Le fossé entre IT et OT est toujours aussi grand. Cyber4Industry juge le niveau de maturité « catastrophique »

La digitalisation de l’industrie a considérablement élargi la surface d’attaque des systèmes industriels et, mécaniquement, le nombre d’incidents de sécurité s’accroît. Explicatipns de Gregorio Matias.

« Aujourd’hui, sécuriser l’industrie, c’est s’assurer que IT et OT convergent en parlant le même langage. Hélas, à voir le niveau de maturité en cybersécurité de l’industrie en général, on en est loi, très loin ! »

Il a souvent été courant de penser, de manière erronée, que le monde de l’industrie, moins informatisé pouvait passer à travers les mailles du cyber, explique Gregorio Matias, CEO, MCG. « Rien n’est plus faux. Ces deux mondes sont désormais entièrement interconnectés et interdépendants, en particulier en matière de sécurité informatique. »

Pour répondre au défi IT/OT, MCG et AgiNTech se sont associés en 2022 pour fonder Cyber4Industry Mission : assurer la protection continue des lignes de production avec des solutions de cybersécurité adaptées aux différents environnements. En un mot, « réconcilier » deux mondes qui ne se comprennent pas.

Industrie 5.0, l’humain retrouve sa place

Il y a urgence. Partout en assiste à une augmentation des incidents de sécurité directement liée à la numérisation des installations industrielles. « Longtemps connectés à l’intérieur, les systèmes d’automatisation communiquent désormais avec l’extérieur ; les échanges entre production et gestion seront de plus en plus fréquents. Plus que des attaques sur le système industriel, ce sont souvent des attaques qui, par rebond, touchent le système de gestion. Or, ces interactions entre IT et OT sont de plus en plus nécessaires pour échanger des données de production avec l’ERP, mettre en place la maintenance prédictive ou même envoyer des données dans le cloud. »

Industrie 4.0, industrie 5.0… La numérisation s’étend. Et s’accélère de par l’adoption de l’IoT, du cloud et, maintenant de l’IA. « Cette transformation élargit la surface d’attaque et créé de plus grandes interdépendances entre les parties prenantes ayant un intérêt et une responsabilité dans la sécurisation des infrastructures critiques. »

Les défis de la convergence IT/OT

Or, alors même que la surface d’exposition s’est considérablement élargie, les systèmes industriels sont souvent anciens. Combien d’automates et systèmes de contrôles SCADA n’ont pas été installés voici vingt ans ou plus ? Combien de sites de production ne font-ils pas toujours tourner Windows NT/XP ?

« Les systèmes industriels ont souvent été conçus avant que le risque cyber ne soit réellement pris en compte. Et même si l’attaque de Stuxnet en 2010 a fait réfléchir, l’industrie, dans son ensemble, ne réagit que lentement ! »

Pour Gregorio Matias, sans le vouloir, deux mondes s’opposent. Dans une même entreprise, on verra les équipes IT mettre l’accent sur la cybersécurité et la confidentialité des données, tandis que l’OT privilégie la sûreté du personnel et la disponibilité des équipements industriels. « Si on ajoute à cela une incompréhension de langage entre les équipes IT et OT, nous avons tous les ingrédients d’une bombe à retardement. »

NIS2, formations, sensibilisation…

Entretemps, NIS2 est arrivée. La directive européenne renforce considérablement la cybersécurité industrielle en élargissant les secteurs concernés, en imposant des mesures de gestion des risques plus strictes et des obligations de déclaration des incidents, et en étendant les exigences à toute la chaîne d’approvisionnement. De toute évidence, NIS2 aura un effet d’entraînement entre les grands donneurs d’ordre soumis au règlement européen et leurs sous-traitants.

Dès lors, il devient absolument crucial de sensibiliser et former les personnels à la détection des cyberattaques. « Les opérateurs connaissent leurs machines et sont parfaitement conscients des réactions normales de leurs outils, insiste Gregorio Matias. Il s’agit maintenant de les sensibiliser à la question de la cybersécurité. Une personne sensibilisée en vaut deux. Et c’est, je pense, un point qui rejoint les principes de l’Industrie 5.0, qui marque la collaboration entre l’humain et la machine ».