CyberOT : Obtenir le budget pour le sécuriser
CyberOT : Obtenir le budget pour le sécuriser
La sécurité de l’OT (Operational Technology) est de plus en plus au cœur des préoccupations dans de nombreux secteurs : industrie, bâtiment, énergie…
Les événements spécialisés – nationaux comme Les Assises ou le FIC, et plus pointus comme RECIF ou HacktheOT – consacrent désormais des sessions entières aux enjeux de cyber OT. Pourquoi un tel engouement ? D’une part, les activités criminelles se multiplient et ciblent spécifiquement ces environnements critiques.
D’autre part, des secteurs d’activité historiquement industriels, ou dotés de nombreuses infrastructures d’OT, investissent désormais massivement dans la cybersécurité, ce qui rend plus visible l’importance de ces menaces.
Dans cet article, nous allons voir comment bâtir une stratégie pour obtenir les ressources nécessaires à la sécurisation de l’OT, en cinq grandes étapes.
1. Identifier où se trouve l’OT
L’OT, c’est souvent dans l’industrie, SCADA…
Lorsqu’on parle d’OT (Operational Technology), on pense immédiatement aux usines et aux systèmes de supervision SCADA (Supervisory Control And Data Acquisition). Il s’agit d’environnements qui pilotent des processus industriels, comme des chaînes de production ou des systèmes de contrôle de l’énergie. Ce sont des cibles évidentes pour la cybercriminalité, car leur perturbation peut entraîner des pertes financières majeures, des arrêts de production et parfois même des risques pour la santé et la sécurité des employés.
…mais pas seulement
Cependant, l’OT ne se limite pas à l’industrie au sens strict. De nombreux bâtiments modernes, par exemple, disposent de systèmes de gestion technique (GTB/GTC) pour contrôler le chauffage, la climatisation, l’éclairage, la vidéosurveillance, les ascenseurs ou les portes automatiques. Les services généraux (maintenance, sécurité physique) s’appuient également sur des solutions OT pour superviser et optimiser les installations. Ces systèmes, souvent interconnectés, peuvent devenir des points d’entrée pour des attaques cyber.
Cartographier les systèmes OT au sein de l’organisation
La première étape consiste donc à lister tous les systèmes et équipements relevant de l’OT dans l’organisation. Au-delà de l’inventaire purement technique, il est essentiel d’identifier qui en est propriétaire : la production ? Les équipes techniques ? Le facility management ? Cette cartographie permet de savoir sur quels acteurs s’appuyer et où concentrer en priorité les efforts de sécurisation.
2. Identifier les directions impactés par l’OT
La convergence IT/OT
Autrefois, les réseaux OT étaient isolés du réseau informatique (IT). Aujourd’hui, pour des raisons de productivité et de pilotage à distance, les ponts entre OT et IT sont nombreux. Des solutions de télémaintenance, des passerelles pour le partage de données (température, pression, indicateurs de performance) et des systèmes de pilotage centralisés viennent rapprocher ces deux mondes. Résultat : une brèche dans l’OT peut avoir des répercussions directes sur les systèmes IT, ce qui, en cas d’incident, peut entraîner un risque financier majeur.
L’impact sur la performance opérationnelle
Une panne ou une attaque touchant un environnement OT peut stopper une chaîne de production, immobiliser un bâtiment ou rendre un service inaccessible. D’un point de vue opérationnel, cela peut provoquer des retards de livraison, des surcoûts logistiques, voire la perte de marchés clés. Les décideurs financiers et opérationnels sont particulièrement sensibles aux impacts sur la productivité. Pour eux, un incident dans l’OT équivaut souvent à des pertes immédiates de chiffre d’affaires.
La sécurité des biens et des personnes
Au-delà de la dimension purement économique, un incident dans l’OT peut également mettre en jeu la sécurité des biens et des personnes. Prenons l’exemple d’une centrale d’énergie ou d’un système de gestion d’ascenseurs : une attaque malveillante peut avoir des conséquences dramatiques, allant de la panne à la mise en danger des utilisateurs. Ces risques, trop souvent méconnus, constituent pourtant des arguments de poids pour obtenir un budget de sécurisation.
3. Identifier le « go to market » cyber vers l’OT
Trouver les problèmes que les gens sont prêts à payer pour résoudre
Dans la Silicon Valley, on a coutume de dire qu’il faut détecter les problèmes pour lesquels les organisations sont prêtes à dépenser de l’argent. En OT, cette approche est très pertinente. Le rôle du RSSI ou de l’expert en cybersécurité est de mettre en évidence les scénarios d’attaque pouvant toucher l’OT et leurs conséquences tangibles. En d’autres termes : montrer le « coût du non-traitement ».
Identifier qui finance l’OT
Souvent, l’IT n’est pas en charge du budget OT. Les équipes opérations, maintenance, production ou facilities gèrent elles-mêmes leurs projets et leurs achats. Pour obtenir un budget destiné à la sécurité OT, il est donc crucial de s’adresser aux bons interlocuteurs : ceux qui contrôlent la trésorerie et prennent les décisions d’investissement dans l’OT. Il peut s’agir d’un directeur technique, d’un responsable des opérations, voire d’un directeur industriel selon l’organisation.
