Mesures. Qui dit usine ultraconnectée,dit failles potentielles de cybersécurité. Que pouvez-vous dire aux utilisateurspour les rassurer?Existet-il des solutions vraiment efficaces?
Stéphane Potier. Je ne pense pas qu’il faille rassurer les utilisateurs.Ilfaut plutôt êtreréaliste car le risque de cyberattaques est en augmentation constante. Les rassurer équivaudrait àleur direde ne pas s’inquiéter et je ne crois pas que ce soit le bon message àleur adresser. Car il faut êtreraisonnablement inquiet pour rester vigilant et serein.Mais il faut surtout inculquer àl’industrie ce changement de culturecar,aujourd’hui, très peu de sociétés disposent d’une culture de la cybersécurité. Il yavraiment une analyse du risque importante àfaireau sein des entreprises industrielles pour que cette culture delacybersécurité intègretoutes les entreprises àvocation industrielle.Jusqu’ici, les industriels ne se posaient pas véritablement la question car les équipements et les usines étaient peu ou non connectés. Àtort, car c’est justement ce manque de vigilance qui est dangereux. Àl’inverse,le fait de rendre tous les équipements connectés dans une usine dite connectée,c’est une opportunité justement de la rendre beaucoup plus sécurisée en prenant conscience des problèmes de cybersécurité et en mettant en place des actions pour se protéger. Alors que, quand un industriel ne dispose pas d’usine connectée,ilsedit qu’il n’a pas besoin de se pencher sur ces questions de cybersécurité. Or, même dans les usines existantes, qui n’ont au départ pas été pensées comme des usines connectées, des évolutions d’architecture sont mises en œuvre avec des machines que l’on peut rendre aisément connectées grâce àdes solutions que,par exemple,nous proposons tous les quatreici. Donc si rien n’a été fait au préalable enmatière decybersécurité, on est sûr de courir àlacatastrophe. Sans compter les actes de malveillance qui peuvent intervenir directement sur un site du fait d’un salarié ou d’un intervenant extérieur mal intentionné, et cela indépendamment du fait que l’usine soit connectée ou non. Bien évidemment,il existedes risques de cyberattaques quand les équipements et les machines sont connectés, mais cela pousse àmettre enplace des mesures pour éviter qu’il yait un trop grand risque et àrester vigilant, et cela permet d’insuffler cette culture globale de cybersécurité dans l’entreprise.C’est vraiment une démarche importante à mettre enœuvre mais, aujourd’hui, nous ne sommes encorequ’à l’aube de cette prise de conscience.Car,autant le monde de l’IT [technologies de l’information, ndlr] est matureentermes de cybersécurité, autant celui de l’OT [technologies de la production, ndlr] ne l’est pas encore. Il faut donc monter rapidement en compétences dans ces domaines-là. Bien sûr,cela dépend du type de machine et d’usine mais, globalement, le problème est largement sous-estimé, peut-être dans 80% des entreprises industrielles.
Un auditoire particulièrement attentif aassisté àlatable ronde organisée par Mesures le11septembredernier àParis et intitulée «Industrie du futur : lever les derniers doutes ».
