Sécurité industrielle : la réglementation française en avance, les industriels insuffisamment préparés !

La sécurité des systèmes d’information industriels est un enjeu de taille. Si les pouvoirs publics français se sont emparés très tôt du sujet en mettant en place des réglementations exigeantes, les industriels français tardent à se mettre en conformité. État des lieux avec Édouard Bedoucha, Consultant Sécurité et expert de la sécurité des systèmes industriels chez Orange Cyberdéfense.

Les systèmes industriels : peu ou pas sécurisés

Après le monde des services (banques, assurance, commerce…), c’est au tour des industriels d’entamer leur transformation numérique. Objectif : déployer l’usine 4.0, intelligente et connectée. Une transformation qui fait de la sécurité un véritable enjeu. Les SI industriels sont-ils suffisamment sécurisés pour s’ouvrir sans risque à des partenaires, des clients, ou tout simplement au web ? « Le constat est clair : le niveau de sécurité, chez nos clients industriels, n’est pas suffisant », répond Édouard Bedoucha. « Mais la France n’est pas pour autant en retard : la situation est générale, mondiale. Les systèmes industriels n’ont pas été conçus pour résister à des attaques, des intrusions ou des actes de malveillance d’origine cyber », précise Édouard Bedoucha.

La réglementation française, la plus exigeante d’Europe

Ce déficit de sécurité est en effet une question de conception. Lorsque l’outil de production a été conçu, il y a 20 ans, 30 ans voire plus, la cybersécurité n’était absolument pas un enjeu. Et les SI des industriels n’étaient pas encore ouverts à l’extérieur. « Il y a encore 20 ans, le système industriel se limitait à une connexion filaire entre un automate de production et sa console de supervision. Depuis quelques années, on assiste à l’arrivée du tout IP, à l’interconnexion entre le système industriel et le système d’information, à l’ouverture de l’usine à ses partenaires… La sécurité des systèmes et la confidentialité des données deviennent essentielles. Heureusement, la prise de conscience est généralisée dans l’industrie, poussée par les pouvoirs publics », analyse Édouard Bedoucha.

Dès 2013, le volet cybersécurité de la Loi de Programmation Militaire (LPM) définissait en effet les obligations des Opérateurs d’Importance Vitale (OIV). Une véritable avancée ! La directive européenne National Information Security (NIS), en 2016, s’est d’ailleurs inspirée de la LPM. Plus récemment, en février 2018, l’adoption de cette directive européenne dans le droit français a étendu les obligations de sécurité aux Opérateurs de Services Essentiels (OSE) et aux Fournisseurs de Service Numérique (FSN). Aujourd’hui, les exigences de sécurité françaises, définies par l’ANSSI, sont les plus fortes d’Europe.

Les industriels français ont besoin d’accompagnement

La sensibilisation des industriels progresse rapidement, stimulée par les attaques et autres actes de malveillance visant des industriels. Par exemple ? L’attaque dont a été victime Saint-Gobain en 2017, qui s’est étendue bien au-delà du système industriel, lui a coûté plus de 250 millions d’euros de pertes sur ses ventes.

Si la prise de conscience est croissante, le manque de compétences des industriels en matière de cybersécurité est flagrant. D’où la nécessité de faire appel à des prestataires externes pour établir un état des lieux de leur sécurité, élaborer un plan d’actions, mener un audit des vulnérabilités, ou encore sensibiliser les collaborateurs. Pour répondre à ces besoins, Orange Cyberdéfense a mis en place une offre globale autour de la sécurité des systèmes industriels permettant un accompagnement de bout en bout du client (Conseil, sensibilisation / formation, protection, surveillance, anticipation)… Sans oublier de proposer de nouvelles offres correspondant au référentiel réglementaire LPM. « Les opérateurs ont obligation de faire réaliser un audit par un prestataire référencé (PASSI LPM) auprès de l’ANSSI.

Or, nous ne sommes qu’une dizaine de sociétés d’audit référencées, pour environ 250 Opérateurs d’Importance Vitale ! Nous sommes de plus en plus sollicités, d’autant que certaines entreprises commencent seulement à s’intéresser au sujet, alors que la première échéance de la mise en conformité est fixée à fin 2018. La plupart des entreprises seront en retard ! », avertit Édouard Bedoucha.

 

Un benchmark pour évaluer la maturité de sa sécurité industrielle

Pour aider les entreprises à évaluer leur degré de maturité en matière de sécurité, Orange Cyberdéfense a mis en place un benchmark. Créé en 2011, il regroupe les résultats de tous les audits réalisés depuis : un retour d’expérience qui couvre tous les grands thèmes de la sécurité des systèmes industriels, et permet aux entreprises de se positionner parmi d’autres acteurs de leur secteur.

La dernière version du benchmark, disponible en janvier 2019, illustre l’évolution de la maturité des entreprises françaises. « Notre benchmark de la sécurité industrielle permet de rappeler que la problématique reste forte. Il souligne les vulnérabilités existantes et les points-clés de sécurisation. Enfin, il sensibilise les entreprises à l’intégration de la cybersécurité dans le cycle de vie de leurs projets », détaille Édouard Bedoucha. « En effet, les systèmes industriels déployés aujourd’hui vont être exploités pendant 20, 30 ou 50 ans. Il faut cette fois anticiper les risques à venir ».

 

Pour aller plus loin