Cyber sécurité et industrie - De quelle manière conjuguer SI de sécurités modernes et infrastructures vieillissantes

De nombreux secteurs, comme les transports et la finance sont actuellement engagés dans une dynamique de transformation. Toutes les chaînes de production sont en parie robotisée et parfois, connectées. Cependant, la majeure partie repose sur des environnements obsolètes ou « legacy systems » qui, souvent, ne sont plus maintenus par les fournisseurs de systèmes d’exploitation et/ou d’application.

Sans mise à jour, ces systèmes sont davantage exposés aux cyberattaques, selon les explications de Laurent Maréchal, de McAfee Entreprise.

Aujourd’hui, c’est le manquement volontaire qui empêche les systèmes industriels de ne pas être souvent mis à jour. Le secteur industriel entre dans l’ère de l’hyper connecté et pourtant, des protocoles de communication de niche, non-évolutifs, comme dans certaines centrales nucléaires existent encore.

Malgré des systèmes qui sont encore très décloisonnés, nous aurons davantage de systèmes industriels connectés aussi bien dans le chaining que dans l’industrie et tendons vers plus d’optimisation.

La clé de l’évolution et de la modernisation des industries est la technologie. 5G, robotisation, cloud, etc. la technologie permet l’optimisation et l’augmentation de la production. Elle accompagne la croissance et le business, et sa sécurisation doit être ad-hoc.

Avant, des attaques ciblées, comme les ransomwares qui verrouillent le système d’information, ont vu le jour. De nos jours, on est plus sur une gestion de risques qu’une prévention. Et à l’avenir, les industries doivent évoluer.

La gouvernance passera par l’adoption de nouveaux modèles plus connectés, automatisés et robotisés. La présence humaine sera donc moindre. La robotisation dans l’entreprise industrielle augmente et les technologies doivent ainsi être sécurisées et mises à jour.

Les challenges doivent, en conséquence, être adaptés au secteur concerné. Prendre en considération l’obsolescence des SI actuels est primordial. Il faut également penser à la manière dont cette obsolescence pourrait évoluer vers des SI plus modernes, plus connectés, disposant de la technologie et de la sécurité qui accompagnent cette transformation.

On entend principalement par risque, le risque financier : les pertes engendrées par l’arrêt de production, la sanction financière subie en cas de non-respect des réglementations comme le RGPD, mais aussi les risques connexes, comme le risque lié à la réputation de l’entreprise par ses investisseurs, ses clients et ses potentiels prospects. Dans le secteur lié à la santé, par exemple, le risque humain peut également être présent.

Cet impact n’est pas mesuré par certaines entreprises actuellement. D’autres, en revanche, notamment les TPE ET PME, ne disposent pas des moyens leur permettant la mise en place d’une stratégie complète de cybersécurité.

Les COMEX ou CODIR doivent discuter et traiter les études d’impact en déterminant la nécessité de l’évolution de la place du SI dans une entreprise, et l’impact en lien avec la gestion des risques pour accompagner l’entreprise dans sa croissance.