Stéphane Potier, B&R (groupe ABB)
“
MarcFromager. Je rejoins ce qui vient d’être dit. Il faut vraiment avoir une compréhension du marché et un niveau de maturité très différents.Onaeffectivement une prise de conscience côté IT qui est désormais actée avec une pléthored’offres en termes de solutions et une sécurisation àoutrance.Etc’est vrai qu’au niveau de l’OT, même si on est connecté aux mêmes systèmes et aux mêmes réseaux que ceux de l’IT,on aunniveau de sécurité très limité qui est lié au parc d’équipements et d’usines parfois vieillissant. On adonc potentiellement les mêmes risques que sur n’importe quel PC et on peut imaginer que dans la majorité des PME et PMI, voire même dans certains grands groupes,on n’a pas de solution de cybersécurité sur l’OT. Bien évidemment, il yaune prise de conscience car il ne se passe presque pas une journée sans que les médias se fassent l’écho d’une cyberattaque sur un site industriel ou une entreprise –etsans verser dans la théorie du complot, on ne nous dit peut-être pas tout. Mais cette prise de conscience n’est sans doute pas encore suffisante par rapport àce qu’elle devrait être. Car,dans le domaine de l’IT,quand il yaune cyberattaque,il yades conséquences économiques importantes, voire catastrophiques, pour une entreprise.Mais, dans le domaine de l’OT, les conséquences d’une cyberattaque sur un site industriel peuvent devenir désastreuses car il ya non seulement un risque économique, mais aussi etsurtout humain. Je parle de risques pour les salariés qui travaillent sur le site visé, mais aussi au niveau de la population.Sans êtreanxiogène,imaginez les conséquences potentielles d’une cyberattaque sur une raffinerie ou une centrale nucléaire. Donc, la prise de conscience,c’est bien, mais il faut que les actes suivent et que le niveau de maturité de l’OTsur ces sujets, qui est encore unpeu faible aujourd’hui, progresse rapidement. La bonne nouvelle, c’est qu’il existe des solutions. Ettous autant que nous sommes ici, en tant qu’acteurs de l’industrie du futur, nous proposons des solutions pour sécuriser non seulement le produit lui-même, mais également l’architecture dusystème.Sans oublier qu’avec laconvergence de l’IT et de l’OT, il faut absolument sécuriser la frontièreentreles deux également.
Pascal Laurin. Il faut faire peur pour qu’il yait une prise de conscience,mais sans en faire trop pour éviter que les dirigeants de sociétés industrielles ne se détournent de l’industrie du futur.Car le risque serait alors que l’entreprise ne soit plus assez productivepar rapportà la concurrence et finisse par disparaître au bout de quelques années.L’industrie doit donc impérativement se tourner vers l’industrie du futur tout en s’armant pour faireface àces problèmes de cybersécurité, par exemple en formant une personne déjà en place dans l’entreprise ou en faisant appel àune personne extérieure déjà formée àces nouvelles compétences pour prendreencompte ce nouveau danger, aumême titre qu’un danger plus traditionnel comme le risque incendie ou tout autrerisque rencontré dans les activités industrielles. Comme cela adéjà été dit ici, au niveau des constructeurs, nous proposons déjà des solutions pour aider les industriels àseprémunir de ces risques,industriels qui peuvent aussi se faireaccompagner dans cette démarche par des organismes reconnus et qui ont de fortes compétences en matière decybersécurité. J’ajouterais que dans les cas de cyberattaques envers des sites industriels, on constate que la faille vient souvent de la bureautique. Chez Bosch, nous avons pris le parti de n’établir aucune connexion entre lapartie bureautique et la partie production, ce qui permet aussi de limiter les risques de manière efficace.
Pascal Laurin, Bosch
“ L’industrie doit impérativement se tourner vers l’industrie du futur tout en s’armant pour faireface aux problèmes de cybersécurité, par exemple en formant une personne déjà en place dans l’entreprise ou en faisant appel àune personne extérieuredéjà formée. ”
Alain Greffier. Il faut décloisonner le monde de l’IT et l’OT. Si on prend des cas publics au niveau de la partie cybersécurité, tels que l’usine Renault Cléon ou Saint-Gobain, cela acoûté une fortune. Etc’est là qu’ils se sont rendu compte qu’il yavait des choses àregarder dans le processus industriel. Maintenant, effectivement, il faut dépasser le management par la peur. Et dans cet univers-là,le conseil,c’est 70% de la problématique. Ilyabeaucoup d’industriels qui ne savent pas comment fonctionne véritablement leur outil industriel. Donc la première des priorités, c’est d’avoir une cartographie de son outil pour savoir comment il fonctionne en termes de réseaux, mais aussi en termes de flux car il yades flux plus importants àcertains endroits qu’à d’autres.Tout cybersécuriser n’est pas la solution. L’industriel doit fairel’analyse de ce qui est critique pour lui. Car le tout cyber,çanemarche pas.Etenplus, cela aune pérennité de 18 mois, au mieux 24 mois.
