Stratégie

Cybersécurité, l'industrie face aux risques d'arrêt de la production

Frank Van Caenegem, administrateur du Cesin (club des experts de la sécurité de l'information et du numérique) et vice-président cybersécurité, RSSI EMEA de Schneider Electric et Sébastien Archeny, RSSI de Poclain Hydraulics.

Poclain et Schneider Electric témoignent dans notre Grand Théma des enjeux cyber spécifiques à la production industrielle. Avec la connexion de plus en plus répandue entre IT et OT, il faut protéger les usines et s'appuyer sur des relais cyber sur les sites ayant également une expertise métier.

PublicitéDans le cadre de notre Grand Théma CIO/Le Monde Informatique consacré à la cybersécurité, nous avons reçu Sébastien Archeny, RSSI de Poclain Hydraulics, et Frank Van Caenegem, administrateur du Cesin (club des experts de la sécurité de l'information et du numérique) et vice-président cybersécurité, RSSI EMEA de Schneider Electric. Nous avons, en effet, choisi de nous concentrer sur risques d'arrêt de production dans l'industrie, un sujet récemment mis en exergue par la douloureuse affaire Jaguar Land Rover (JLR). Victime d'une cyberattaque en septembre, le constructeur a dû arrêter certaines de ses lignes de production durant cinq semaines. Une éternité pour un industriel. La preuve en est un coût potentiellement record pour un tel événement, évalué à 2,2 Md€.

Longtemps restés isolés et sommairement digitalisés, les systèmes industriels ont désormais leurs propres systèmes d'information, l'OT, connectant les machines entre elles et avec les humains, et interfacés avec les autres SI. Avec ces systèmes, les industriels optimisent la production, la planification, les approvisionnements, et rendent même certains sites adaptables, dans des temps très courts, à la fabrication de produits différents. Mais cette évolution expose aussi désormais l'appareil industriel jusque-là protégé par son isolement, aux intrusions et aux cyberattaques. D'autant que les SI traditionnels étant de plus en plus protégés et difficiles à atteindre par les pirates, ces derniers se tournent volontiers vers les usines. D'autant que l'impact d'une cyberattaque sur des infrastructures industrielles sera potentiellement plus grave. Les arrêts de production ont des conséquences dramatiques, comme l'a rappelé l'affaire JLR.

Regardez la vidéo de Sébastien Archeny, RSSI de Poclain : « gérer de plus en plus rigoureusement les accès ».

Poclain, fabricant d'équipements de transmission hydraulique pour les machines agricoles, du BTP, etc., s'est intéressé à la cybersécurité de ses usines à l'occasion d'un important chantier IT et cyber d'une durée de 6 ans qui s'est notamment penché sur la segmentation du SI. Un chantier qui a bénéficié à l'OT en isolant et protégeant entre autres les machines-outils. Arrivé au début du projet au sein de l'entreprise, Sébastien Archeny, son RSSI, explique par exemple comment les usines exploitaient, par facilité, des comptes utilisateurs génériques avec des mots de passe de 25 ans d'âge.

Parmi les démarches entreprises, Poclain a déployé des VPN pour laisser les opérateurs de maintenance intervenir à distance en autonomie vis-à-vis de l'IT, mais aussi en toute sécurité. Au-delà des déploiements technologiques et de la gouvernance, Poclain a aussi travaillé sur un changement d'état d'esprit dans les équipes de production et de maintenance. Outre la démonstration concrète du risque pris en laissant l'accès à distance aux machines par des équipes situées hors de France, l'industriel a formé à la cyber les représentants de l'IT en usine, leur laissant une certaine autonomie.

Publicité
« Nous n'avons pas aujourd'hui la capacité d'avoir un RSSI dédié OT, donc nous donnons la main au maximum [aux usines] pour ces sujets », dit Sébastien Archeny, RSSI de Poclain.

La suite, pour Poclain, ce sera un autre projet imposant et de longue haleine, dédié à l'authentification des opérateurs. Cela passe par la création d'identités pour ces derniers - portées par un badge unifiant sécurité physique, sécurité informatique, traçabilité, etc. - et impose autant la sécurisation de l'infrastructure que, là encore, un changement d'état d'esprit. Pour accéder à son compte, un opérateur utilisera son badge associé à un code PIN, sans besoin de connaître un mot de passe. « Et notre objectif, précise le RSSI de Poclain, c'est d'étendre cette politique passwordless à toute la société ».

Issu du monde de l'assurance avant de rejoindre Schneider Electric en 2023, Frank Van Caenegem, vice-président cybersécurité, RSSI EMEA de l'industriel et administrateur du Cesin (club des experts de la sécurité de l'information et du numérique), rappelle que le premier est très régulé, alors que le second s'appuie sur des certifications. Même si aujourd'hui, Dora et autres Nis2 changent la donne aussi dans les usines. Pour le RSSI, c'est un monde plus ancien, mais aussi plus dynamique qui se focalise davantage sur la sécurité physique et sur la production.

Regardez la vidéo de Frank Van Caenegem, vice-président cybersécurité, RSSI EMEA de l'industriel et administrateur du Cesin.

Comme chez Poclain, des relais cyber sont désignés au sein des usines. Il faut s'appuyer sur des responsables locaux, dans les usines, qui vont faire le lien entre une cyberattaque et la production, et la sécurité de l'entreprise, insiste cependant le RSSI. Il est important de supprimer cette coupure entre les personnes qui travaillent dans les usines et les responsables cyber, et pour cela il faut quelqu'un du sérail, qui a la confiance des deux parties ». Ce sont eux qui arbitrent entre cybersécurité et production, en relation avec le cybersecurity hub, pour installer ou non un patch, par exemple.

« C'est assez choquant au début, lorsqu'on vient de l'assurance, de se rendre compte que ce n'est pas la cybersécurité qui est prioritaire ni la mise à jour des serveurs. Mais c'est très instructif. » Frank Van Caenegem, vice-président cybersécurité, RSSI EMEA de l'industriel et administrateur du Cesin.

Avec plus de cent usines dans le monde, Schneider Electric définit plus globalement des normes internes. Il s'appuie sur trois niveaux de maturité cyber et définit des cibles pour les nouveaux sites. Pour son parc existant, il réalise des audits réguliers pour jauger du niveau de chaque site, et le faire progresser. Enfin, l'industriel n'oublie pas sa supplychain. « Elle fait partie de la stratégie de résilience. Nous envoyons des questionnaires à nos sous-traitants, nous organisons des exercices de crise avec eux, raconte Frank Van Caenegem. Il est important que nous soyons informés, pour être au minimum réactif si un incident intervient chez l'un ou chez l'autre ».