Cybersécurité industrielle : quelles solutions à l’échelle européenne ?

En même temps qu’elle a rappelé la fragilité de la santé humaine, la pandémie a révélé l’extraordinaire pouvoir de la transformation numérique : malgré le confinement et l’immobilisation physique d’une partie de la population, les contacts ont pu continuer de se faire à distance, certaines activités productives pouvant perdurer sans trop de perturbations.

Cette dépendance accrue au numérique en temps de crise sanitaire a aussi mis en lumière les problèmes de cybersécurité liés à l’intégrité des systèmes d’information. Les cyber attaquants se faisant fort d’exploiter les vulnérabilités d’une société numérique dont plusieurs pans fonctionnaient en mode dégradé, en ciblant de façon fort cynique le secteur de la santé.

Lyse Fuhr, représentante de l’Etno (Association européenne des opérateurs de réseaux de télécommunications) l’a rappelé en introduction de la table ronde : la transformation numérique, avec la migration vers le cloud et le boom de l’IoT a fait émerger de nouveaux risques. L’essor du télétravail impulsé par le Covid-19 a décuplé les menaces et fragilisé les organisations. Plus récemment, la guerre en Ukraine a fait ressurgir le risque géopolitique sur le continent européen.

A la lumière des événements récents, le secteur des télécommunications apparaît plus que jamais comme un opérateur critique : « Les réseaux de télécommunications sont devenus l’épine dorsale de notre société, affirme Lyse Furh, à la fois une bouée de sauvetage et un catalyseur, une infrastructure véritablement critique. Les opérateurs de télécommunications sont également une cible importante pour les cyberattaques car tout le monde utilise les réseaux de télécommunications pour communiquer et échanger d’énormes volumes de données ».

Il faut donc protéger les réseaux et les infrastructures, le système de communication qui relie les hommes entre eux, à tous les niveaux : au sein de l’entreprise, à l’échelle nationale ainsi qu’au niveau européen.

La sécurité de ce vaste réseau interconnecté suppose une vision globale du système d’interconnexion, des données qui transitent par les réseaux et de ses différents utilisateurs, des services en jeu et des différentes couches de sécurité en place.

Comme le rappelle Guillaume Savornin, CEO du groupe CNPP, « la cybersécurité industrielle, c’est d’abord la sécurité de l’ICS, mais aussi son interface avec l’IT à l’heure de la convergence OT/IT. Or les besoins en sécurité de chacun des systèmes, bien qu’interdépendants, ne sont pas tout-à-fait les mêmes. D’un côté, on parle de performance et de qualité de la production, de sûreté de fonctionnement. De l’autre, on parle plus de confidentialité, d’intégrité et disponibilité de la data. Ce qui reste essentiel, c’est de faire une analyse des risques bien sûr, mais en adoptant une approche la plus globale et la plus intégrée possible. Il ne faut pas oublier que l’une des caractéristiques du cyber risque industriel, ce sont des conséquences physiques possibles : accident du travail, incendie, explosions, graves perturbations de la production ».

Cette vision globale implique de casser les silos : au sein de l’entreprise, entre les secteurs publics et privés, entre les États, ceci afin de favoriser les échanges et la coopération. La cybersécurité, c’est l’affaire de tous !

Elena Grimme, general manager for Cyber Affairs and Critical Infrastructure chez Microsoft, indique que l’aspect global de la cybersécurité nécessite « plusieurs approches impliquant les États, les citoyens, les chercheurs et l’industrie ». Tout en soulignant que « le prochain défi sera de trouver les bases communes d’une régulation à l’échelle mondiale ».

Sur le plan pratique des moyens pour atteindre un haut niveau de cybersécurité industrielle, le security by design, autrement dit la sécurité intégrée dès la phase de la conception d’une installation ou d’un équipement, a été citée en premier. Reste la question du niveau des investissements à y consacrer, et de l’intégration de la cybersécurité dans les budgets. Problème, les investissements dans la cybersécurité sont généralement faibles, tandis que le marché de la cyber assurance n’est encore pas mâture. Luigi Rebuffi, secrétaire général de l’Ecso (Organisation européenne de cybersécurité), rappelle le risque dans le domaine du numérique, « d’obsolescence très rapide du security by design ».

La question de la sensibilisation de l’humain aux cyber risques en environnement industriel, avec en corolaire les besoins en éducation et en formation, est aussi un outil central. Cependant, le marché du travail des professionnels de la cybersécurité révèle des manques, à la fois en termes d’effectifs et de compétences. Il reste aussi à combler le fossé entre les cultures cyber des équipes de l’OT et de l’IT.

Le salut viendra-il de l’intelligence artificielle ? C’est l’avis d’Evangelos Ouzounis de l’Enisa (Agence de l’Union européenne pour la cybersécurité) pour qui « l’intelligence artificielle pourrait constituer une solution à cet écart en termes de talents et de compétences, en automatisant certaines tâches ». L’intelligence artificielle permettrait également d’être plus prédictif dans les menaces.

Quoi qu’il en soit, par-delà les nuances et quelques divergences apparaissant parmi les intervenants, la nécessité d’une coopération dans un climat de confiance et d’une régulation à tous les niveaux du cyber risque a été maintes fois évoquée. L’humain doit rester au centre des débats : il est à la fois en « première ligne », comme l’élément vulnérable par essence, et aussi « en dernière ligne », comme le dernier rempart d’où viendra les solutions.