La sécurité des systèmes industriels appelle à prendre des mesures adaptées autant pour les infrastructures IT que pour l’intégrité des OT, selon Pierre-Yves Hentzen, CEO de l’éditeur Stormshield. Ses explications.
2017 aura incontestablement été une année noire en matière de cybersécurité pour nombre d’industriels. Les différentes attaques auxquelles ont été exposés leurs systèmes d’information ont en effet défrayé la chronique et sensibilisé l’ensemble des acteurs du marché sur leur vulnérabilité. La sécurité de ces systèmes industriels appelle à prendre des mesures adaptées, autant pour les infrastructures IT que pour l’intégrité des OT. La notion de sûreté de fonctionnement est en effet centrale et ses impacts peuvent être plus importants que ceux de l’IT puisqu’elle touche à l’intégrité des biens et des personnes.
Le système d’information industriel : des spécificités à prendre en compte
Évidence toujours bonne à rappeler : le système d’information d’un industriel est différent de celui des autres secteurs d’activités et ses spécificités nécessitent des dispositifs de protection intégrant une logique métier. Ainsi, les traditionnelles solutions transversales du marché ne permettent pas de garantir un haut niveau de sécurité. Avant de lancer leur projet, les industriels doivent ainsi prendre en considération ce point déterminant et se tourner vers des spécialistes du domaine. Nous sommes en effet convaincus que seuls des fournisseurs ayant développé des compétences spécifiques peuvent intégrer les enjeux sectoriels des industriels.
Penser son projet de manière unifiée permet également de simplifier la gestion des dispositifs déployés (notamment au niveau de l’administration des solutions) et de développer des synergies entre les différentes équipes IT et métiers, impliquées dans la sécurisation du système d’information et des infrastructures industrielles. Les compétences en cybersécurité sont une denrée trop rare pour laisser la place à un déficit d’efficacité.
La naissance de véritables alliances industrielles
Face à ces spécificités industrielles, on assiste depuis peu à l’émergence de tout un écosystème autour de la protection du système d’information des industriels. Cela se matérialise notamment par le lancement de nombreuses alliances techniques et commerciales entre des acteurs complémentaires qui conjuguent leurs forces pour faire émerger des dispositifs à très forte valeur ajoutée combinant solutions, intégration, conseil, formation… Nous ne pouvons que nous réjouir de telles initiatives qui devraient faire émerger de nouveaux champions du domaine à l’échelle européenne notamment.
Des exigences réglementaires et une prise de conscience du législateur
Conscient de cet enjeu stratégique, le législateur s’est emparé du sujet et, dans le cadre de différentes lois de portée nationale et européenne, a positionné la sécurisation des système d’information industriels comme une absolue nécessité. Nous pouvons notamment évoquer la loi de programmation militaire sur le marché français qui impose aux OIV (organismes d’importance vitale, dont les industriels) de cloisonner leurs systèmes sensibles du reste du système d’information en s’appuyant sur des solutions qualifiées par l’ANSSI. Les entreprises concernées ont donc l’obligation de prendre les mesures nécessaires pour se conformer à la loi. Des éléments repris en partie dans la directive NIS à l’échelle européenne.
Forts de ces différents éléments, et au regard de la digitalisation de leurs activités, notamment avec la poussée de l’iOT et de l’industrie 4.0, les professionnels de l’industrie vont devoir repenser en profondeur leur gouvernance de cybersécurité. Un tel projet ne pourra bien entendu émerger qu’avec le support de véritables spécialistes du domaine. En ce sens, il est urgent que la filière cybersécurité continue de se structurer et que de nouvelles alliances voient le jour pour que les industriels puissent évoluer dans une véritable bulle de confiance numérique.