IT et OT : deux cultures distinctes
Après des décennies de cloisonnement, la migration de l’informatique industrielle vers les réseaux IP accélère la convergence entre IT et OT. Or cette convergence pose la question du partage et donc de la sécurité du réseau. Le robot industriel devient en effet une porte d’entrée vers le réseau IP pour une attaque potentielle du SI. L’autre pont entre IT et OT, c’est l’internet des objets qui remonte la data issue du monde physique vers le SI. Or, un objet connecté peut subir le même type d’acte malveillant qu’un automate. Globalement, les équipes industrielles restent peu sensibles à ces enjeux de sécurité car, pendant longtemps, hacker un automate n’intéressait personne. Leur culture de la sécurité est plutôt axée sur l’intrusion physique (contrôle des badges, droit des opérateurs) qui menacerait la sécurité de fabrication. Leur rapport au temps est également différent : tout est réglé à la milliseconde dans le monde industriel pour ne pas faire vaciller le flux des process. Un incident industriel induit un cycle de réaction bien plus court que dans les applications SI pour lesquelles le rétablissement du service est plutôt une question d’heures. « Si l’on devait schématiser la situation, on pourrait dire que la sécurité des SI industriels est moins complexe mais bien plus sensible », résume Jean-Luc Dagron, Partner au sein du cabinet Talisker.
Le périmètre d’action de la DSI s’élargit
Pour un acteur industriel, le problème réside dans la difficulté à formaliser des exigences de cybersécurité. La DSI, qui sait gérer des niveaux de protection informatique élevés, est de plus en plus sollicitée pour s’occuper des problématiques industrielles dans leur globalité et piloter l’ensemble des dispositifs de sécurité. Elle élargit depuis quelques années son périmètre à la compliance ou au juridique, notamment la mise en conformité avec la règlementation sur l’usage des données (RGPD).
Deux modèles co-existent aujourd’hui pour que les DSI entrent au cœur des problématiques industrielles. Certaines s’organisent par technologies et ajoutent une brique « industrie » au milieu des briques réseau, serveurs, base de données etc. D’autres misent sur la verticalisation en agrégeant des métiers différents (développeurs, « Ops », techniciens industriels, voire commerciaux) dans une équipe dédiée à un client spécifique. On crée ainsi des équipes agiles à l’approche DevOps, c’est-à-dire où développement et administration des logiciels sont unifiés. « Cette organisation verticale sur un modèle de « micro-usine » permet une réelle osmose avec le client » précise Jean-Luc Dagron. « Les équipent travaillent au rythme du client pour une meilleure réactivité et une réduction des délais d’intervention en cas d’urgence ».
Trouver son propre modèle de convergence
La convergence IT/OT fait écho à une problématique parfaitement humaine : faut-il chercher à fondre les collaborateurs dans une organisation existante ou ajouter une équipe nouvelle qui cohabitera avec les autres ? Pour rapprocher des équipes qui sont construites sur des cultures différentes, l’expert en organisation a son rôle à jouer en offrant un avis extérieur, des éléments de comparaison et des modèles. Il aidera son client à sortir de l’affect pour accoucher d’une vision plus objective. « Quel que soit le modèle choisi, la gestion globale de la sécurité progressera avec la convergence IT/OT, car la formalisation des exigences de sécurité implique toute l’entreprise », conclut Jean-Luc Dagron. De la convergence naît également l’enrichissement : un membre de la DSI découvrira par exemple des processus d’automatisation industriels réplicables en informatique, tandis qu’un opérateur sur site sera sensibilisé au rôle déterminant de la donnée qu’il collecte.