L’industrie est particulièrement vulnérable aux attaques et défaillances d’origine cyber en raison de sa dépendance aux systèmes connectés. Les conséquences d’une compromission dépassent largement les frontières de l’entreprise touchée, provoquant des perturbations en cascade dans toute sa chaîne d’approvisionnement. Les chiffres sont alarmants : le secteur concentre 25,7% des cyberattaques mondiales, dont 71% impliquent des rançongiciels (1). Cette situation est amplifiée par la difficulté à moderniser les systèmes existants sans interrompre la production.
Appréhender le défi
La vulnérabilité du secteur manufacturier s’explique par la transformation numérique des processus de production et l’interconnexion croissante entre les réseaux OT et IT (2). Les violations peuvent être dévastatrices, paralysant la production tout en menaçant la stabilité financière et la réputation des entreprises. Le secteur fait face à un défi particulier : ses équipements spécialisés reposent souvent sur des systèmes obsolètes et leur mise à niveau nécessite des arrêts de production coûteux. Cette contrainte pousse souvent les entreprises à reporter les investissements en cybersécurité ou appliquer des solutions palliatives moins efficaces, les rendant plus vulnérables aux attaques.
La modernisation des chaînes de production a créé un écosystème hautement interconnecté où fournisseurs, sous-traitants, distributeurs et prestataires de services sont étroitement liés. Cette interdépendance signifie qu’une seule brèche peut compromettre des chaînes de production entière et mettre en péril les relations avec l’ensemble des partenaires commerciaux.
La protection efficace du secteur manufacturier nécessite d’intégrer la sécurité dans tous les aspects de l’organisation. Cette approche proactive va au-delà de la simple mise en place de systèmes de sécurité, exigeant un changement fondamental de mentalité qui doit être initié par la direction et diffusé à tous les niveaux de l’organisation et auprès des partenaires.
Le rôle de la Direction
La cyberrésilience s’articule autour de trois axes fondamentaux : la préparation, l’intervention et le rétablissement face aux incidents d’origine cyber. Pour être efficace, elle doit être portée au plus haut niveau de l’entreprise, en traitant la cybersécurité comme un objectif commercial fondamental plutôt qu’une simple préoccupation technique. Les dirigeants doivent allouer stratégiquement les ressources nécessaires aux outils de cybersécurité, à la formation et au personnel, tout en cultivant un environnement où la sécurité est considérée comme la responsabilité de tous. Cela implique une communication constante sur l’importance des défenses robustes, la reconnaissance des bonnes pratiques et l’application systématique des politiques de sécurité.
La technologie et le facteur humain
Les outils de cybersécurité avancés, notamment les solutions de sécurité des terminaux et de surveillance réseau, sont essentiels dans l’industrie manufacturière. Ces technologies offrent une visibilité en temps réel sur l’infrastructure informatique, permettant la détection précoce des anomalies et des menaces potentielles. Les systèmes basés sur l’intelligence artificielle analysent les données massives pour identifier les schémas d’attaque émergents.
Cependant, la technologie seule ne suffit pas à garantir une sécurité efficace. Les cybercriminels ciblent souvent le maillon humain via des techniques d’ingénierie sociale comme l’hameçonnage. Un programme de formation régulier est donc indispensable, couvrant la sensibilisation aux menaces, la gestion des mots de passe et la sécurisation des données. Les employés doivent être encouragés à signaler toute activité suspecte dans un environnement bienveillant, favorisant une culture de sécurité proactive.
Normes et réglementations de la cybersécurité
Le cadre de cybersécurité du NIST offre une approche structurée pour la gestion des risques cyber, articulée autour de six fonctions : Identifier, Protéger, Détecter, Répondre, Récupérer et Gouverner. Ce cadre permet aux organisations d’identifier leurs vulnérabilités et d’améliorer leur posture de sécurité tout en assurant la conformité aux réglementations sectorielles. Il facilite également la préparation et la récupération après incident, minimisant ainsi les interruptions opérationnelles.
La directive NIS2 vise à renforcer la cyberrésilience au sein de l’Union Européenne. Elle impose aux secteurs critiques, dont la fabrication, l’adoption de pratiques de gestion des risques plus rigoureuses via des mesures de sécurité obligatoires.
L’application de normes et réglementations permet au secteur manufacturier de construire une résilience durable face aux cyberattaques tout en évitant les risques juridiques, financiers et réputationnels, incluant les poursuites, les amendes et les refus de couverture d’assurance cyber.
Protéger le système existant : comment s’y prendre ?
Le principal défi des fabricants réside dans leur dépendance à des systèmes anciens, essentiels à la production mais difficiles à mettre à jour sans engendrer des coûts considérables. Pour sécuriser ces infrastructures critiques, deux approches complémentaires s’imposent : l’air gapping et la segmentation réseau.
L’air gapping isole complètement les systèmes critiques du réseau pour empêcher les accès non autorisés. La segmentation, quant à elle, compartimente le réseau en zones distinctes pour contenir l’impact d’éventuelles violations. Toutefois, face à l’interconnectivité croissante des environnements OT, l’air gapping ne peut constituer l’unique stratégie de protection des infrastructures critiques. Pour permettre à des réseaux différents de communiquer, il existe des solutions qui visent à maîtriser les flux et de garantir la confidentialité et l’intégrité des échanges, tout en maintenant une séparation stricte entre des réseaux de sensibilités différentes. D’autre part, la sécurisation des systèmes existants nécessite également le déploiement d’outils de surveillance réseau et de protection des terminaux. Ces technologies assurent une visibilité complète sur l’activité du réseau et permettent une détection des menaces en temps réel.
Cyberrésilience, un impératif pour toutes les entreprises du secteur industriel et manufacturier
La cyberrésilience est incontournable pour le secteur manufacturier. Une prise en compte de la direction, la combinaison de technologies et de la vigilance humaine et le respect des cadres réglementaires comme le NIST CSF, IEC62443 et NIS2. Le renforcement de la cyberrésilience implique l’intégration de la sécurité dans chaque processus organisationnel. Cette approche protège non seulement les entreprises individuelles mais également l’ensemble de la chaîne d’approvisionnement. L’évolution constante du secteur manufacturier exige une adaptation continue des pratiques de cybersécurité pour garantir un avenir résilient.
Benoit Grunemwald,
Expert en cybersécurité.
Sources et liens utiles :
(1) Indice IBM Security X-Force Threat Intelligence 2024 : https://www.ibm.com/reports/threat-intelligence
NIST : https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
Prévenir plutôt que guérir : https://www.eset.com/int/prevention-first-approach/
NIS2 : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02022L2555-20221227
(2) Dans le domaine du numérique, OT (Operational Technology) et IT (Information Technology) désignent deux types de technologies aux fonctions et objectifs distincts :
– OT (Technologies Opérationnelles) : Ce sont les technologies utilisées pour surveiller et contrôler les processus industriels, physiques et mécaniques. Elles incluent les systèmes de contrôle industriel (ICS), les automates programmables industriels (PLC), les systèmes SCADA, et d’autres équipements utilisés dans les secteurs de la production, de l’énergie, des transports, etc.
– IT (Technologies de l’Information) : Elles englobent les systèmes informatiques traditionnels axés sur le traitement, le stockage et la gestion des données numériques. Cela inclut les réseaux, les serveurs, les bases de données, les logiciels, les applications métier, la cybersécurité, etc.
(3) https://fr.wikipedia.org/wiki/CEI_62443
