jirikaderabek - Fotolia
Le casse-tête de la sécurité de l’usine du futur
Plus ouverte et plus connectée, l’usine de demain porte la promesse de nouveaux gains de productivité. Mais aussi de défis pour sa sécurisation dont la portée reste souvent mal appréhendée.
Dire ce qu’est l’usine de demain, aussi évoquée sous le terme d’usine 4.0, n’est finalement pas très compliqué. A l’occasion d’une table ronde organisée la semaine dernière, au Forum International de la Cybersécurité, à Lille, Thierry Cornu, directeur technique Cybersécurité chez Sogeti High Tech, l’a résumé rapidement : c’est un environnement où se généralisent toutes les innovations que l’on connaît dans le monde de l’informatique d’entreprise, mobilité et interconnexions de systèmes au premier rang.
A la clé, la promesse de gains de productivité, à condition de réussir l’ouverture sur l’extérieur – à l’informatique d’entreprise, mais aussi aux opérateurs d’exploitation et de maintenance – de manière sûre. Las, on parle là de « systèmes qui ne sont pas préparés à cela », souligne Thierry Cornu.
De l’espionnage à la menace opérationnelle
On imagine alors bien certains risques, à commencer par l’espionnage industriel, mais aussi, sinon surtout, le sabotage comme Stuxnet a pu l’illustrer, mais également l’opération récemment menée contre des énergéticiens en Ukraine.
Et là, Mathieu Hernandez, architecte-référent SSI chez Engie Ineo, s’inquiète. Pour lui, l’usine 4.0 va être marquée par une forte hétérogénéité et par des surfaces d’attaques complexes. Et d’illustrer son propos avec les « composants mécatroniques » pour lesquels il faut « penser aux vulnérabilités dans l’électronique, mais également dans l’informatique, et susceptibles d’affecter la partie mécanique » - de manière éventuellement différente selon qu’il s’agisse de mécanique des fluides ou des solides : « faire de la sécurité by design dans ces conditions est très difficile ». Et l’ajout d’intelligence dans les composants, pour les données de capacités d’adaptation ajoute encore un niveau de complexité supplémentaire – « et donc plus de défauts et de vulnérabilités ».
Dans ce contexte et à écouter Mathieu Hernandez, les énergéticiens attaqués récemment en Ukraine ont peut-être été bien aidés par un environnement industriel encore bien peu informatisé : les systèmes industriels commencent à s’informatiser, mais ne le sont pas encore entièrement ; « combien de temps faudra-t-il demain, après une attaque informatique, pour reprendre l’activité, lorsque tout l’environnement aura été numérisé ? »
Sensibiliser… et convaincre de la menace
Car demain, l’environnement de l’usine 4.0 sera d’abord, pour Thierry Cornu, un environnement où « tout est objet connecté ». Alors, comme Eve Maler, vice-présidente de ForgeRock en charge de l’innovation et des technologies émergentes, le soulignait l’an passé, Louis-Marie Fouchard, d’Evidian, insiste sur l’importance de la gestion des identités et des accès (IAM), en considérant tant les utilisateurs que l’ensemble des objets connectés, afin d’assurer « la traçabilité des actes industriels », ne serait-ce que pour des questions d’image et de responsabilité. En la matière, Evidian conduit d’ailleurs actuellement une expérimentation avec un énergéticien Suisse en charge d’un vaste parc éolien. Mais si l’on pense à celui de Juvent, Louis-Marie Fouchard se garde de donner un nom.
Dans ce contexte, Eric Weber, responsable du pôle produits de sécurité de Thales C&S, souligne l’importance de penser la sécurité dès la conception, seule façon de faire en sorte qu’elle ne soit pas perçue comme une contrainte supplémentaire et un nouveau facteur de coût.
Pour cela, une seule chose à faire : sensibiliser les donneurs d’ordre afin qu’ils « spécifient la sécurité dans leurs cahiers des charges, en fonction du risque ». Mais cela n’a rien de trivial. Mathieu Hernandez souligne ainsi que « beaucoup de personnes pensent que leurs systèmes ne constituent pas une cible ». Tandis que d’autres s’avèrent défaitistes et disent : « je ne peux pas lutter contre ce type d’attaque ».
Et le regard que porte Eric Weber sur les environnements existants n’est pas très encourageant. Là, selon lui, « il faudra apporter des bonnes pratiques ». Mais l’approche se situe moins dans la protection que dans la détection : « les choses déjà déployées sont très très difficiles à sécuriser ».