Cybersécurité industrielle : Il n’est pas trop tard…

En fait, le « passage » à l’industrie 4.0 a démultiplié les besoins d'accès aux seins des SI industriels et ce à différents niveaux :

• Stockage de données dans le Cloud
• Supervision et gestion d'équipements de production à distance
• Communication de machines à machines au sein de l'atelier
• Interconnexion de l'informatique industrielle (OT) à l'informatique des bureaux (IT)
• Etc...

Il est bien évident que cette démultiplication des connexions a élargi la surface d’attaque sur les systèmes industriels et les cyberpirates ou les personnes malintentionnées disposent maintenant de plusieurs portes pour y entrer.

Voici deux exemples parmi tant d’autres, liés aux cyberattaques qui ont impactées le monde industriel :

• Toyota sur sa chaîne d’approvisionnement en mars 2022 via un de ses fournisseurs : Arrêt de production dans 14 de ses usines, 13.000 véhicules produits en moins, soit près de 5% de la production mensuelle de l'entreprise au japon.
• Ukraine en 2017, visé par le virus NotPetya : En France, Auchan, SNCF ou encore Saint-Gobain ont souffert des conséquences liées à cette cyberattaque.

Nous n’en sommes pourtant qu’aux prémices de ce fléau car les cybermenaces vont continuer à avoir une croissance exponentielle au fil du temps. Selon les projections de Kaspersky, Accenture et Orange, en 2025, l’utilisation de logiciels au sein des usines subira une croissance de 50%, alors que le volume de données autour des machines de production fera lui un x3. Ces deux facteurs provoqueront très certainement une augmentation de 70% des cyberattaques sur les infrastructures de production.

Nous avons vu que la hausse des connexions, entre machines et systèmes informatiques dans des organisations mal sécurisée, fragilise la sécurité des systèmes industriels et les expose aux potentielles attaques des cyberpirates. Et comme les équipes informatiques ne collaborent que très peu avec celles de production industrielle, elles ne peuvent développer une stratégie cyber conjointement pour protéger efficacement leurs systèmes : Le département IT se focus sur la sécurisation de son système d’information, face aux attaques externes, alors que le département OT lui n’a de préoccupation que pour l’amélioration de sa production. Ce manque de communication ralenti le passage à l’industrie 4.0, il faut impérativement que ces deux entités industrielles collaborent pour faciliter la transition vers l’industrie du futur.

Cela étant, la cybermenace est quand même l’affaire de tous. Le département OT doit prendre conscience que son homologue IT ne doit pas être le seul à arbitrer sur le cyber-terrain de l’organisation. Il doit discuter avec lui et apprendre à ses côtés, les règles du jeu s’il veut éviter un arrêt partiel ou total de sa production en cas de cyberattaque. Même s’il maitrise l’opérationnel de son environnement, il doit en assurer la gestion et la sécurité. Nul n’est de naissance matador en son pays, et prendre le taureau par les cornes sans une maitrise de l’animal, est facteur de risques puissance x. En conclusion, tout comme l’IT, le département OT a lui aussi besoin de s’appuyer sur des outils de gestion cyber, conçus et adaptés pour être facilement appréhendé par ses équipes.

Ce qui est évident, pour des raisons de compatibilité liée à leur modèle de fonctionnement, c’est que les processus de sécurité appliqués à un système IT ne peuvent être dupliqués en l’état à un environnement OT. Les outils de sécurité devront, dans la mesure du possible, prendre en charge la gestion de quatre composantes majeures :

1. Voir et comprendre - Le facteur risque n’est pas implicitement intégré aux réflexions des équipes OT. Selon le cabinet OPEO, 60 à 80% des sites industriels ont une compréhension erronée des implications réelles de la cybersécurité sur leurs infrastructures. Leurs équipes devront :

   • Dresser un inventaire des différents secteurs qui les incombent. Il permettra de référencer l’ensemble des vulnérabilités associées

   • Etablir un classement des vulnérabilités en fonction de leur criticité.

2. Résoudre - Comme je l’ai évoqué précédemment, les équipes IT et OT collaborent rarement ensemble. En plus, ils n’utilisent pas le même langage, ce qui engendre de l’incompréhension sur le volet gouvernance. Pour pallier ce constat, les actions à mener sont les suivantes :

   • Etudier et proposer des solutions de remédiation pour les vulnérabilités les plus critiques

   • Mettre en place une interface collaborative pour favoriser les échanges entre l’IT et l’OT.

3. Former - Cybersecurity Ventures estime à 3,5 millions d'emplois non pourvus dans le secteur de la cybersécurité jusqu'en 2025, Cette pénurie de compétences ne va pas simplifier la vie des industriels, et c’est pourquoi ils doivent, dès à présent, former l’ensemble de leurs équipes aux bonnes pratiques pour les faire monter en compétences. Gardons à l’esprit que le facteur humain est très certainement le maillon faible de la cybersécurité…

4. Gérer - On sait tous que le risque zéro n’existe pas et que statistiquement, aucun système, aussi efficace soit-il, ne peut garantir une protection à 100% contre les cyberattaques. Et comme la sécurité a un coup, les industriels devront trouver la bonne équation « sécurité/budget » pour limiter les impacts sur leur système d’information. Ils devront posséder toutes les clés nécessaires pour piloter financièrement le risque qui leur garantira un niveau de sécurité suffisant pour éviter l'arrêt partiel ou total de leur production. C’est très certainement la seule manière qui leur permettra d’aborder sereinement la transition vers l’industrie 4.0.

Sources de ce billet.