Dans l’industrie, la multiplication des appareils en réseau entraîne une augmentation des risques de failles de sécurité. Thierry Notot, ingénieur spécialisé en cybersécurité chez Socomec, détaille les risques et les solutions qui existent pour se protéger des hackers.
À l’ère de l’industrie 4.0, les entreprises utilisent de plus en plus de capteurs et de systèmes connectés, qui deviennent de véritables portes ouvertes pour les pirates informatiques. Motivés par l’appât du gain, la recherche de notoriété ou la volonté de déstabiliser les entreprises, les hackers peuvent désormais impacter le réel. Grâce à la digitalisation des entreprises, ils peuvent agir directement sur les machines ou sur le réseau électrique par exemple. Ainsi, les risques sont réels et doivent être anticipés par les entreprises. Thierry Notot, ingénieur spécialisé en cybersécurité chez Socomec, nous a donné quelques clés pour mieux comprendre et se prémunir des attaques.
Il distingue d’abord l’IT et l’OT : « Il y a deux types de réseaux : l’IT donc le réseau Office, bureautique, sur lequel on connecte des pc standard facilement sécurisables et l’OT, un réseau de process sur lequel on va brancher des machines, des compteurs, des capteurs IoT etc. ». Si la sécurisation est importante pour le premier réseau, le second en revanche présente de nombreuses failles. Les appareils sont souvent conçus afin de durer des dizaines d’années et leur sécurisation n’est pas pensée dès la conception. Ces équipements sont donc facilement piratables s’ils ne sont pas protégés.
Une autre faiblesse courante dans les entreprises concerne la gouvernance : personne n’est nommé pour s’occuper de la cybersécurité. Historiquement, la DSI s’en occupe mais cette organisation atteint rapidement ses limites quand il s’agit d’OT. En effet, cette tâche nécessite des connaissances métier or la DSI ne connait pas le matériel spécifique. Certaines entreprises s’adaptent et mettent l’OT sous la responsabilité de l’usine ou d’agents de maintenance. D’autres nomment un responsable sécurité qui chapeaute l’ensemble. Quelles que soient les stratégies adoptées, l’implication de la direction est capitale afin de mettre en place les moyens financiers et instaurer une approche globale.
Des solutions existent
L’ingénieur de Socomec est très clair : « Le risque 0 n’existe pas ». Cependant, il existe des manières de minimiser les risques.
Premier facteur à améliorer : la sensibilisation. Selon lui, «en matière de cybersécurité, la première faille c’est l’humain ». Les exemples sont nombreux où les attaques ont commencé car les mots de passe par défaut n’avaient pas été modifiés ou des clés USB infectées avaient été utilisées. Avec l’évolution des pratiques, former le personnel demeure un point capital pour protéger une entreprise. « Il ne s’agit pas de faire une formation isolée mais bien de mettre en place un véritable processus où on vérifie que les informations ont bien été intégrées, quitte à les répéter régulièrement », rappelle l’ingénieur.
En outre, la sécurisation se fait en plusieurs étapes. D’abord, Thierry Notot conseille de faire un état des lieux de tous les équipements connectés sur le réseau de l’entreprise. Mettre au point une stratégie de cybersécurité nécessite d’avoir une approche globale sur l’ensemble du matériel, d’où le besoin de cartographier les équipements. Ensuite, il faut réaliser une analyse de risques. Elle permet d’identifier les failles potentielles et remonter les vulnérabilités identifiées sur le terrain. Enfin, une fois que les risques sont déterminés, il faut les classifier et mettre en place des contre-mesures. Parmi les solutions possibles, il cite la sécurisation de l’authentification afin de répondre au besoin de traçabilité, mais aussi le chiffrement et la cryptographie pour sécuriser l’échange de données. Certains équipements notamment d’OT devront éventuellement être changés si leur sécurisation ne peut être améliorée.
Un budget défini par les risques
Les moyens financiers nécessaires à la mise en place d’une stratégie de cybersécurité adaptée dépendent de l’analyse des risques. « L’idée c’est de ne pas jouer la surenchère dans la sécurité c’est-à-dire mettre des produits hyper sécurisés alors que le risque est faible », explique Thierry Notot. Les moyens financiers devront couvrir les frais matériels, la gestion des certificats mais aussi le besoin de personnel dédié. Néanmoins, certaines tâches peuvent être automatisées. Si le coût peut être élevé, l’ingénieur rappelle qu’il faut surtout le comparer au coût pour l’entreprise en cas d’attaques, qui sera nettement supérieur.
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE