Cybersécurité industrielle : quelles solutions à l’échelle européenne ?
A l’heure de l’adoption de la version 2 de la directive NIS sous l’égide de la PFUE, une table ronde du sommet cyber de Paris avait pour thème la cybersécurité industrielle. Comment augmenter le niveau de cybersécurité et protéger efficacement les infrastructures critiques à l’échelle européenne ? Si coopération et confiance sont restés les maîtres-mots du débat réunissant des intervenants européens d’horizons variés, les défis à relever restent nombreux.
En même temps qu’elle a rappelé la fragilité de la santé humaine, la pandémie a révélé l’extraordinaire pouvoir de la transformation numérique : malgré le confinement et l’immobilisation physique d’une partie de la population, les contacts ont pu continuer de se faire à distance, certaines activités productives pouvant perdurer sans trop de perturbations.
Cette dépendance accrue au numérique en temps de crise sanitaire a aussi mis en lumière les problèmes de cybersécurité liés à l’intégrité des systèmes d’information. Les cyber attaquants se faisant fort d’exploiter les vulnérabilités d’une société numérique dont plusieurs pans fonctionnaient en mode dégradé, en ciblant de façon fort cynique le secteur de la santé.
Des menaces multiples et multiformes
Lyse Fuhr, représentante de l’Etno (Association européenne des opérateurs de réseaux de télécommunications) l’a rappelé en introduction de la table ronde : la transformation numérique, avec la migration vers le cloud et le boom de l’IoT a fait émerger de nouveaux risques. L’essor du télétravail impulsé par le Covid-19 a décuplé les menaces et fragilisé les organisations. Plus récemment, la guerre en Ukraine a fait ressurgir le risque géopolitique sur le continent européen.
A la lumière des événements récents, le secteur des télécommunications apparaît plus que jamais comme un opérateur critique : « Les réseaux de télécommunications sont devenus l’épine dorsale de notre société, affirme Lyse Furh, à la fois une bouée de sauvetage et un catalyseur, une infrastructure véritablement critique. Les opérateurs de télécommunications sont également une cible importante pour les cyberattaques car tout le monde utilise les réseaux de télécommunications pour communiquer et échanger d’énormes volumes de données ».
Il faut donc protéger les réseaux et les infrastructures, le système de communication qui relie les hommes entre eux, à tous les niveaux : au sein de l’entreprise, à l’échelle nationale ainsi qu’au niveau européen.
Une vision globale et holistique
La sécurité de ce vaste réseau interconnecté suppose une vision globale du système d’interconnexion, des données qui transitent par les réseaux et de ses différents utilisateurs, des services en jeu et des différentes couches de sécurité en place.
Comme le rappelle Guillaume Savornin, CEO du groupe CNPP, « la cybersécurité industrielle, c’est d’abord la sécurité de l’ICS, mais aussi son interface avec l’IT à l’heure de la convergence OT/IT. Or les besoins en sécurité de chacun des systèmes, bien qu’interdépendants, ne sont pas tout-à-fait les mêmes. D’un côté, on parle de performance et de qualité de la production, de sûreté de fonctionnement. De l’autre, on parle plus de confidentialité, d’intégrité et disponibilité de la data. Ce qui reste essentiel, c’est de faire une analyse des risques bien sûr, mais en adoptant une approche la plus globale et la plus intégrée possible. Il ne faut pas oublier que l’une des caractéristiques du cyber risque industriel, ce sont des conséquences physiques possibles : accident du travail, incendie, explosions, graves perturbations de la production ».
Le défi d’une régulation à l’échelle mondiale
Cette vision globale implique de casser les silos : au sein de l’entreprise, entre les secteurs publics et privés, entre les États, ceci afin de favoriser les échanges et la coopération. La cybersécurité, c’est l’affaire de tous !
Elena Grimme, general manager for Cyber Affairs and Critical Infrastructure chez Microsoft, indique que l’aspect global de la cybersécurité nécessite « plusieurs approches impliquant les États, les citoyens, les chercheurs et l’industrie ». Tout en soulignant que « le prochain défi sera de trouver les bases communes d’une régulation à l’échelle mondiale ».
Les outils : security by design, formation, IA…
Sur le plan pratique des moyens pour atteindre un haut niveau de cybersécurité industrielle, le security by design, autrement dit la sécurité intégrée dès la phase de la conception d’une installation ou d’un équipement, a été citée en premier. Reste la question du niveau des investissements à y consacrer, et de l’intégration de la cybersécurité dans les budgets. Problème, les investissements dans la cybersécurité sont généralement faibles, tandis que le marché de la cyber assurance n’est encore pas mâture. Luigi Rebuffi, secrétaire général de l’Ecso (Organisation européenne de cybersécurité), rappelle le risque dans le domaine du numérique, « d’obsolescence très rapide du security by design ».
La question de la sensibilisation de l’humain aux cyber risques en environnement industriel, avec en corolaire les besoins en éducation et en formation, est aussi un outil central. Cependant, le marché du travail des professionnels de la cybersécurité révèle des manques, à la fois en termes d’effectifs et de compétences. Il reste aussi à combler le fossé entre les cultures cyber des équipes de l’OT et de l’IT.
Le salut viendra-il de l’intelligence artificielle ? C’est l’avis d’Evangelos Ouzounis de l’Enisa (Agence de l’Union européenne pour la cybersécurité) pour qui « l’intelligence artificielle pourrait constituer une solution à cet écart en termes de talents et de compétences, en automatisant certaines tâches ». L’intelligence artificielle permettrait également d’être plus prédictif dans les menaces.
Quoi qu’il en soit, par-delà les nuances et quelques divergences apparaissant parmi les intervenants, la nécessité d’une coopération dans un climat de confiance et d’une régulation à tous les niveaux du cyber risque a été maintes fois évoquée. L’humain doit rester au centre des débats : il est à la fois en « première ligne », comme l’élément vulnérable par essence, et aussi « en dernière ligne », comme le dernier rempart d’où viendra les solutions.
Bernard Jaguenaud – Rédacteur en chef
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…