Sécurité industrielle : de la prise de conscience à la prise de responsabilité

Partager l’article :

La prise de conscience globale des industriels sur la sécurité informatique industrielle commence à faire son chemin, notamment au niveau du COMEX où le sujet est pris au sérieux (voir mon précédent article sur le sujet).

Le premier enjeu pour le COMEX d’une entreprise est de gérer les difficultés organisationnelles liées à ses différents sites industriels.

DSI, RSSI, responsable d’usine, responsable sureté, responsable de la transformation digitale… Tous ces acteurs peuvent, à différents moments, selon leur niveau de responsabilité, être en charge d’une partie de la sécurité de l’informatique industrielle.

Une refonte de l’organisation et de nouvelles répartitions budgétaires sont donc nécessaires pour que le sujet soit géré efficacement et mené avec le bon niveau d’engagement d’un point de vue managérial et sur le terrain.

Comment arriver à cette prise de responsabilité et, in fine, à une organisation efficace ? Pour cela, il faut un leader, un meneur (et un budget associé) qui transcende les organisations actuelles IT et métiers.

Différents acteurs peuvent prétendre au poste de leader :

• Le responsable de la transformation du parc industriel, par exemple, est un bon candidat – encore faut-il qu’il y en ait un au sein de l’entreprise. Il a pour responsabilité de transformer les assets de production de l’entreprise, de lancer des projets de digitalisation, d’usine 4.0, etc.  La sécurité industrielle peut donc légitimement lui incomber dans le cadre des projets de transformation de l’entreprise. Car le budget alloué à la sécurité de ces nouveaux environnements pourrait être intégré au budget de la transformation,
• Le responsable opérationnel est également légitime pour porter la sécurité informatique des usines. Il a les contacts qu’il faut (notamment avec les intégrateurs), sait de quoi il parle, pourrait garantir la sureté, la continuité d’activité ET la cybersécurité. Le budget de l’usine peut intégrer une partie cybersécurité.
• Enfin, le DSI, qui porte la sécurité du SI, figure aussi dans la liste des candidats ! Il a à cœur de sécuriser son SI des menaces provenant de l’OT (Operation Technologies), mais pourra aussi être responsable de certaines attaques venant d’accès qu’il a pu fournir à l’usine.

Cette problématique organisationnelle tend à se résoudre si l’on en croit les discussions que nous avons avec des clients, grands comptes, ETI, PME.

En effet, de plus en plus, le DSI semble porter cette responsabilité, avec une légitimité acquise par plusieurs facteurs :

• Les méthodes pour cyber-sécuriser l’informatique industrielle sont les mêmes que les méthodes dans le SI. Les solutions et les acteurs peuvent être différents, mais les méthodologies (que ce soit pour l’analyse de risques, le plan de sécurité, etc.) sont les mêmes,
• Les équipements, sous sa responsabilité, à sécuriser dans l’usine, ne sont pas toujours des PC et peuvent être des équipements inconnus pour lui (automates par exemple). Cela n’en reste pas moins des équipements accessibles en IP à travers un réseau. Les problématiques de cloisonnement, de gestion de flux… sont de son ressort dans l’IT et peuvent être, transposées avec leurs spécificités, à l’OT,
• Les vulnérabilités, qui peuvent venir de connections non maîtrisées dans l’OT ou d’utilisations de clés USB dans le processus industriel, vont aussi de plus en plus provenir de connectivités entre l’IT et l’OT. En cas d’attaque venant de cette interconnexion ou d’une vulnérabilité informatique quelconque, ces vulnérabilités rendront responsable le DSI,
• Le DSI porte le budget de la sécurité informatique et peut légitimement voir son budget augmenter pour gérer l’informatique industrielle.

Néanmoins, le DSI ne pourra pas relever seul ce défi ! Sécuriser l’informatique industrielle nécessitera forcément la collaboration très forte des équipes terrains, des opérationnels, des responsables d’usines et de nouveaux acteurs (intégrateurs, industriels…) avec le DSI. Comprendre le processus industriel, déléguer certaines tâches de supervision des évènements de sécurité, sensibiliser les opérateurs et salariés de l’usine… Toutes ces missions ne se feront pas sans collaboration étroite avec les responsables locaux ou les responsables opérationnels.

C’est d’ailleurs le sens de la plupart des solutions spécifiquement développées pour ces environnements.

Développées à partir des meilleures pratiques informatiques, les solutions pour environnements OT de détection, de protection de Endpoints entre autres vont avoir, pour les plus adaptées, la particularité d’être compréhensibles des métiers opérationnels.

Par exemple, les cartographies proposées en environnements industriels vont être compréhensibles et construites pour un automaticien du terrain. Il verra devant lui un schéma de son processus industriel et pourra définir lui-même les comportements nominaux qui pourront ensuite être configurés et suivis par les équipes IT.

Pour faciliter cette collaboration, des méthodologies éprouvées sont proposées. Entretiens terrains, discussions sur le processus de la chaîne de production, sensibilisation avec des maquettes représentants des chaînes industrielles, discours adaptés au terrain… Tout ce savoir-faire, ajouté à la méthodologie d’analyse de risques et de détection des vulnérabilités permet d’engager le dialogue et de créer le liant entre automaticiens locaux, responsable d’usine et des opérations et DSI centralisées. Un atout essentiel pour garantir la bonne marche de la cybersécurité dans l’usine.

Chef de produit chez Orange Cyberdefense, Aymerick Dumas accompagne les clients dans leurs problématiques de sécurité industrielle et leurs projets Internet des Objets (IoT). Depuis plus de 10 ans, Aymerick identifie, analyse et répond aux besoins d’entreprises françaises (notamment bretonnes) et internationales.