs, les fournisseurs, les clients ou les partenaires, au sein de nouveaux écosystèmes liés à l’entreprise étendue. Cette numérisation progressive amène des évolutions profondes qui accentuent les risques liés à la cybersécurité.

L’impact d’une attaque ne se limite plus aux actifs immatériels de l’entreprise, à ses fichiers commerciaux ou à sa propriété intellectuelle. Avec des environnements interconnectés, la menace porte désormais sur le bon fonctionnement d’une ligne de production, la qualité du produit final ou le (non-)respect des exigences de conformité. Les conséquences se révèlent parfois désastreuses, comme l’ont montré les récentes attaques de grande ampleur comme WannaCry ou NotPetya. Le dernier cas de cyberattaque contre des systèmes de production qui a visé Norsk Hydro montre, qu’au-delà de prendre l’organisation en otage, le risque devient l’arrêt net de production.

La gestion du risque devient de ce fait une priorité pour l’ensemble des décideurs concernés. L’étude L’état de la cybersécurité industrielle 2018 réalisée par PAC pour le compte de Kaspersky Lab révèle que 77% des entreprises estiment probable ou très probable la survenue d’une attaque visant les systèmes de contrôle industriels.

Une approche technique et humaine

La mise en œuvre d’une politique de cybersécurité est un sujet à la fois technique et humain, qui mérite d’être mis en œuvre au plus haut niveau, de façon à ce qu’elle devienne un élément de la culture numérique de l’entreprise, sans se limiter aux seuls métiers opérationnels. La sensibilisation et la formation jouent dans ce contexte un rôle primordial. Sur le plan technique, la sécurité doit devenir un élément de réflexion « by design », intégré le plus en amont possible des projets numériques.

L’une des contraintes consiste à ne pas faire de la sécurité un obstacle à l’innovation ou aux expérimentations mais un accélérateur de confiance: les composants dédiés ont donc tout intérêt à être proposés sous forme de services de façon à pouvoir très facilement intégrés dans une nouvelle application. Une autre difficulté réside dans l’ouverture des systèmes aux acteurs tierce partie : le fournisseur qui se connecte directement au SI doit impérativement disposer d’un accès limité et respecter les politiques de sécurité associées.

Il apparait nécessaire de se préparer à cette gestion de crise cybersécurité : le triptyque Donneur d’ordre de l’Entreprise, fournisseur de services cybersécurité et éditeurs de solutions cyber-sécurité devient essentiel. 

Cartographier et prévenir le risque

À l’échelle de l’organisation, la sécurité exige une gouvernance adaptée, pragmatique et basée sur une véritable politique de gestion du risque. Quelle que soit l’organisation retenue, les responsables doivent disposer des moyens nécessaires à une appréciation réelle et continue du niveau de risque auquel l’entreprise fait face. Au quotidien, elle suppose la mise en œuvre d’une veille spécialisée, qui va s’attacher à repérer les nouvelles menaces et déterminer leur impact sur les systèmes de production, de tester régulièrement ses mécanismes de protection pour mener les actions préventives, et enfin d’adapter ses lignes de défense à la menace à travers un SOC (Security Operations Centre) proactif.

Ainsi, avec le risque croissant d’occurrence d’un incident de sécurité, un dispositif de réponse à incident et de gestion de crise efficace devient un élément déterminant des stratégies de cybersécurité auquel l’Entreprise doit se préparer. La communication cyber-sécurité dans la gestion de crise est une approche à ne pas négliger, l’humain reste au cœur de ses enjeux. Il doit s’appuyer sur une gouvernance transverse à l’organisation et ses partenaires, opérateur de confiance en cybersécurité (Ex Qualification PDIS de l’ANSSI) , éditeur de solutions de réponse à incident, et régulateur – l’ANSSI en France- le cas échéant, et des entrainements réguliers à la crise à tous les niveaux de l’organisation (CEO, management, opérationnels).  Au niveau d’une filière, il est essentiel de partager les marqueurs et les enseignements adéquats pour tout incident détecté, enrichis des retours d’expérience d’autres acteurs. Le déploiement des bonnes pratiques et des essentiels de sécurité permet ainsi d’élever globalement le niveau de sécurité de toute la filière. 

Une cybersécurité globale et partagée

Qu’il s’agisse d’IT, de système industriel ou d’humain, une stratégie de cybersécurité réussie impose une approche holistique, envisagée le plus en amont possible des projets. La transformation numérique ne se contente pas de mettre en relation des silos : elle donne naissance à des systèmes de plus en plus distribués, répartis au sein d’une chaîne dont la robustesse ne vaut pas mieux que celle de son maillon le plus faible. L’avènement de l’industrie 4.0, offre à ce niveau de formidables opportunités : en numérisant tous les paramètres de fonctionnement de l’usine intelligente, on se donne des moyens sans précédent pour construire une véritable sécurité de bout en bout, basée sur des mécanismes de prévention, de protection, de détection et de réaction.

Search
Fabien Lecoq

Fabien Lecoq

Chief Technical Security Officer, Sopra Steria

En savoir plus sur Fabien Lecoq

cybersécurité

Contenus associés

Sopra Steria reconnu leader pour ses services de sécurité stratégique et ses services d’infogérance de sécurité pour les grands comptes par une étude ISG Provider Lens™

Fort de son expertise dans le conseil et de ses 800 experts en cybersécurité, Sopra Steria accompagne ses clients à travers des services de prévention, de protection, de détection et réaction.

Sopra Steria choisi par le consortium ecos comme partenaire en matière de cybersécurité afin de mener un programme technologique majeur pour les agences européennes eu-LISA et Frontex

Sopra Steria étend son partenariat avec eu-LISA grâce à l'attribution d'un contrat-cadre pour la mise à disposition d’infrastructures. eu-LISA est l’agence de l’Union européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice.

Sopra Steria soutient l'initiative européenne du Prix "STARtup de la cybersécurité"

En tant qu'entreprise européenne de service du numérique, nous sommes convaincus de notre rôle clé dans l’accompagnement des start-up et PME en cybersécurité pour accélérer l’innovation dans le domaine. Membre du premier fonds européen dédié à la cybersécurité Brienne III, Sopra Steria poursuit son engagement aux côtés de l'European Cyber Security Organisation (ECSO) et de ses partenaires avec le soutien du lancement du prix européen STARtup de la cybersécurité.