« La cybersécurité industrielle commence par les équipes »
Pour Samuel Braure, Regional Cybersecurity Manager chez Schneider Electric, la cybersécurité des systèmes industriels commence par les personnes. Il explique comment former les équipes, articuler IT et OT et sécuriser toute la chaîne de valeur, afin de renforcer la résilience des sites industriels face aux risques et aux exigences de la réglementation NIS 2.
Publié et mis à jour le 15 janv. Lecture 3 min.
Quels sont les principaux enjeux de cybersécurité des systèmes informatiques industriels (OT) ?
Les enjeux évoqués aujourd’hui lors de la conférence portaient sur la sécurisation des systèmes industriels. Après un état de la menace présenté par Wavestone, la question était de savoir comment adresser ce sujet.
Par quoi commencer lors de la sécurisation d’un système industriel ?
Le message que j’ai souhaité faire passer, c’est qu’il faut d’abord se concentrer sur le pilier “people”. On retrouve trois piliers : les people, les technologies et les process. Il faut commencer par identifier les bons profils pour ensuite relayer les sujets de cybersécurité dans les usines, avant d’engager un véritable programme de sécurisation. On peut ensuite y intégrer de la technologie pour gagner en visibilité et identifier les risques auxquels les sites doivent faire face, puis déployer d’autres briques de sécurisation. L’objectif final est d’améliorer la capacité de gestion des incidents dans les environnements OT.
Quelle est la nécessité d’une convergence IT et OT ?
Pourquoi considère-t-on nécessaire d’interconnecter les mondes IT et OT, autant sur le plan humain que technologique ? Parce que les données issues du monde OT doivent remonter vers les environnements IT pour générer des indicateurs, des KPI, et améliorer la productivité. Ce sont de véritables opportunités business, mais ces interconnexions créent aussi du risque. C’est pour cela que, dans notre groupe, nous avons choisi d’adresser la sécurisation des sites OT comme n’importe quelle autre activité de l’entreprise, au moins au niveau des process. Pour les people et les technologies, il s’agit d’adapter ces piliers aux spécificités de l’industrie.
Est-ce un enjeu récent ?
Dire que ce sujet est nouveau serait faux. Comme je l’ai rappelé : WannaCry, c’était en 2017 ; Stuxnet en 2010. Certaines réglementations ont déjà imposé, pour certains opérateurs critiques, d’engager la sécurisation de leurs systèmes depuis maintenant presque dix ans.
Que change l’arrivée de la réglementation NIS 2 ?
Avec l’arrivée de NIS 2, l’objectif est de passer à l’échelle, afin de renforcer la résilience collective au niveau européen. Ce n’est donc pas un sujet nouveau. Mais aujourd’hui, il devient nécessaire de manager non seulement les sites industriels, mais aussi les dépendances que nous avons avec ces sites, en sécurisant toute la chaîne de valeur. Chez nous, nous appelons cela le “secure by operation” : lorsqu’un produit sort d’une ligne de production, il faut sécuriser tout ce qui suit — staging, commissioning, phase run — et toutes les opérations qui accompagnent ce produit, ce sous-ensemble ou cette ligne de production tout au long de son cycle de vie.
Sur quoi mettriez-vous l’accent ?
Enfin, j’insisterais sur l’importance de la compétence, de la formation et de l’entraînement des équipes pour faire face aux événements actuels et futurs.