Cybersécurité industrielle : il est temps d'agir !
Jean-Philippe Lorinquer, chief revenue officer du start-up studio OSS Ventures, propose dans cette tribune une méthode pour construire des systèmes de protection capables d’apporter une réponse aux problématiques de cybersécurité "OT", rencontrées sur le terrain par l'industrie 4.0.
Selon un sondage mené par Kaspersky ICS, les cyberattaques industrielles ont augmenté de 34% en 2022, quand 32% des entreprises interrogées ont subi 20 attaques ou plus. Le constat est sans appel : la cybermenace fait désormais partie du quotidien des industriels et les expose à des risques humains, financiers et stratégiques de plus en plus importants. Pourtant, pour de nombreux acteurs le sujet reste une zone grise, faute d’outils adaptés et de compétences en la matière.
Avec le passage à l’industrie 4.0 les besoins de connexion se multiplient : stockage de données dans un cloud, supervision et gestion d’équipements de production à distance, communication de machines à machines au sein de l’atelier, interconnexion de l’informatique industrielle (OT) à l’informatique des bureaux (IT). Autant de portes d’entrée permettant à des individus malintentionnés de voler ou détruire des informations, ou de piéger des serveurs avec des rançongiciels.
Les attaques contre l'industrie en plein boom
De nombreux exemples émaillent l’actualité, en France, comme à l’étranger. En mars 2022, au Japon, le géant de l’automobile Toyota a fait les frais de la cybercriminalité lorsque l’un de ses fournisseurs a été victime d’une cyberattaque, l’obligeant à arrêter sa production dans 14 de ses usines. Résultat ? 13 000 véhicules produits en moins, soit près de 5% de la production mensuelle de l'entreprise sur le territoire nippon. En France, Auchan, SNCF ou encore Saint-Gobain ont eux aussi souffert des conséquences de l’attaque menée par le virus NotPetya contre l’Ukraine en 2017.
Et cette nouvelle menace ne fera que prendre de l’épaisseur dans les prochaines années, comme le soulignent Kaspersky, Accenture et Orange. Selon leurs projections, en 2025, les cyberattaques sur les infrastructures de production bondiront de 70%. Et ce car le volume de données autour des machines de production aura triplé, quand l’utilisation de logiciels au sein des usines aura augmenté de 50%.
Des industriels trop peu armés pour faire face à la menace
Malgré l’abondance de documentations et les nombreuses alertes sur le sujet, les industriels restent trop souvent vulnérables. Une situation qui a pour principal impact de ralentir le passage à l’industrie 4.0. Ce mouvement entraîne une forte hausse des connexions entre machines et systèmes informatiques, dans des organisations peu ou mal sécurisée, ce qui conduit régulièrement à un désalignement des objectifs : le département IT est uniquement préoccupé par la sécurisation du système face aux attaques extérieures ; et le département OT est obnubilé par sa capacité à trouver de nouvelles façons de produire mieux.
Pour faciliter la transition vers l’industrie du futur, le constat est limpide : nous devons construire des systèmes de protection, et ce de manière collaborative entre les équipes informatiques et celles de production industrielle. Voici quelques clés pour y parvenir.
Adopter une vision nouvelle de la cybersécurité
À l’instar de la qualité ou de la sécurité des personnes, la cybermenace doit devenir l’affaire de tous et ne peut plus s'envisager comme un simple risque IT, tant les conséquences sont plus larges : machines contrôlées par un tiers, mise en danger des opérateurs, arrêt partiel ou total de la production.
Disposant d’une connaissance fine des implications opérationnelles et du contexte de chaque vulnérabilité, l’équipe de maintenance doit en assurer la gestion. Pour cela, les outils de gestion cyber doivent être conçus de manière à être facilement appréhendés par les équipes OT. Enfin, un vaste processus d’acculturation, qui permet d’assimiler la problématique et ses répercussions éventuelles, doit être entrepris.
Privilégier des outils de management centrés sur une vision dynamique et systémique du risque cyber
Aujourd’hui encore, les méthodes appliquées en matière de cyber sont héritées de l’IT et sont souvent incompatibles avec le fonctionnement d’une usine. Pour changer la donne, il est nécessaire de s’équiper d’outils de gestion fiables permettant de gérer quatre composantes indispensables :
Voir et comprendre
Dans de nombreuses organisations, le risque n’est pas intégré : 60 à 80% des sites industriels n’ont pas une compréhension des implications réelles de la cybersécurité sur les infrastructures, selon le cabinet OPEO. Pour faire du sujet une priorité, il est nécessaire de :
- Réaliser un inventaire complet des différents ateliers pour référencer l’ensemble des vulnérabilités
- Prioriser les vulnérabilités, en les classant selon leur criticité
Résoudre
La gouvernance est encore trop floue dans les usines, car les équipes IT et OT collaborent rarement ensemble et ne parlent pas le même langage. Pour pallier le problème, il convient de :
- Proposer des solutions de remédiation pertinentes pour les vulnérabilités les plus critiques
- Favoriser les échanges entre l’IT et l’OT grâce à une interface collaborative
Former
Il est souvent dit que la principale faille cyber se situe entre le dossier de la chaise et le clavier. Le recrutement de professionnels de la cybersécurité - secteur en pénurie avec 1 million de talents manquants à l’horizon 2025 - n’aura aucun effet si les autres salariés ne sont pas sensibilisés aux bons gestes. Pour y remédier, il faut faire monter en compétence l’ensemble des équipes avec des formations adaptées à chaque profil et ainsi soulager la DSI.
Gérer
La politique cyber ne doit pas avoir pour objectif d'empêcher toute attaque ou intrusion, ce qui serait coûteux en budget et en agilité d’entreprise, mais d’en limiter l’impact. Il faut donc être capable d’optimiser la formule “probabilité de faille x impact de la faille - coût de la sécurisation”. Pour cela il faut pouvoir :
- Piloter le risque facilement afin de maîtriser les coûts
- Monter en résilience grâce aux données empiriques
Une telle stratégie permet de piloter le risque cyber avec agilité, de sécuriser son site en minimisant les coûts et l’impact sur la production et de suivre la mise en conformité en temps réel. Autant de facteurs indispensables pour maîtriser l'augmentation de l’interconnexion entre les réseaux dans les usines et pour aborder la transition vers l’industrie 4.0 avec sérénité.