Mais il faut intégrer la culturedelacybersécurité dans l’entreprise et amener cette notion de conseil. Il existe des organismes qui font cela très bien, comme l’Anssi [Agence nationale de la sécurité des systèmes d’information, ndlr] et sa loi de programmation militairequi ne s’applique pas qu’aux OIV [Opérateurs d’importance vitale,ndlr] puisqu’elle peut aussi s’appliquer àdes sociétés privées qui ont besoin d’avoir cette connaissance-là. Il faut essaimer toutes ces connaissances dans toutes les entreprises.C’est vraiment un problème de compétences.Etnous avons tous ici, en tant que fournisseurs, des solutions avec des produits,des réseaux,des outils de sauvegarde,etc.Maisquand on parle des données, on revient àdes problématiques telles que: qui est propriétaire de ces données? Met-on les données dans le cloud ou sur un réseau interne àproximité de l’usine?Dois-je fairede l’intelligence artificielle?Etc.Ces questions vont prendre del’ampleur. Mais les nouveaux arrivants de l’IT et de l’OT sont beaucoup moins cloisonnés qu’auparavant et ils ont des nouvelles idées. Dans l’industrie,ilfaut que les anciens forment les nouveaux sur leurs connaissances et que les nouveaux expliquent aux anciens que les choses doivent évoluer.Donc,onavraiment une convergence des deux métiers de plus en plus au niveau des jeunes, même si on a besoin de plus de formations et de ressources dans ce domaine.Mais, globalement, cela se passe assez bien et je pense que d’ici 5à10ans, la cybersécurité fera partie des mœurs de l’industrie.Onneseposera plus la question de savoir ce que l’on fait ou ce que l’on ne fait pas.Cela fera partie des tâches normales qui seront intégrées dans le travail des concepteurs d’architectures. Mais, pour l’instant, on n’en est pas là.
Mesures. Qui pour gérer ces problèmes de cybersécurité au sein des usines?
Stéphane Potier. La cybersécurité, ça vient de l’IT àlabase.C’est là que les premiers risques ont été identifiés. Donc aujourd’hui, on ades postes de RSSI [responsabledelasécurité des systèmes d’information, ndlr]. Mais sur l’OT, sur un système de production, quid d’un RSSP,d’un responsabledela sécurité des systèmes de production? C’est une question aujourd’hui qui n’est pas forcément une bonne question parce que,ducoup,dans chaque usine, cela voudrait direqu’il yaurait une partie IT et une partie OT. Ets’il yaun responsable pour chaque partie, les deux pourraient potentiellement se renvoyerles responsabilités.Cette solution n’est donc pas forcément intéressante. Mais d’un autrecôté, on peut se poser la question de savoir si un seul et même responsablepeut avoir àlafois des compétences dans le domaine du process et dans les technologies de l’information. Les gens de l’IT ont généralement peu de compétences en OT,etinversement. Donc là, il yavraiment une question à se poser par rapportàl’organisation des usines, afin de savoir qui est le mieux placé dans l’entreprise, identifier la bonne personne,pour avoir la casquette de responsable delacybersécurité de l’usine ou du site,etcen’est pas forcément quelqu’un de l’IT. Compte tenu de ce profil, force est de constater que l’on avraiment des difficultés àtrouver des personnes qui ont la double compétence. C’est vraiment l’un des gros challenges de l’industrie du futur car il faut avoir les compétences en cybersécurité, en big data, en automatisme,en gestion de cycle de vie des produits, en motion control, etc.Celarge éventail de compétences est extrêmement difficile àtrouver au sein d’une même personne. Par ailleurs, il faut vraiment que les fournisseurs de solutions d’automatismes et d’informatique industrielle soient très pragmatiques dans la conception et l’utilisation de leurs produits de sorte qu’ils soient les plus simples possible pour l’utilisateur, etque la per-sonne puisse mettreenplace un plan de sécurisation de son installation de manièrerelativement aisée.
