Renforcer la cybersécurité industrielle

Dans tous les cas, l’enjeu de la cybersécurité en général, et dans le domaine de l’industrie en particulier, se renforce avec l’augmentation de la connectivité.

Compte tenu de l’évolution du contexte géopolitique, cet enjeu devient souverain pour les Opérateurs d’Importance Vitale (OIV en France) et les entreprises concernées par la Directive Network & Information Security au niveau européen, en cours de révision.

Face aux menaces, tous les acteurs ne sont pas égaux. Les filières où l’on trouve beaucoup d’OIV comme l’énergie, le nucléaire, l’aéronautique, les utilities ou les infrastructures, bénéficient de façon historique d’une culture de sécurité informatique, encore renforcée par leurs obligations réglementaires et la coopération étroite avec les États. Aujourd’hui, la majorité des attaques se concentrent sur des secteurs à forte concurrence, autour de produits manufacturés BtoC fabriqués en grande série, là où les dégâts purement économiques peuvent être potentiellement les plus importants.

De la même façon qu’on va approcher la Continuité Digitale de manière globale et transverse au niveau de l’identification, de l’analyse et de la hiérarchisation des points de discontinuité en fonction de leurs impacts potentiels, il est indispensable d’envisager la cybersécurité d’une manière globale, en renforçant la profondeur d’analyse pour sécuriser, intercepter et décourager.

Pour être efficace, quelques points simples doivent être respectés par les industriels et les organisations qui les accompagnent :

1. Avant de mettre en place un dispositif de défense, il faut d’abord bien connaître ce que l’on veut protéger. Cela passe par des inventaires physiques et fonctionnels précis de tous les assets à protéger, pour trier les niveaux de criticité des systèmes.
2. De la même façon qu’on ne peut pas supprimer toutes les discontinuités, on ne peut pas tout protéger, notamment pour des raisons de coût. Il faut choisir, à travers des analyses de risque, en étudiant la vraisemblance et l’impact potentiel pour construire la feuille de route des mesures de protection à mettre en place de manière optimisée.
3. On va ensuite piloter le déploiement avec :
   • la sécurisation des réseaux physiques selon un principe d’étanchéité ;
   • la sécurisation des machines en tant que telles (désactiver les ports usb, etc.) ;
   • la gestion des accès aux systèmes.
4. On va enfin surveiller en temps réel avec un monitoring dédié et une force de réaction immédiate.
5. Ce process doit être suivi régulièrement pour bien intégrer l’ensemble des nouvelles machines, des nouveaux systèmes, des mises à jour, etc. Et pour limiter le risque de rejet du projet par les acteurs de l’usine, on va confier le pilotage ou faire co-sponsoriser le projet de sécurisation informatique industrielle directement par la direction industrielle plutôt que par la DSI.

Les projets de Continuité Digitale sont de bons moments pour revisiter sa sécurité informatique, car le risque cyber doit être intégré « by design » dans les démarches d’interconnexion de ce type. A l’instar de la Continuité Digitale, le risque cyber doit intégrer une part de travail sur la culture – parce que risque vient souvent de l’humain – et concerner également l’entreprise étendue, l’écosystème de l’entreprise et notamment l’ensemble des sous-traitant intervenant par exemple sur la maintenance.

Plus les interconnexions se multiplient, les capteurs s’ajoutent, les liens se créent et plus la combinatoire cyber va être complexe.

Cette dimension doit entrer en ligne de compte dès le lancement de projets de Continuité Digitale en se posant une question simple : comment les actions, les connexions nécessaires pour régler ce point de discontinuité vont-elles impacter mon risque cyber et au final le gain de performance global attendu ?