L’usine du futur ou l’industrie 4.0, émerge progressivement dans notre paysage économique, rendant nos industries plus modernes, plus compétitives et, paradoxalement, plus vulnérables aux cyberattaques. Seule solution, les protéger comme on protège un système d'information de nouvelle génération.
Vers la fin des forteresses imprenables…
Confortablement installées dans des systèmes fermés autour de technologies propriétaires, nos industries se sont développées en se souciant assez peu de la vulnérabilité informatique de leur outil de production.
Pourtant, au fil de l’expansion des machines-outils pilotées en réseau et de l’arrivée des objets connectés (lunettes de projection de plans de montage, scanners à code-barres, flash codes sur les pièces détachées, capteurs de traçabilité de l’activité…), le risque de cyberattaque a cru de façon exponentielle. A cela s’ajoute désormais la mise en place de technologies Big Data, ayant pour objectif d’augmenter la productivité et d’en diminuer les coûts avec, comme préalable, la nécessité de collecter des données sur l’ensemble de la chaîne de production.
Si ces avancées vont dans le sens d’une plus grande compétitivité, elles font surtout entrer l’usine dans un monde de protocoles standardisés, qui la soumet aux mêmes risques que n’importe quelle autre entreprise.
Or, une cyberattaque peut s’avérer particulièrement critique dans ce milieu. Ainsi, un point d’entée non protégé, une mauvaise segmentation du réseau ou une simple erreur humaine peuvent avoir des conséquences dramatiques.
En matière de culture informatique, une copie à revoir
Sécuriser l’usine connectée se révèle cependant un véritable défi pour l’industrie : ce n’est tout simplement pas dans sa culture ! Son réseau a en effet été pensé indépendamment du Système d’Information (SI). De ce fait, il n’y a pas d’interaction entre les équipes gérant ce dernier et celles intervenant sur les technologies opérationnelles. L’industrie du futur repose sur l’interconnexion de ces deux mondes ; ce qui induit une plus grande vulnérabilité.
Il est en effet urgent d’installer dans ces usines connectées les mêmes protections informatiques que celles que l’on trouve dans les autres entreprises (pare-feu, antivirus…), mais en prenant en compte deux particularités de cet environnement :
- Tout d’abord, le cycle de vie des outils est beaucoup plus long dans l’industrie que dans le numérique. Cela signifie que les systèmes informatiques doivent pouvoir continuer d’être protégés efficacement, alors même que Microsoft ne supporte plus ni Windows XP ni sa version 2003.
- L’autre spécificité repose dans le fait que ces systèmes de cybersécurité ne doivent à aucun moment perturber la production ou, pire, provoquer son arrêt inopiné et dans des conditions non standard.
On l’aura compris : il ne s’agit pas ici d’appliquer des méthodes éprouvées dans le monde de l’informatique, mais bien de les adapter, de les réinventer au regard de processus industriels complexes et hétérogènes.
Mettre en place des protections sur-mesure
L’une des premières choses à faire est de recruter et d’intégrer de nouvelles compétences, disposant d’une double casquette : à la fois formées à l’informatique et capables de travailler sur des automates industriels. Des profils qui émergent depuis quelques années, mais restent encore rares.
Il est également impératif d’accélérer l’essor de solutions de cybersécurité innovantes, aptes à répondre aux besoins spécifiques de ce secteur. L’Etat a pris la mesure de cette question, puisqu’il a lancé récemment la première phase de son projet de protection des systèmes industriels, qui doit permettre de bien appréhender les protocoles en place et de cerner au mieux les contraintes du secteur.
De même, les collaborateurs doivent être formés aux bonnes pratiques en matière de sécurité : changement régulier des mots de passe, détection de mails frauduleux, refus de clés USB promotionnelles…
Les industriels doivent donc opter pour une protection multiple de leurs systèmes de production. L’utilisation des mêmes outils de management et de reporting sur les systèmes informatique comme industriel facilitera le déploiement, l’administration et la supervision de la sécurité. La mise en place d’une solution technique unique, adaptée aux deux mondes, sera l’une des clés pour construire une usine de 4e génération, qui soit à la fois performante et sécurisée.
Un article paru sur l'Usine Digitale, en mai 2016.