Cybersécurité. FIC 2021 : les systèmes industriels à l’honneur

Cette XIII^e édition du Forum international sur la cybersécurité portait sur le thème « construire une cybersécurité coopérative et collaborative ». Une édition célébrée sous forme de retrouvailles en mode présentiel pour l’ensemble de l’écosystème de la cybersécurité, l’événementiel ayant été contraint de rester majoritairement sous cloche depuis mars 2020.

Plusieurs thématiques étaient dans la ligne de mire de l’événement, au premier rang desquelles la souveraineté numérique. A quelques mois de la présidence française du Conseil de l’Union européenne, de janvier à juin 2022, le FIC a été largement axé sur la cybersécurité à l’échelle de l’Europe.

Un livre blanc, rédigé par le think-tank stratégique l’Agora du FIC et intitulé « Faire de la cybersécurité la clé de voûte de la souveraineté numérique européenne », a été présenté avec 28 recommandations en matière de sécurité et de réglementation de l’espace numérique.

Deux constats majeurs ont présidé à la mise en place de cette nouvelle thématique « cybersécurité des systèmes industriels » :

• Auparavant isolés et cloisonnés, les procédés de production de l’industrie (ce qu’on appelle aussi l’OT – Operational Technology) évoluent à présent à grande vitesse. Automatisation, maintenance prédictive, intégration de la supply-chain, les systèmes industriels se numérisent et se connectent de plus en plus, notamment aux systèmes d’informations (soit l’IT – Information Technology) ;

• Alors que les systèmes d’information de l’IT ont pour fonction la communication et la conservation des données, l’informatique industrielle a pour but d’interagir avec le monde physique. C’est d’elle que dépend la fourniture d’eau et d’électricité, mais aussi le fonctionnement des feux de la circulation ou celui des ascenseurs.
  
  L’impact d’une cyberattaque sur les actifs critiques d’un système industriel peut donc avoir des répercussions à la fois très variées et très importantes : de la dégradation d’un processus, d’un bien ou d’un service à la mise en danger de la vie humaine et de l’environnement, en passant par la paralysie de pans entiers de l’activité économique.

La cybersécurité des systèmes industriels devient donc un impératif incontournable car « d’ici 2025, 75 % de l’OT devrait être passé sous la coupe de l’OT ». L’industrie ne fera sa révolution 4.0 qu’en assurant la convergence IT/OT avec des risques cyber maîtrisés.

Cette convergence à marche forcée doit se faire en tenant compte d’un double contexte :

• la recrudescence des cyberattaques, avec des cyberattaquants qui se professionnalisent sans cesse ;

• une connectivité croissante des systèmes d’information et donc une surface d’attaque en élargissement constant.

Il y a 11 ans, le ver Stuxnet perturbait le programme nucléaire iranien, probablement à la faveur d’une attaque étatique. Depuis, les menaces affectant l’IT n’ont pas arrêté de se multiplier et de s’intensifier. Les systèmes OT sont plus rarement visés en tant que tels (à noter l’intrusion et la prise de contrôle d’un système de gestion de l’eau de la petite ville d’Oldsmar en Floride en 2021 via un accès distant), mais ils sont de plus en plus souvent impactés par le biais de l’IT.

En mai 2021, le rançongiciel ayant affecté le système de facturation de Colonial Pipeline a entraîné l’arrêt d’une partie du système de distribution et un début de pénurie de carburant aux États-Unis.

De fait, au cours des échanges et par delà les jargons et les solutions technologiques, beaucoup de concepts communs à la sécurité en général ont été évoqués : inventaire et cartographie des systèmes d’information, analyse des risques et des vulnérabilités, adoption de mesures de protection adaptées, détection des attaques et réponses à incident, management et sensibilisation des équipes.

C’est sur ce socle commun qu’il faut désormais avancer, sachant que le risque zéro reste un mirage commun aux deux mondes : il est donc nécessaire de partager les savoirs afin de diminuer les zones d’ombres.

La première pierre ayant été posée, l’un des souhaits des organisateurs pour la prochaine édition du FIC serait d’étendre à deux jours la thématique « cybersecurity for industry » et d’attirer un vivier d’industriels encore plus large.

En 2021 le salon qui rassemblait l’écosystème industriel, Global Industrie, se déroulait à Lyon en partie aux mêmes dates que le FIC. Gageons que pour 2022, cette concurrence de dates ne soit plus qu’un mauvais souvenir… On se prend à rêver d’un événement organisé en commun.

Quoi qu’il en soit, la XIV^e édition du FIC se déroulera du 7 au 9 juin 2022 à Lille, sous le thème « « Shaping european future » (Façonner l’avenir de l’Europe).