Publicité
Paris Cyber Summit 2022, table ronde sur la cybersécurité industrielle. DR

Cybersécurité industrielle : quelles solutions à l’échelle européenne ?

A l’heure de l’adoption de la version 2 de la directive NIS sous l’égide de la PFUE, une table ronde du sommet cyber de Paris avait pour thème la cybersécurité industrielle. Comment augmenter le niveau de cybersécurité et protéger efficacement les infrastructures critiques à l’échelle européenne ? Si coopération et confiance sont restés les maîtres-mots du débat réunissant des intervenants européens d’horizons variés, les défis à relever restent nombreux.

En même temps qu’elle a rappelé la fragilité de la santé humaine, la pandémie a révélé l’extraordinaire pouvoir de la transformation numérique : malgré le confinement et l’immobilisation physique d’une partie de la population, les contacts ont pu continuer de se faire à distance, certaines activités productives pouvant perdurer sans trop de perturbations.

Cette dépendance accrue au numérique en temps de crise sanitaire a aussi mis en lumière les problèmes de cybersécurité liés à l’intégrité des systèmes d’information. Les cyber attaquants se faisant fort d’exploiter les vulnérabilités d’une société numérique dont plusieurs pans fonctionnaient en mode dégradé, en ciblant de façon fort cynique le secteur de la santé.

Des menaces multiples et multiformes

Lyse Fuhr, représentante de l’Etno (Association européenne des opérateurs de réseaux de télécommunications) l’a rappelé en introduction de la table ronde : la transformation numérique, avec la migration vers le cloud et le boom de l’IoT a fait émerger de nouveaux risques. L’essor du télétravail impulsé par le Covid-19 a décuplé les menaces et fragilisé les organisations. Plus récemment, la guerre en Ukraine a fait ressurgir le risque géopolitique sur le continent européen.

A la lumière des événements récents, le secteur des télécommunications apparaît plus que jamais comme un opérateur critique : « Les réseaux de télécommunications sont devenus l’épine dorsale de notre société, affirme Lyse Furh, à la fois une bouée de sauvetage et un catalyseur, une infrastructure véritablement critique. Les opérateurs de télécommunications sont également une cible importante pour les cyberattaques car tout le monde utilise les réseaux de télécommunications pour communiquer et échanger d’énormes volumes de données ».

Il faut donc protéger les réseaux et les infrastructures, le système de communication qui relie les hommes entre eux, à tous les niveaux : au sein de l’entreprise, à l’échelle nationale ainsi qu’au niveau européen.

Une vision globale et holistique

La sécurité de ce vaste réseau interconnecté suppose une vision globale du système d’interconnexion, des données qui transitent par les réseaux et de ses différents utilisateurs, des services en jeu et des différentes couches de sécurité en place.

Comme le rappelle Guillaume Savornin, CEO du groupe CNPP, « la cybersécurité industrielle, c’est d’abord la sécurité de l’ICS, mais aussi son interface avec l’IT à l’heure de la convergence OT/IT. Or les besoins en sécurité de chacun des systèmes, bien qu’interdépendants, ne sont pas tout-à-fait les mêmes. D’un côté, on parle de performance et de qualité de la production, de sûreté de fonctionnement. De l’autre, on parle plus de confidentialité, d’intégrité et disponibilité de la data. Ce qui reste essentiel, c’est de faire une analyse des risques bien sûr, mais en adoptant une approche la plus globale et la plus intégrée possible. Il ne faut pas oublier que l’une des caractéristiques du cyber risque industriel, ce sont des conséquences physiques possibles : accident du travail, incendie, explosions, graves perturbations de la production ».

Le défi d’une régulation à l’échelle mondiale

Cette vision globale implique de casser les silos : au sein de l’entreprise, entre les secteurs publics et privés, entre les États, ceci afin de favoriser les échanges et la coopération. La cybersécurité, c’est l’affaire de tous !

Elena Grimme, general manager for Cyber Affairs and Critical Infrastructure chez Microsoft, indique que l’aspect global de la cybersécurité nécessite « plusieurs approches impliquant les États, les citoyens, les chercheurs et l’industrie ». Tout en soulignant que « le prochain défi sera de trouver les bases communes d’une régulation à l’échelle mondiale ».

Les outils : security by design, formation, IA…

Sur le plan pratique des moyens pour