AlainGreffier, Siemens
“
Alain Greffier. Dans le domaine du numérique,ilexiste tellement de compétences, tellement de métiers différents, tellement de technologies, que cela nous force àtravailler avec des écosystèmes.Car personne n’est détenteur de 100% delasolution qui permettra de répondreaux besoins des industriels. Donc,ilfaut chercher des partenariats avec des sociétés dans le domaine de la cybersécurité, de l’intégration de réseaux, etc. UnSiemens opérant seul n’arrivera pas àrépondre à100% des besoins. Enrevanche, nous regardons les écosystèmes pertinents pour aller au plus près des besoins du client. C’est ce qui change fondamentalement avec le numérique : les industriels doivent composer avec un réseau de partenaires pour trouver les compétences et travailler et innover engroupe. Former en interne des gens qui cumuleraient toutes ces compétences est un énorme défi qui prendrait des années. Ilfaut donc fonctionner différemment et on revient, du coup, sur l’humain, sur la manière dont on organise l’entreprise de demain par rapport aumode de structuredes années 1990, toujours en vigueur aujourd’hui. C’est là le rôle des dirigeants d’entreprises industrielles de repenser leur organisation.
MarcFromager. On voit bien ici que tout cela prend du temps. C’est pourquoi on peut parler dans ce cas d’une révolution industrielle. Cen’est certes pas aussi marqué que la révolution mécanique ou l’automatisation, mais c’est bien d’une révolution dont il s’agit –lemot n’est pas galvaudé ici–car on change le mode d’utilisation des systèmes industriels.
Mesures. Parlons de la place de l’humain dans l’industrie du futur. Comme pour la troisième révolution industrielle, celle de l’automatisation et de la robotisation,certains émettent des craintes pour l’emploi avec l’avènement de l’industrie du futur. D’autres en revanche estiment que cette 4 e révolution industrielle peut générer de nouveaux métiersetintéresser ànouveau les jeunes aux métiersdel’industrie pour,àterme,créer de l’emploi. Où placer le curseur?
Pascal Laurin. En fait, je pense que la question ne se pose pas vraiment en ces termes car une entreprise qui n’adoptera pas une démarche vers l’industrie du futur prendra de toutes façons le risque d’êtremoins compétitiveetdonc finira par disparaître, avec la perte d’emplois qui en découlera. Au début du XX e siècle,lemétier de cocher adisparu avec l’avènement de l’automobile,etles cochers ont dû se reconvertir en conducteurs de taxi, ou ont exercé d’autres métiers. L’époque évolue, les métiers évoluent. En France,lepassage àlarobotisation aété raté en grande partie,donc il ne faut surtout pas réitérer cette erreur et se laisser gagner par cette crainte de la technologie qui tue l’emploi, comme la robotisation était censée tuer l’emploi.Avec la 4 e révolution industrielle,celle de l’utilisation du numérique dans l’usine, c’est même probablement l’inverse qui va se passer car c’est l’Homme,l’opérateur,qui va reprendre lamain sur la machine avec la cobotique,avec les postes de travail intelligents, avec les méthodes de production multiproduits, etc. Detoutes façons, c’est inéluctable: les métiers changeront, comme ils ont changé par le passé avec le progrès technologique. Bien sûr,ilfaut qu’il yait un accompagnement au niveau des collaborateurs en place dans les entreprises pour qu’ils s’adaptent àces changements.C’est un gros challenge pour l’entreprise car quand l’effectif vieillit, il faut embau-cher des jeunes pour aider les plus anciens àpasser le cap dunumérique. L’autrechallenge,c’est également d’attirer les jeunes vers l’industrie car ils se sont désengagés de l’industrie depuis des années pour s’orienter vers d’autres métiers qui leur semblaient plus attractifs comme la finance ou autre. Mais on est actuellement en bonne voie pour réintéresser les jeunes aux métiers de l’industrie,grâce àl’analyse de données, notamment.
