Y a-t-il des défis spécifiques dans le cadre de la cybersécurité industrielle?
La valeur ajoutée des entreprises industrielles dépend beaucoup plus de la « technologie opérationnelle » (OT) que dans d’autres branches. Avec la numérisation progressive, l’IT et l’OT, deux mondes historiquement différents, convergent. Dans le cadre de cette évolution, les exigences en matière de cybersécurité connues de l’IT ont toujours plus d’importance pour l’OT. Mais les conditions-cadres pour ces dernières sont tout autres.
De quelle manière?
Contrairement à l’IT classique dans laquelle le traitement des données est au centre, dans l’OT, les installations et processus industriels sont mesurés, surveillés et commandés. Vu que ces derniers ont avec 10 à 40 ans un cycle de vie plus long que les appareils IT, ils ne présentent souvent pas un état suffisant en matière de sécurité numérique. Souvent ils ne peuvent pas être sécurisés mais sont quand même intégrés dans le réseau de l’entreprise.
Étant donné les points faibles, les menaces et les possibilités de protection spécifiques, les mesures de sécurité diffèrent dans certains domaines considérablement de la sécurité IT. Pour ce faire, il faut le savoir-faire correspondant.
Ça a l’air très exigeant. Comment garantir quand même la cybersécurité dans les entreprises industrielles?
C'est en effet le cas. De nombreuses PME savent entre-temps qu’elles doivent entreprendre quelque chose en matière de sécurité, mais ne savent pas exactement comment elles doivent procéder. Vu les connaissances nécessaires, il est difficile pour elles de relever ces défis entièrement seules. À ce niveau, il peut être recommandé de faire appel à des partenaires externes. Par exemple, pour les mesures importantes pour atteindre le niveau de sécurité souhaité. C’est notamment le cas pour l’exploitation propre de l’infrastructure informatique y compris les applications et la surveillance pour détecter les anomalies.
Le choix du partenaire adéquat est toujours individuel et le soutien externe d’un conseiller indépendant ainsi que l’échange en réseau peuvent permettre d’arriver au but. Par ailleurs, la cybersécurité ne peut pas être simplement déléguée. Elle reste toujours une tâche de l’ensemble de l'entreprise.
Qui de l’entreprise doit s’occuper de la cybersécurité?
La responsabilité principale incombe à la direction qui doit faire en sorte que tous les devoirs de diligence en matière de cybersécurité sont remplis et que les risques numériques sont réduits à un niveau supportable pour l’entreprise. Pour ce faire, elle doit mettre suffisamment de ressources financières et personnelles à disposition et déléguer les mandats correspondants. Finalement, le thème concerne toutes les personnes de l’entreprise : chaque collaborateur doit dans son entourage contribuer à la sécurité et à la résilience globale grâce à un comportement adapté.
Comment faut-il se le représenter?
La cybersécurité est comme un sport d’équipe dans lequel on ne peut gagner qu’ensemble. Raison pour laquelle les collaborateurs doivent être formés et l’occasion d’améliorer continuellement ses compétences numériques doit être donnée. La culture d’entreprise joue un rôle décisif lorsqu’il s’agit par exemple de se faire prendre par des attaques de « social engineering ».
Y a-t-il des points faibles typiques dans les entreprises industrielles?
Au niveau des chaînons faibles, les entreprises industrielles se distinguent peu des autres branches. En plus du moyen de communication numéro 1 que sont les mails, il y a aussi l'accès aux applications et systèmes de l’entreprise. À nommer ici en particulier dans le domaine du parc de machines l’accès à distance du support technique. Mais l’accès local au parc de machines avec des appareils tiers (par ex. laptops des partenaires du support, répertoires des données USB, etc.) est aussi un point faible. C’est pourquoi il est très important : en plus des fournisseurs, les entreprises partenaires doivent aussi être intégrées dans les analyses de sécurité.
Est-il possible d’écarter tous les risques dans les systèmes complexes?
Non, indépendamment de la complexité du système, il n’est jamais entièrement possible d’écarter tous les risques. Il est déterminant de connaître les risques, de les évaluer correctement et, dans le cadre des possibilités, de prendre les mesures les plus efficaces et efficientes pour les réduire. Certains risques peuvent être également transférés à une cyberassurance.
Une bonne préparation à une cyberattaque potentielle en gardant à l’esprit le risque restant est déterminant pour la surmonter sans grand dommage.
Qu’est-ce que cela signifie exactement?
Plus on découvre un incident rapidement, plus on peut réagir rapidement et de manière ciblée. Idéalement, une entreprise peut se baser sur des processus d’urgence rodés, ce qui lui permet d’informer rapidement et de manière transparente tant les personnes internes qu’externes. L’important, c’est de garder la tête froide et de ne pas prendre de décisions à la hâte ou attendre que le problème se règle de lui-même.
Nous recommandons de demander le soutien de partenaires qui ont de l’expérience avec de tels incidents ! Le recours à des spécialistes expérimentés devrait aussi être réglé dans la préparation et faire partie de la gestion d’urgence.
Que conseillez-vous aux entreprises qui souhaitent améliorer la cybersécurité dans leur entreprise?
Il y a des petites choses simples que les entreprises peuvent faire pour peu de dépenses en comparaison. Ce sont par exemple des mesures de sécurité telles que DMARC, DKIM et SPF pour les e-mails, des filtres DNS, l’authentification à 2 facteurs, la limitation des droits d'accès à l’essentiel et l’activation des security patches disponibles. Le bon fonctionnement de la sécurité des données est bien évidemment aussi essentiel.
Trois conseils pour les entreprises
- Protégez vos identités numériques.
- Actualisez régulièrement vos applications, systèmes et processus, en particulier ceux en lien avec le monde extérieur, canaux de communication compris (par ex. e-mail, instant messaging, etc.).
- Établissez une culture d’entreprise moderne et entraînez régulièrement votre organisation.
L'interview a été menée par Gabriela Schreiber, Swissmem.