Dans un contexte commercial et géopolitique en tension, avec la formalisation en cours du Cyber Resilience Act et l’entrée en vigueur en 2024 en Europe de la Directive NIS 2 qui renforce les obligations en matière de cybersécurité pour des dizaines de milliers d’entreprises à travers le Vieux Continent, des stratégies prioritaires se mettent en place pour hausser le niveau de protection des environnements industriels et de leurs chaînes d’approvisionnement.



Pour identifier les chantiers qui seront traités en premier, le cabinet HeadMind Partners a conduit des entretiens - lors de la première édition des Rencontres Cyber pour l’Industrie du Futur (RECIF) qui ont eu lieu à Annecy en septembre dernier - avec les soixante-dix directrices/directeurs cybersécurité représentant les principaux acteurs du monde industriel en France.



En leur posant notamment une question simple : "En 2024, si vous aviez un budget Cybersécurité (SSI) en base 100, comment serait-il réparti selon vos priorités ?"



Leur budget type se décompose donc de la sorte :

Il est intéressant d’entrer dans le détail de chacun de ces enveloppes budgétaires pour caractériser les problématiques les plus importantes pour combiner la compétitivité de ces conglomérats et la mise en conformité de leurs organisations aux différentes exigences juridiques à venir dans le domaine de la sécurité des systèmes d’information.

La ventilation budgétaire de cette thématique illustre la particularité de l’environnement industriel où les équipes IT ne disposent souvent que d’une visibilité limitée des systèmes d’information qui relèvent du fonctionnement des équipements de production.



Cette situation démontre la nécessité de renforcer la coopération IT/Métiers industriels afin d’harmoniser la prise en compte du risque cyber. Et cela concerne tant les choix technologiques, les dispositifs de conformité ou la mise en place de procédures de remontées d’informations sur les incidents de sécurité (documentations et KPI communs...). Afin de disposer d’une vision unifiée cyber IT/OT.



Plus en amont encore, cela plaide pour une implication accrue des fonctions SSI auprès des services Achats et Finances afin de documenter l’ensemble des composantes techniques qui sont opérationnelles dans les processus de fabrication. Cela permettra de disposer d’une photographie la plus complète possible de l’inventaire technologique de l’entreprise.

Les investissements industriels se conçoivent généralement sur un temps long. Pouvant conduire au maintien en activité opérationnelle de machines et de logiciels ne bénéficiant plus nécessairement des services de mises à jour habituels. Soit parce que l’éditeur a cessé ou modifié son activité, soit car son logiciel – même s’il fournit toujours le service attendu – ne fait plus l’objet d’aucun suivi par son concepteur. Ce qui représente de fait un risque pour la sécurité de l’activité, même si le processus de production reste globalement en état de marche.



La politique SSI appliquée au contexte industriel exige donc d’identifier précisément ces équipements obsolètes, de mettre en œuvre des moyens d’isolement physiques et/ou logiques pour s’assurer de leur intégrité, et de concevoir des programmes de mises à niveau en fonction des plans de renouvellement des parcs de machines. Afin de réduire la surface d’attaque par l’inclusion d’exigences cyber dans la fourniture de système OT.

Outre les choix d’investissements matériels, la démarche SSI comporte une importante dimension en termes de management. Qu’il s’agisse de questionner le niveau de sécurité du réseaux de partenaires et de sous-traitants qui interviennent dans la chaine de production et de distribution des produits.



Leurs interventions au cours des processus internes sont de nature à fragiliser le coeur même de l’activité de l’entreprise industrielle. D’où l’importance d’intégrer le risque fournisseurs dans le périmètre cyber. Qui doivent permettre le recours à des clauses d’auditabilité et à des sessions d’évaluation (assessment centers). Notamment pour les prestations critiques. Ce qui sera facilité par l’alignement préalable en matière cyber des différentes parties prenantes : les fonctions juridiques, les acheteurs, les métiers... En faisant monter en compétence les fournisseurs, cela bénéficie au client final.



En conclusion, il convient de s’appuyer sur les agendas réglementaires pour instaurer une gouvernance accrue entre les communautés IT et OT dans le but de renforcer la connaissance réciproque, mettre en commun les feuilles de route et déterminer des indicateurs (KPI) les plus opérationnels possibles. De quoi assurer une dynamique vertueuse qui installe la cybersécurité comme étant aux yeux de tous une contribution effective à la création de valeur au sein de l’entreprise.



Nicolas Arpagian, Vice-Président du cabinet HeadMind Partners