A l’heure où la transformation numérique s’empare de la majorité des usines, nous avons demandé à Didier Appell, head of OT/IoT cybersécurité chez Capgemini, de nous expliquer la démarche à suivre pour sécuriser au mieux ses outils de production.

Vol de données, perturbation du fonctionnement des machines contre demande de rançon, secret d’Etat… Quelle que soit la taille de l’entreprise ou la nature de son activité, les risques de cyberattaques sont à anticiper. Parce qu’une démarche de sécurisation fait appel à de multiples compétences et constitue un coût pour l’entreprise, il convient de la mettre en œuvre étape par étape, suivant un process bien défini.

Etape 1 – « Analyser les risques pour sécuriser à juste prix »

Sécuriser a un coût, qu’il convient d’adapter aux besoins de chaque entreprise. « Il arrive souvent que des sociétés dépensent de grosses sommes pour protéger leur réseau et se rendent compte ensuite qu’elles en ont trop fait. Il ne faut pas oublier que la cybersécurité intervient surtout en prévention, qu’elle fonctionne comme une assurance », explique Didier Appell. Plusieurs questions doivent ainsi être posées en amont, notamment sur la nature de l’activité et des « secrets » à garder : « Est-ce que ma société peut être une cible d’Etat ? », « Mon activité est-elle sensible ? » « Est-elle soumise à une forte concurrence ? ». Derrière ces interrogations se cache un premier niveau d’analyse, permettant d’évaluer les risques d’attaque et l’impact associé afin d’avoir une vision claire de ce que l’entreprise souhaite protéger.

Etape 2 – « Définir les priorités opérationnelles et établir une roadmap »

Après le « pourquoi » vient le « quoi ? ». Quels équipements sont connectés à mon réseau industriel ? Quelles en sont les fonctions ? Quel type d’impact pourrait avoir une attaque sur eux ? Répondre à ces questions est impératif pour ne protéger que ce qui est nécessaire et éviter les surcoûts. Une étape qui implique d’imaginer les scénarios possibles en compagnie des personnes travaillant au sein même de l’usine pour une analyse précise des risques pour chaque outil.

« Il convient ensuite de construire une roadmap permettant de prioriser les chantiers : des réseaux, machines et autres équipements, il faut définir ce qu’il faut protéger en premier lieu pour mieux définir le rapport « baisse du risque/effort de mise en place de sécurisation », explique l’expert Capgemini. Si pour mettre en œuvre telle protection je suis obligé de mettre en stand by mon usine pendant plusieurs jours, et que pour une autre solution il s’agit de seulement quelques heures, il va falloir arbitrer en fonction des données et du degré de sécurité souhaité ».

Etape 3 – « Tester en minimisant l’impact sur la production »

Avant de déployer une solution, il convient de la tester pour mieux en évaluer son efficacité. « Chaque projet de mise en place de sécurité suit un cycle de vie, de test, et de contrôle », indique Didier Appell. Après la théorie vient la pratique, qui implique de réaliser des essais de la solution choisie dans une usine pilote (ou sur une machine pilote s’il s’agit de ne protéger qu’une seule usine) pour repérer si le choix effectué a des impacts potentiels sur la production. Objectif : proposer des ajustements avant un déploiement global. Sécuriser, oui, mais en limitant au maximum les conséquences de la solution mise en place sur le quotidien de l’usine et son business.

Etape 4 – « Surveiller en temps réel »

« En complément du déploiement des protections, il faut aussi surveiller que l’on n’est pas en train d’être attaqué. Pour cela il existe des solutions spécifiques permettant de détecter en temps réel et de réagir en minimisant son impact », explique Didier Appell. Pour ce faire, il faut installer en amont des équipements capables de réaliser de la détection, et avoir des équipes capables d’analyser les événements pour construire un plan de remédiation adapté. Dans la cybersécurité, l’humain possède une place capitale. « Dans les équipes, il faut à la fois des gens spécialisés en technologies de l’information (IT) et des personnes ayant une connaissance parfaite des outils opérationnels. Mais plus encore, il faut que l’une et l’autre partie ait un minimum de connaissances de ce que fait l’autre pour avoir une vision globale du système ». La double compétence est ici indispensable pour protéger sans « tout casser ».