Ne limitons pas la sécurité industrielle à la cybersécurité

  • Bridge News

    21 July 2021

cybersécurité

L’industrie n’en est pas à sa première révolution. Au même titre que la mécanisation – fin XVIIIe -, l’électrification – début XXe – et l’automatisation des outils de production dans les années 1970, la quatrième révolution industrielle se construit autour d’évolutions technologiques et sociétales majeures.
L’industrie 4.0 est plus interconnectée, plus agile ou encore, plus innovante. Mais il n’a pas fallu attendre l’émergence de l’industrie 4.0 pour que soient numérisés les outils de production ou qu’apparaisse la robotique. Alors quelle véritable différence par rapport aux précédentes révolutions ? Le temps ! Les mutations digitales sont beaucoup plus rapides aujourd’hui qu’hier et prennent les industriels de court. Fournisseurs et fabricants d’équipements ont l’obligation de « délivrer » des solutions qui vont au-delà des seules exigences de performance opérationnelle. Seulement voilà : cette « nouvelle industrie » se veut communicante, et multiplie
les interconnexions entre sites, partenaires, et s’expose ainsi aux risques inhérents à l’économie digitale en termes de sécurité de l’information. Ce constat implique de repenser la sécurité des usines. Puisque la sécurité de l’industrie 4.0 n’est pas que de nature cybersécuritaire : elle s’envisage dans sa globalité.

L’industrie 4.0 : un paradigme temporel

Notre société s’est transformée en société de consommation de masse grâce à la 3ème révolution. Fortement globalisé, le business est « happé » par les consommateurs qui recherchent l’originalité et la spécificité d’un produit. La 4ème révolution industrielle qui repose sur la digitalisation des outils renverse, quant à elle, le paradigme temporel de l’innovation : là où les sociétés proposaient de l’innovation aux utilisateurs qui « patientaient » avant de pouvoir l’utiliser, les utilisateurs d’aujourd’hui ne souhaitent plus attendre. Avec cette 4ème révolution industrielle, tout se passe comme si nous étions entrés dans une ère de consommation de masse de l’innovation.

Dans un contexte très concurrentiel, l’amélioration continue ne suffit plus à garantir la survie de l’industrie qui doit à la fois réduire ses coûts, accélérer ses cadences, flexibiliser sa chaîne de production et ses outils tout en garantissant une qualité minimale du produit. Et le tout, en diversifiant ses gammes ! Elle impose donc aux industriels d’apporter plus d’agilité dans leurs processus. Cette agilité passe par l’interconnexion de toutes les étapes de production, sans oublier la place de l’homme. Elle passe aussi par un management participatif qui encourage les rôles et responsabilités de chacun. Les données assurent également sa pérennité. Elles doivent être partagées en continu, instantanément, et rendues accessibles à toute personne pour gagner en efficacité opérationnelle.

Une approche sécurité qui a besoin d’être revisitée

Dans une telle mécanique, où la production ne peut plus se permettre une interruption et où tout s’interconnecte, la transformation digitale remet donc en cause l’approche classique de la sécurité. Cette nouvelle cadence productive oblige les industriels à déplacer leurs curseurs en termes d’exigence, devenue obsolète. Mais exploiter la donnée, c’est autant l’identifier qu’assurer sa disponibilité, son intégrité et sa sécurité. Mais, contrairement à ce que l’on peut croire, cette sécurité ne résume pas à la « cybersécurité ».

La sécurité, tout industriel en a bien conscience, concerne désormais : la gestion des identités et des accès aux ressources, celle des parcs applicatifs (obsolescence et hétérogénéité des technologies du parc), les menaces environnementales ainsi que la formation des utilisateurs. Car les risques et les enjeux sont nombreux : il s’agit ni plus ni moins d’éviter les pannes et les dysfonctionnements et de sécuriser les logiciels. Mais aussi de définir les règles de sécurité dans les contrats de maintenance. Ensuite, il est important de s’assurer que ces chaines de production ne présentent aucun danger pour les personnes ou pour l’environnement, mais aussi pour les données et les informations qu’elles contiennent.

Définir un nouveau modèle de défense pas uniquement centré sur le patrimoine informationnel

Pour assurer cette sécurité, il est donc primordial de mettre en place un système de défense et de suivre quotidiennement le niveau de sécurité des installations. Il s’agit d’évaluer les risques en identifiant les brèches de sécurité et les menaces potentielles. Dans la même optique, il convient de segmenter le réseau en sous-réseaux pour réduire le risque d’attaques généralisées et de gérer les accès des utilisateurs en respectant le niveau de privilège qui leur sont accordés. Un utilisateur disposant des droits les plus élevés sur les machines et les données devient une faille potentielle dans le système de sécurité et une cible de choix pour des cyber-attaques.

Par ailleurs, l’industrie 4.0 fait la part belle aux projets de transformation numériques innovants. Bien souvent ils se développent sur un mode Agile. Or ce mode de développement à la fois itératif, incrémental et adaptatif implique des raccourcis dans les étapes de production qui sont autant de failles de sécurité potentielles. On les retrouve tant au niveau du code que de l’architecture matérielle. Et bien souvent il est trop tard, une fois l’application déployée (industrialisation faite) pour réintégrer les éléments de sécurité, soit parce que l’architecture ne l’autorise pas car n’a pas été pensée pour, soit parce que la technologie retenue présentait des failles. C’est là qu’intervient la notion « security by design ».

L’industrie 4.0 tire les bénéfices des nouvelles technologies, ultra connectées. Mais leur introduction induit de nombreux risques de sécurité. Dans un environnement « standard », ces risques peuvent être contenus et gérés. Mais l’approche de sécurité classique ne répond pas à tous les enjeux du monde industriel. C’est en cela qu’elle doit être revisitée pour s’adapter à son nouvel environnement et adresser les enjeux de protection inhérents aux promesses de l’industrie 4.0.

cybersécurité digital digitalisation industrie 4.0