Repérer ceux qui subiront l’impact en cas d’attaque
L’enjeu est d’expliquer clairement qui sera impacté si l’OT n’est pas sécurisé. Si les responsables de la production savent que leur chaîne peut être stoppée plusieurs jours à cause d’une attaque, ils seront plus enclins à soutenir un projet de sécurisation. Si le service général comprend qu’un incident sur un système de vidéosurveillance peut bloquer l’accès des employés à certaines zones, il s’alarmera. L’identification de ces « victimes collatérales » permet de créer un levier puissant pour mobiliser les budgets.
4. Sensibilisation
Formaliser les impacts en cas de problème cyber
Pour convaincre, il faut illustrer les conséquences concrètes d’une attaque. Réaliser un mini-scénario catastrophe, basé sur des faits réels (ransomwares industriels, sabotages, etc.), peut aider à faire prendre conscience de la réalité du risque. Combien coûterait une journée d’arrêt de l’usine ? Quelles pénalités contractuelles la société encourt-elle en cas d’incapacité à livrer ses clients ? Ces éléments chiffrés parleront à un DAF (Directeur Administratif et Financier) ou à un Directeur Général, qui cherchent à limiter les pertes et les risques.
Visiter les sites et rencontrer les équipes
Un autre levier de sensibilisation consiste à se déplacer sur le terrain, à la rencontre des équipes en charge des systèmes OT. Discuter avec les techniciens, les opérateurs, leur présenter les risques, écouter leurs contraintes. C’est l’occasion de créer un lien de confiance, de comprendre le contexte opérationnel et d’identifier les priorités. Par ailleurs, cette démarche permet déjà d’« évangéliser » la culture cyber auprès de ceux qui seront directement impactés en cas d’incident.
Avoir un discours cohérent pour les décideurs non financiers
Enfin, la sensibilisation ne vise pas seulement les détenteurs du budget. D’autres décideurs (par exemple, un Directeur Qualité ou un Responsable Sécurité Physique) peuvent influencer la décision d’investir en sécurité OT. Il est donc crucial d’avoir un discours adapté : mettre en avant les risques de non-conformité, la protection de l’image de l’entreprise, la pérennité de la production… Une approche pédagogique, centrée sur l’opérationnel, sera souvent plus efficace qu’une présentation trop technique ou anxiogène.
5. Proposer des solutions concrètes
Empêcher l’impact pour les personnes concernées
La première stratégie n’est pas nécessairement de sécuriser l’OT. L’essentiel est d’empêcher que les personnes (ou services) clés soient gravement impactées par une défaillance ou une cyberattaque. Cela peut passer par une segmentation réseau, un cloisonnement de l’OT par rapport à l’IT, ou encore la mise en place de procédures de reprise rapide pour limiter les perturbations.
Imaginer des solutions pragmatiques pour réduire les risques
La sécurité de l’OT ne doit pas être complexe ou trop onéreuse pour être efficace. Des mesures simples, comme la mise à jour régulière des systèmes, l’installation de pare-feu spécifiques OT, ou la désactivation des accès distants non autorisés, peuvent déjà réduire la surface d’attaque. Parfois, l’ajout de fonctionnalités de supervision (SOC, SIEM, IDS spécifiques à l’OT) aide à détecter rapidement les tentatives d’intrusion.
Rendre visible le niveau de cyber et détecter les anomalies
En plus des mesures de protection, il est crucial de pouvoir détecter et comprendre ce qu’il se passe dans l’environnement OT. Un système de détection d’intrusion adapté à l’OT (OT IDS) ou un monitoring spécifique permet de repérer rapidement des variations inhabituelles de paramètres (ex. des changements de consigne soudains), signes potentiels d’une attaque. Cette visibilité est un atout majeur pour convaincre les décisionnaires : ils peuvent constater en temps réel l’évolution du niveau de risque.
Conclusion
L’OT, par nature, n’est pas toujours pilotée financièrement par l’IT. Les budgets et les décisions relèvent souvent d’autres départements : production, facility management, direction industrielle, etc. Pour sécuriser efficacement l’OT, il est nécessaire d’identifier les bénéficiaires de cette protection et d’expliquer clairement les risques cyber encourus. Impliquer ces acteurs dès le départ, en démontrant l’impact opérationnel et financier d’une attaque, est un levier décisif pour obtenir un budget.
Enfin, il faut garder à l’esprit que les solutions de cybersécurité pour l’OT ne sont pas simplement un copier-coller de celles de l’IT. Les contraintes de disponibilité et les exigences de sûreté de fonctionnement sont souvent plus fortes, et la mise à niveau de systèmes parfois anciens nécessite une approche pragmatique.
Pour aller plus loin et découvrir d’autres astuces ou retours d’expérience concrets, n’hésitez pas à consulter les ressources disponibles sur notre site.
Vous avez aimé cet article ? N’hésitez pas à le partager sur vos réseaux sociaux pour sensibiliser vos contacts et collègues à la cybersécurité des environnements OT.