Industrie et cyber sécurité : comment conjuguer infrastructures vieillissantes et systèmes d’informations sécurisés modernes ?
Les chaines de production sont bien entendu en partie robotisées, parfois connectées, mais la plupart s’appuient sur des environnements obsolètes, appelés « legacy systems », et fonctionnant sur des environnements qui ne sont souvent plus maintenus par les fournisseurs d’applications et/ou systèmes d’exploitation (nous pouvons encore rencontrer du Windows 3.1 par exemple).
Cela pose une problématique majeure : leur sécurité. En effet, un système qui n’est pas mis à jour est davantage exposé aux cyberattaques.
Un manque d’évolutivité voulu par les entreprises
Si les systèmes industriels ne sont aujourd’hui pas aussi souvent mis à jour, c’est principalement dû à un manquement volontaire. La confiance que ce segment donne à des processus de mises à jour de leurs systèmes d’information critique n’est sûrement pas le bon.
L’ère de l’hyper connectée arrive très parcimonieusement dans secteur industriel. Nous retrouvons encore des protocoles de communication de niche et non évolutifs comme dans certaines centrales nucléaires.
Mais immanquablement, nous aurons de plus en plus de systèmes industriels connectés ; que ce soit dans l’industrie ou le chaining, nous tendons vers plus d’optimisation malgré des systèmes encore très décloisonnés.
La technologie est en effet la clé de la modernisation et de l’évolution des industries. Le ROI d’une automatisation sur une chaine de production est très élevé puisque l’on passe d’un modèle 3.8 à un modèle 24 dans certains cas. Robotisation, 5G, cloud… la technologie permet d’augmenter la production et de l’optimiser. Celle-ci accompagne le business et la croissance ; la sécurisation des technologies doit être ad-hoc.
Considérer l’ensemble des éléments pour une meilleure gestion des risques
Dès lors que nous considérons un modèle, il faut prendre en compte l’ensemble des éléments constituant ce modèle : des process à la technologie. Par exemple, pour les trains, il faut accorder de l’importance au train lui-même mais aussi aux infrastructures, tels que les rails.
Par le passé, nous avons vu des attaques ciblées tels que les ransomwares verrouillant le système d’information devenue inutilisable. Aujourd’hui, nous sommes sur une gestion de risques plus qu’une prévention. Et dans le futur, les industries se doivent d’évoluer.
La gouvernance va passer par une adoption de nouveaux modèles plus robotisés, connectés et automatisés. Il y aura donc moins de présence humaine. Nous sommes sur une augmentation de la robotisation dans l’entreprise industrielle. Les technologies doivent donc être mises à jour et sécurisées.
Conséquemment, les challenges doivent être adaptés au secteur en question : considérer l’obsolescence des systèmes actuels est important tout en définissant d’un point de vue stratégique comment cette obsolescence pourrait évoluer vers des systèmes plus modernes et donc plus connectée en ayant la technologie et la sécurité qui vont accompagner cette transformation.
Des impacts à différents niveaux
Lorsque l’on parle de risque, le facteur commun est le risque financier : la sanction financière si les règlementations telles que le RGPD ne sont pas respectées, les pertes liées à l’arrêt de production, mais également des risques connexes tel que celui lié à la réputation de l’entreprise par ses clients, potentiels prospects et investisseurs. Le risque humain peut aussi être présent, dans le secteur lié à la santé par exemple.
De nos jours, certaines entreprises ne mesurent pas cet impact, tandis que d’autres (surtout PME et TPE) n’ont simplement pas les moyens de mettre en place une stratégie de cybersécurité complète pour prévenir ces conséquences.
Les études d’impact doivent être discutées et traitées par les CODIR ou COMEX, qui jouent ici un rôle essentiel. En effet, ils déterminent la nécessité de l’évolution de la place du système d’informations au sein d’une entreprise, et l’impact lié à la gestion des risques, afin d’accompagner la croissance de l’entreprise.
