Penser la cybersécurité sur toute la chaîne de production

En quelques années, la sécurité des systèmes d’information (SI) est devenue une préoccupation majeure pour les industriels. Face à des menaces toujours plus sophistiquées, la convergence des SI et des systèmes opérationnels est devenue nécessaire à l’Industrie 4.0. Décryptage.

Sécurité informatique, dangers industriels

Si la transformation numérique des secteurs industriels peut générer des gains importants en matière de productivité, de réactivité et d’efficacité, c’est également en déployant de nouveaux outils informatiques sur la chaîne de production que de nouvelles menaces peuvent apparaître. En reliant entre eux des îlots de la chaîne de production jusqu’ici indépendants – par exemple en connectant la chaîne de production à des réseaux internes et/ou externes pour transmettre et analyser des données opérationnelles – les entreprises ont augmenté de surcroît leur surface d’attaque potentielle. Une situation d’autant plus préoccupante que les menaces en matière de sécurité informatique ne font que croître. D’après une étude menée par Deloitte en 2020, 4 fabricants sur 10 indiquent avoir été affectés par un incident de sécurité au cours des 12 mois précédents. L’impact financier moyen d’un incident de sécurité sur les systèmes IoT, pour ne citer qu’eux, serait équivalent à 330 000 dollars.

Des dangers bien identifiés

Toujours selon la même étude, les fabricants interrogés ont très nettement identifié les principaux risques : les accès non autorisés (87 %), les disruptions opérationnelles (86 %) et le vol de propriété intellectuelle (85 %). Parmi les récentes cyberattaques liées à ces risques, on peut citer celle qui a touché la société américaine Visser Precision en mars 2020. Via un « ransomware » ou logiciel de rançon, les hackers ont subtilisé des contrats et des schémas de produits impliquant des entreprises aussi prestigieuses que Boeing, Lockheed Martin et Tesla. Parmi les autres risques identifiés par les fabricants, se trouvent également ceux pouvant affecter l’intégrité physique des employés sur site comme la compromission du système de sécurité industrielle (73 %), ainsi que ceux qui porteraient préjudice à l’image de l’entreprise en détériorant la qualité des produits (73 %).

Entre IT et OT, une nouvelle attitude à adopter

En dépit d’une prise de conscience des risques par les industriels, il s’avère parfois difficile de sensibiliser et de mobiliser l’ensemble des collaborateurs, jusqu’aux opérateurs sur le terrain. En parallèle, les équipes pilotant l’informatique industrielle sont composées d’experts en automatisme et en ingénierie, mais pas forcément en informatique et encore moins en sécurité informatique. Ils analysent le risque en pensant à la panne ou à l’indisponibilité du système, et n’ont pas nécessairement en tête le risque d’intrusion sur le système informatique rattaché. Il est donc indispensable que les métiers collaborent avec la DSI, et que celle-ci comprenne leurs enjeux pour apporter une réponse pertinente. Les entreprises peuvent par exemple faire appel à un expert en matière de sécurité, éventuellement extérieur à l’entreprise.

Penser à la sécurité tout au long de la vie du système

Il arrive que les experts sécurité soient intégrés dès la conception du SI. Mais le plus souvent, c’est lors de la recette du SI industriel que l’entreprise prend conscience du risque et demande un audit.

Toute démarche de sécurisation démarre souvent par la réalisation d’un schéma de l’installation informatique, souvent inexistant ou incomplet. Les experts analysent ensuite l’existant en évaluant les mesures de sécurité et les vulnérabilités potentielles. Grâce à cet état des lieux, l’entreprise prend connaissance des risques auxquels elle est exposée et peut alors décider des mesures à mettre en place. Néanmoins, veiller à la sécurité en amont est plus efficace et ne génère pas de surcoût. À l’inverse, intégrer a posteriori la sécurité est souvent long et coûteux : l’entreprise devra alors faire des choix et ne traiter que les cas les plus critiques pour son activité.

 

Pour aller plus loin