1. La peur n’est pas la meilleure des conseillères
En 2001, tout frais sorti de l'école, je réalisais, pour le compte d'une usine d'un constructeur automobile, un audit de son réseau LAN. L'usine avait subi plusieurs "crashes" informatiques, paralysant les machines des heures durant… L'audit révélait que le réseau local était complètement "à plat", donc que les ordinateurs bureautiques connectés à internet étaient sur le même VLAN que l'ICS. Le trafic bureautique perturbait à lui seul le trafic de pilotage des machines…
Cette anecdote illustre bien l'historique de la connectivité progressive et non maîtrisée des usines et des milieux industriels.
Pilotées par des responsables locaux, plus automaticiens qu'informaticiens, les usines ont longtemps évolué et se sont modernisées sans prendre en compte les risques futurs et les enjeux de sécurités, ou très partiellement. La connectivité de plus en plus importante de ces équipements robotiques, contrôlés par des équipements informatiques aux logiciels difficiles à mettre à jour, connectés à des ERP parfois hébergés dans le cloud, met en danger les systèmes industriels.
Or, ce qui relevait du simple risque hier est aujourd’hui une certitude. Le piratage des entreprises, des particuliers et des objets connectés est un business global.
Mais soyons clairs : dans ce billet, il ne s'agit pas de faire peur mais de rassurer. L'industrie a entamé un processus de modernisation important (industrie 4.0) pour optimiser les cycles et processus de fabrication et cette adaptation est primordiale pour les industriels. Il ne serait donc pas judicieux de prendre des décisions hâtives de cloisonnement total des machines, de multiplication de processus complexes et de règlements ingérables pour l'usine.
2. Les partenaires et les acteurs sont là...
Pas de panique donc, d'autant plus que les acteurs du marché de la sécurité s'organisent, prenant ce sujet à bras le corps depuis notamment les attaques de 2010 (Stuxnet) :
- Les offres de consulting d'abord s'étoffent et se spécialisent, proposant de la sensibilisation, des états des lieux, une cartographie des systèmes et des connexions dans le milieu industriel, voire de l’Ethical hacking pour démontrer « grandeur nature » les risques… Ces offres permettent déjà de savoir ce qui se passe, qui est connecté à quoi, quelles sont les vulnérabilités associées et les risques encourus. Avoir cette information est déjà un grand pas.
- Les acteurs de la sécurité IT apportent des solutions pour la sécurisation de différentes parties de l'ICS : cloisonnement/filtrage réseau, protection des PLC (Programmable Logic Controller, c’est-à-dire des automates) contre des intrusions, supervision d’évènements… Ils arrivent avec leur expertise IT, s’adaptent aux métiers, aux enjeux bien spécifiques du monde industriel, ainsi qu’aux protocoles propriétaires.
- Enfin, les fournisseurs de services et intégrateurs commencent à proposer des services de bout en bout en gérant les solutions de sécurisation (gestion des évènements, filtrages) et apportant la veille sécurité nécessaire pour comprendre les menaces et proposer des solutions pour les contrer.
Les solutions pour sécuriser l’industrie 3.0 et créer l'industrie 4.0 existent et permettront de limiter les risques à un niveau jugé acceptable pour tous.
3. Up, up, up !
Mais les solutions seules ne feront pas tout, une évolution organisationnelle s’impose en parallèle. D'abord, la convergence des équipes OT et de l'IT est irrémédiable. Les enjeux et les compétences métiers des uns appartiennent aussi aux autres. Ensuite, le niveau de prise en compte de la sécurité doit évoluer.
Fini (bientôt) le temps du responsable de la sécurité qui a du mal à se faire entendre par un DSI adjoint au prétexte qu’il doit en priorité connecter les techniciens, les caristes, les opérateurs et les machines.
La prise en compte des enjeux de la sécurité devra se faire au niveau du COMEX de l'entreprise pour que la modernisation ne se fasse pas au détriment de sa sécurité. Certaines entreprises s’y mettent déjà, en nommant un RSSI global pour IT et OT dans le COMEX.
Les compromis devront aussi certainement changer de camp. La sécurité devra peut-être, dans un premier temps, prendre le pas sur les coûts ou les délais. Et seul un COMEX peut prendre une décision d'investissement structurante comme celle-là.
L'industrie 4.0, une formidable opportunité business
N'hésitez pas : l'industrie 4.0 fait gagner en agilité nos entreprises et nos emplois… à condition de respecter certaines règles. Le faire dans un contexte sécurisé est possible sous réserve :
- De prises de décisions sur l'enjeu de la sécurité à très haut niveau dans l'entreprise
- D'intégrer la sécurité dès le début des projets
- De challenger les compromis coûts/délais/sécurité habituels.
Pour aller plus loin
J’ai passé plus de 10 années auprès des entreprises bretonnes, françaises et internationales dans le cadre de missions de conseil avec à chaque fois pour seul objectif d’analyser, comprendre et synthétiser leurs besoins. Je suis aujourd’hui en charge dans les équipes marketing d’Orange Cyberdéfense de définir et mettre en œuvre notre stratégie globale pour accompagner nos clients dans la sécurisation des milieux industriels et de leurs projets IoT.