Partager l’article :
La prise de conscience globale des industriels sur la sécurité informatique industrielle commence à faire son chemin, notamment au niveau du COMEX où le sujet est pris au sérieux (voir mon précédent article sur le sujet).
Le premier enjeu pour le COMEX d’une entreprise est de gérer les difficultés organisationnelles liées à ses différents sites industriels.
DSI, RSSI, responsable d’usine, responsable sureté, responsable de la transformation digitale… Tous ces acteurs peuvent, à différents moments, selon leur niveau de responsabilité, être en charge d’une partie de la sécurité de l’informatique industrielle.
Une refonte de l’organisation et de nouvelles répartitions budgétaires sont donc nécessaires pour que le sujet soit géré efficacement et mené avec le bon niveau d’engagement d’un point de vue managérial et sur le terrain.
Comment arriver à cette prise de responsabilité et, in fine, à une organisation efficace ? Pour cela, il faut un leader, un meneur (et un budget associé) qui transcende les organisations actuelles IT et métiers.
Différents acteurs peuvent prétendre au poste de leader :
Cette problématique organisationnelle tend à se résoudre si l’on en croit les discussions que nous avons avec des clients, grands comptes, ETI, PME.
En effet, de plus en plus, le DSI semble porter cette responsabilité, avec une légitimité acquise par plusieurs facteurs :
Néanmoins, le DSI ne pourra pas relever seul ce défi ! Sécuriser l’informatique industrielle nécessitera forcément la collaboration très forte des équipes terrains, des opérationnels, des responsables d’usines et de nouveaux acteurs (intégrateurs, industriels…) avec le DSI. Comprendre le processus industriel, déléguer certaines tâches de supervision des évènements de sécurité, sensibiliser les opérateurs et salariés de l’usine… Toutes ces missions ne se feront pas sans collaboration étroite avec les responsables locaux ou les responsables opérationnels.
C’est d’ailleurs le sens de la plupart des solutions spécifiquement développées pour ces environnements.
Développées à partir des meilleures pratiques informatiques, les solutions pour environnements OT de détection, de protection de Endpoints entre autres vont avoir, pour les plus adaptées, la particularité d’être compréhensibles des métiers opérationnels.
Par exemple, les cartographies proposées en environnements industriels vont être compréhensibles et construites pour un automaticien du terrain. Il verra devant lui un schéma de son processus industriel et pourra définir lui-même les comportements nominaux qui pourront ensuite être configurés et suivis par les équipes IT.
Pour faciliter cette collaboration, des méthodologies éprouvées sont proposées. Entretiens terrains, discussions sur le processus de la chaîne de production, sensibilisation avec des maquettes représentants des chaînes industrielles, discours adaptés au terrain… Tout ce savoir-faire, ajouté à la méthodologie d’analyse de risques et de détection des vulnérabilités permet d’engager le dialogue et de créer le liant entre automaticiens locaux, responsable d’usine et des opérations et DSI centralisées. Un atout essentiel pour garantir la bonne marche de la cybersécurité dans l’usine.
Chef de produit chez Orange Cyberdefense, Aymerick Dumas accompagne les clients dans leurs problématiques de sécurité industrielle et leurs projets Internet des Objets (IoT). Depuis plus de 10 ans, Aymerick identifie, analyse et répond aux besoins d’entreprises françaises (notamment bretonnes) et internationales.
Retrouvez nos experts à une webinar le 7 juillet et posez leur vos questions en direct
S'inscrire ici