Orchestrer la sécurité de l'usine connectée

L’usine de demain sera plus ouverte, plus connectée, plus automatisée. Reliée à ses clients et partenaires, équipée d’objets connectés qui permettront d’optimiser son pilotage et de robots qui augmenteront son efficacité, elle verra sa productivité renforcée et sa souplesse accrue. Autant de nouveaux défis pour le responsable de la sécurité !

L’usine 4.0, hyper-connectée


Peu à peu, l’industrie s’approprie toutes les innovations de l’informatique d’entreprise, de la mobilité, de l’Internet of Things (IoT), de l’interconnexion… L’usine 4.0 sera connectée à ses fournisseurs et à ses clients. Avec l’intelligence artificielle, la production sera ajustée en fonction de la demande et de l’état des stocks. Surveillé en temps réel par des capteurs et objets connectés, son fonctionnement sera quasi infaillible et sa maintenance, prédictive. L’impact environnemental sera maîtrisé. Les collaborateurs seront déchargés des tâches répétitives ou pénibles. Un tableau idéal, à un détail près : communicante et ouverte vers l’extérieur, l’entreprise est aussi plus exposée aux attaques informatiques, puisque chaque connexion devient une faille potentielle à contrôler !

Sécurité des SI : quelles conséquences pour l’usine de demain ?

Bien sûr, la fiabilité des systèmes électroniques et informatiques sur lesquels reposent le fonctionnement de l’entreprise tout entière doit être sans faille. Une fiabilité que l’on sait déjà gérer dans le monde industriel, à l’échelle des dispositifs existants. L’usine 4.0 nécessite de changer d’échelle afin d’avoir une vision globale de toute la chaîne de production et, dans certains cas, de s’imposer la même exigence que le monde médical où des dispositifs sont mis en œuvre sur des équipements dont dépend la vie des patients !
En matière de sécurité informatique, les vulnérabilités de chaque technologie mise en œuvre s’additionneront : les risques liés à l’IoT comme la prise de contrôle à distance des objets, à l’interconnexion avec les partenaires et au piratage des données transmises, à l’automatisation (la prise de contrôle des robots à distance par exemple).

Le meilleur du dispositif de sécurité propre à chaque secteur d’activité

Autant de risques que l’on sait aujourd’hui maîtriser, dans des secteurs non industriels.
La banque sait par exemple garantir la sécurité des communications et transactions avec ses partenaires et clients. Les acteurs du monde des applications en mode SaaS et du Cloud savent assurer la sécurité des communications et des données. Quant à la sécurité des objets connectés et de l’IoT, elle fait l’objet de nombreux projets de R&D, de partenariats entre professionnels (même si elle reste encore à standardiser et systématiser).
En exploitant le meilleur des technologies venues de secteurs différents, l’usine 4.0 devra reprendre et intégrer leurs processus et stratégies de sécurisation les plus exigeants.

Cartographier les risques existants et les prévenir

Assurer la sécurité commence par réduire les risques potentiels. Pour cela l’usine 4.0 devra :

  • exiger une sécurisation native. Les cas de cyber-attaques liés à des objets connectés, ces derniers mois, ont illustré la nécessité de systématiquement opter pour des dispositifs communicants – objets connectés ou robots – sécurisés. L’usine doit exiger de la part des constructeurs une démarche de « security by design » , c’est-à-dire l'intégration de la sécurité dès la phase de conception de ces objets et machines, pour s’assurer qu’ils ne seront pas attaqués.
  • réduire le nombre d’interfaces. Le point faible de l’industrie connectée réside dans ses interfaces, points d’entrée d’attaques potentielles. Recenser ces interfaces, les rationnaliser et les limiter, simplifie leur surveillance.
  • séparer les fonctions indépendantes. Pour éviter tout risque de propagation d’une attaque, des sous-réseaux, séparés par des pares-feux, seront dédiés à chaque fonction (logistique, gestion des clients, production, gestion de l’énergie, pilotage des outils de production…).
  • s’appuyer sur des solutions éprouvées. Par exemple, en stockant les données dans le Cloud, pour en confier la sécurité à un prestataire. Celui-ci, mutualisant ses équipements et dispositifs, peut déployer des moyens (par exemple, data center ultra-sécurisé) que l’entreprise ne pourra jamais déployer seule.
  • sensibiliser et former ses collaborateurs. Dans l’entreprise, la sécurité des personnes est une préoccupation constante, mais celle des systèmes informatiques n’est pas dans les habitudes. Une formation solide et répétée sera nécessaire pour qu’un opérateur ne note pas un mot de passe, ne le confie pas à un tiers…  
  • réduire le risque humain. Pour compléter la sensibilisation des collaborateurs, l’entreprise devra réduire les aspects humains de la sécurité, par exemple en préférant une authentification biométrique à un mot de passe. Enfin, les différents dispositifs de sécurité doivent s’articuler parfaitement. L’idéal ? Confier la sécurité à un prestataire unique, capable de sécuriser le SI, les robots, les réseaux…

Pour aller plus loin