D'un point de vue purement réglementaire, la mise en place de solutions de cybersécurité n'implique que les opérateurs d'importance vitale. Mais cela ne signifie pas pour autant que les autres opérateurs ne doivent pas se sentir concernés.
D ans un contexte où la place de l'usine connectée est de plus en plus importante, amorcer une démarche de cybersécurité s'avère fondamental pour les industriels. Mais tous n'ont pas encore pris conscience de la nécessité d'initier une démarche de sécurisation de leur système industriel, qui ne doit pas être uniquement réservée aux seuls opérateurs d'importance vitale ou OIV, ces organisations identifiées par l'État comme ayant des activités indispensables au fonctionnement du pays ou dangereuses pour la population. Mais avant d'aller plus loin, il convient de revenir sur la signification du terme «cybersécurité» dont le sens peut, au premier abord, paraître inapproprié dans le cadre d'un système industriel. Dans l'industrie, le terme «sécurité» fait référence à une protection contre des risques induits par des actes involontaires, alors que la notion de «sûreté» implique des actes malveillants. Appliquer la cybersécurité à un système industriel n'est donc pas dénué de sens puisqu'il s'agit finalement de traiter le risque de défaillance du processus suite à un incident dont l'origine provient des technologies de l'information.
Par ailleurs, dans une de ses publications, l'Agence nationale de la sécurité des systèmes d'informations (ANSSI) rappelle qu'un système industriel est en fait une forme particulière de système d'information dont la spécificité est de pouvoir engendrer des actions physiques. Les systèmes industriels utilisent en effet les mêmes technologies que les systèmes d'information classiques (services Web, systèmes d'exploitation sous Windows, etc.) et rencontrent aussi les mêmes besoins en termes d'échange d'information avec des systèmes d'information tiers et d'accès distant au système.
Vu sous cet angle, cela semble finalement évident qu'un système industriel soit vulnérable aux mêmes attaques et nécessite la même attention en termes de sécurité informatique car les systèmes industriels sont bel et bien aussi vulnérables que les systèmes d'information!
Comment initier une démarche de cybersécurité ?
À ce niveau, se pose alors la question de savoir si tous les opérateurs de systèmes industriels doivent se sentir concernés par la mise en place de solutions de cybersécurité. D'un point de vue purement réglementaire, cela ne concerne que les opérateurs d'importance vitale.
En effet, la loi de programmation militaire du 18 décembre 2013 a introduit des dispositions relatives à la sécurité des systèmes industriels déployés chez les OIV qui ont pour obligation de sécuriser leurs systèmes. Cela ne signifie pas pour autant que les autres opérateurs ne doivent pas se sentir concernés. Même si le niveau de risque et les menaces sont différents, amorcer une démarche de cybersécurité s'avère fondamental dans la nouvelle ère de l'usine connectée, où les voies de communication évoluent au sein des systèmes industriels via des solutions sur Ethernet, de la télémaintenance ou bien encore des outils de type MES (
Reste à franchir le pas et à initier une démarche de sécurisation du système industriel. Contrairement à ce que l'on peut penser, la première étape pour fiabiliser l'exploitation et la maintenance du système industriel est assez simple, car elle consiste davantage en un «simple entretien» qu'à la cybersécurité en tant que telle. L'objectif est dans un premier temps de comprendre le fonctionnement du système industriel aussi bien d'un point de vue de l'infrastructure qu'au niveau organisationnel, à travers la création ou la mise à jour de cartographies et d'inventaires qui présenteraient le système industriel sous différents points de vue: physique, logique et applicatif. La mise en place de commutateurs administrables sur le réseau Ethernet peut s'avérer un excellent point de départ. Ce type d'équipement apporte des outils indispensables pour le diagnostic et le suivi du réseau, ainsi que des fonctions de sécurité.
Sensibiliser les automaticiens à la cybersécurité
Pour être optimisée, la démarche de sécurisation du système industriel doit s'accompagner d'une formation des automaticiens en informatique et réseau ainsi qu'une sensibilisation à la cybersécurité, adaptée à l'environnement industriel, afin que les équipes d'informatique et d'automatisme parlent le même langage. En effet, les automaticiens possèdent une «culture» très éloignée de celle des informaticiens et, bien qu'ils partagent certains objectifs communs, leurs contraintes sont très différentes, à commencer par leurs priorités.Alors que l'informaticien met la confidentialité au sommet de ses priorités, l'automaticien, lui, ne jurera que par la disponibilité du système industriel. Et ce n'est là qu'une différence. Dès ces premières étapes franchies, une démarche de sécurisation globale peut être envisagée. Une analyse de risque permet de fournir les mesures techniques et organisationnelles à mettre en place et de définir les objectifs, le planning et l'organisation, ainsi que la gestion des intervenants.Tout cela permettra la mise en sécurisation du système. Bref, aujourd'hui, la cybersécurité des systèmes industriels n'est plus un mythe, mais bien une réalité à prendre en compte à l'heure de l'usine connectée.