MarcFromager. Ça fait partie du message que l’on souhaite fairepasser,notamment en France: rendre attractif le monde industriel pour les étudiants qui ne sont pas forcément attirés au-jourd’hui par ce monde-là. La vérité, c’est qu’on est loin aujourd’hui de l’image d’Epinal de l’industrie que certains ont encore entête,comme dans
En ce qui concerne la place de l’Homme dans l’industrie du futur,ilyaundeuxième aspect àconsidérer.C’est la valorisation du personnel de l’entreprise. Avec la 4 e révolution industrielle, les conducteurs de machine de l’industrie manufacturière vont devenir de véritables techniciens capables d’utiliser ces nouveaux outils, d’analyser les données qui seront récoltées sur les machines et de prendredes décisions en fonction de cette analyse, décisions différentes de celles prises par le passé. Le salarié est ainsi valorisé et placé au cœur du dispositif car c’est lui qui, au final, prend la décision. Et ça, c’est quand même important car l’Homme est replacé au cœur de l’usine.Donc,ilest crucial de fairemonter les salariés en compétences pour pouvoir exploiter et utiliser ces nouveaux outils, toutes ces données, et rendre l’ensemble du tissu industriel plus attractif pour les jeunes qui sortent des écoles pour faireensorte que l’industrie soit ànouveau quelque chose qui les fait rêver.
Marc Fromager, Schneider Electric
“
Alain Greffier. La mauvaise image de l’industrie,jepense qu’elle fait désormais partie du passé. Par ailleurs, pendant des années, la part del’industrie dans le PIB de la France n’a cessé de chuter.Aujourd’hui, la bonne nouvelle est que cette parts’est stabilisée ces trois dernières années –etcela pour la première fois depuis bien longtemps– autour de 12 ou 13%. L’autre bonne nouvelle, c’est que certaines enquêtes qui sont parues récemment dans la presse révèlent que dans la liste des métiers amenés àdisparaître dans les prochaines années, rares sont les métiers de l’industrie.Les métiers les plus en péril sont surtout ceux liés aux services, notamment tout ce qui touche le transactionnel qui n’aura plus besoin d’interface humaine, comme par exemple dans les domaines du bancaire àcause des transactions par Internet, ou de la comptabilité car de plus en plus d’opérations sont automatisées.Même au niveau de la santé, puisque la sécurité sociale va bientôt rembourser les consultations des médecins par Skype, au même niveau qu’une consultation physique pour les patients dans les campagnes.
Dans les industries, on aunsavoir-faire qui est certes en train de migrer –avec des mutations qui s’opèrent–mais qui perdureetvaattirer ànouveau les gens. Car, dans l’industrie, les moyens changent mais la décision, elle, reste humaine et elle le restera. Et l’autre bonne nouvelle est qu’il n’y apas de dépréciation des salaires dans l’industrie.Tout ceci est de natureàmotiver la jeunesse pour embrasser des carrières dans les métiers de l’industrie. Les actions des syndicats professionnels sur ce point commencent également à payer.
Mesures.L’éducation dans notrepays est-elle àlahauteur desattentes des industriels, en particulier dans cette perspective de l’industrie du futur?
Stéphane Potier. L’éducation en France est beaucoup basée sur le fait d’apprendre àapprendre alors que dans d’autres pays, l’enseignement est beaucoup plus pragmatique. Cela est sans doute un gros avantage pour ces pays car,enFrance,onn’est pas forcément opérationnel quand on sort del’école. Mais je pense que l’éducation française est àlahauteur des attentes de l’industrie, que ce soit au niveau des écoles d’ingénieurs ou au niveau des autres formations. Je crois notamment que notre modèle éducatif est un gage de sécurité dans un monde àvenir qui s’annonce très évolutif.Ilfaut savoir que les étudiants qui seront en activité dans les 10 prochaines années travailleront dans des métiers qui n’existent pas encoreaujourd’hui.
Alain Greffier. Avec la 4 e révolution industrielle,cequi change,c’est la vitesse d’exécution: tout va extrêmement vite. Donc, l’adoption des nouvelles technologies se fait beaucoup plus facilement dans les usines car elles sont basées sur des objets que l’on utilise tous les jours, comme des tablettes, des smartphones, etc. Ilfaut simplement que les relations entreles entreprises et les écoles soient plus fortes pour réduire ce temps.Car si on laisse les professeurs seuls dans leur coin, ils ne peuvent pas s’adapter facilement et les étudiants en pâtissent et ne sont pas complètement opérationnels.Nous,industriels,devons par conséquent nous intéresser àl’éducation pour être sûrs que ce que l’on nous donnera demain en termes de compétences soit en accord avec nos besoins.Ils’agit donc d’un vrai travail collaboratif entre lemonde de l’enseignement et celui de l’industrie, parce que tout va très vite.