Industrie : Mes 5 conseils pour réussir à y déployer la cybersécurité
Retour d'expérience pour réussir à ce que la cybersécurité soit déployé dans les usines.
Avant de commencer l’édition de cette semaine, je veux partager quelques chiffres sur ce projet :
Nous sommes 200 (🍾) dans la newsletter, 200 passionnés de Cybersécurité.
Les 3 premiers articles ont été lus plus de 3 000 fois. Merci !
Pour les nouveaux / ceux qui lisent mais ne sont pas encore abonnés : j'ai créé cette newsletter pour avoir plus de liberté qu’un réseau social comme LinkedIn peut m’offrir, notamment sur la forme, le fond, etc
L’idée est de vous partager des articles de fond sur la cybersécurité tout en conservant cet esprit terre à terre afin de faire écho au plus grand nombre
Dans cet article je vous propose de partager ma vision afin de déployer la cybersécurité dans le monde industriel.
Je vais m’appuyer sur mon expérience personnelle car j’ai accompagné de nombreuses organisations dans le démarrage de leur approche en matière de cybersécurité dans ce secteur d’activité. Je vais également m’appuyer sur mes discussions et échanges avec de nombreux RSSI qui ont aussi travaillé sur ce sujet.
Cet article a vocation à partager un point de vue, partager un retour d’expérience et vise avant tout à aider. Ces idées sont à adapter à chaque organisation, car je reste persuadé que la cybersécurité doit s’adapter au contexte de l’organisation.
Se poser la bonne question : “Pourquoi la cybersécurité dans le monde industriel ?”
En tant qu’experts cybersécurité et passionnés par le monde de l’OT, nous sommes sensibilisés aux enjeux en matière de cybersécurité dans ce monde. Nous lisons régulièrement des articles d’incidents sur les sites de production et connaissons les dommages que peuvent occasionner de tels incidents.
Les organisations avec lesquelles j’ai pu travailler ont souvent, dans un premier temps, écoutés mes warnings, mais aucune action concrète n’a ensuite été mise en place.
Souvent, on souligne l'ancienneté de l'entreprise, parfois établie depuis des dizaines d'années, voire même depuis le 19e siècle. Ce passé riche est présenté comme un gage de fiabilité : 'Ça a toujours bien fonctionné'. On met particulièrement en avant le fait que la sécurité et la sûreté ont toujours été des éléments centraux dans la production.
Avec le temps, j'ai réalisé et accepté qu'une approche plus globale est nécessaire. Face à la question du “pourquoi ?”, ma réponse se concentrait souvent sur la cybersécurité. Bien que cela suscite de l'intérêt, je me suis aperçu que cela ne correspondait pas toujours aux préoccupations principales du management. En portant mon attention sur les enjeux essentiels tels que la production, la qualité, la disponibilité des chaînes et les coûts, j'ai trouvé un moyen plus efficace d'attirer l'attention et de mieux répondre aux besoins des sites de production.
Les directeurs d'usine considèrent la cybersécurité avant tout comme un outil pour maintenir et atteindre leurs objectifs de production. Pour eux, il s'agit moins de combattre une menace concrète, souvent perçue comme complexe et abstraite, et plus de garantir la continuité et l'efficacité de leur production.
Trouver les bons sponsors en interne
Le budget cybersécurité des organisations provient bien souvent des DSI. Même pour les organisations où la fonction de RSSI est détachée du DSI, les moyens techniques cybersécurité sont bien souvent financés par la DSI. Naturellement, je me suis donc tourné vers les DSI pour aller réclamer les millions d’euros nécessaires à déployer la cybersécurité. Vous vous douterez du manque de succès de cette approche.
Avec du recul, j'ai compris que pour progresser efficacement, il était crucial d'identifier des collaborateurs clés, fiables tant pour la DSI que pour le management des usines. L'objectif était de rendre la cybersécurité industrielle un sujet d'intérêt majeur, un “HOT TOPIC” comme le diraient nos collègues.
Cela dépend de chaque organisation, mais certains acteurs clés incluent souvent les responsables du support business industriel au sein de la DSI. On retrouve également fréquemment les directeurs d'infrastructures et/ou de réseaux, qui jouent un rôle crucial dans la gestion des interfaces avec les sites de production. Du côté de la production, des figures importantes peuvent être, par exemple, les responsables de la qualité, de la sûreté, ainsi que les équipes traditionnelles de maintenance locale.
Faire converger la DSI et la partie industrielle
L’informatique dans les sites de production est très souvent menée de manière indépendantes des équipes informatiques et de la DSI pour des raisons historiques, où parfois l’informatique industrielle est même plus ancienne que la création des DSI telles que nous les connaissons aujourd’hui.
Sur les sites de production, l'informatique est souvent gérée indépendamment des équipes informatiques centrales et de la DSI. Cette situation s'explique par des raisons historiques : dans certains cas, l'informatique industrielle existait même avant la création des DSI telles que nous les connaissons aujourd'hui.
Très souvent, j’ai rencontré de nombreuses frustrations croisées :
Côté DSI : les équipes industrielles sont vues comme hors de contrôle, ayant des comportements dangereux et utilisant des systèmes obsolètes qui ne devraient plus être en activité.
Côté équipes industrielles : j’ai souvent remarqué une frustration vis à vis de la DSI sur l’incompréhension du monde industriel. Un reproche quasi systématique est également fait sur les horaires de fonctionnement de la DSI. En effet, les usines fonctionnent 24h/24 et 7 jours sur 7 alors que la DSI est en fonction du lundi au vendredi de 9h à 18h.
J'ai pu tester une approche consistant à organiser des ateliers conjoints centrés sur la cybersécurité, axés sur des sujets spécifiques. Un exemple concret est celui de la télémaintenance des systèmes industriels via la DSI. Souvent, ces ateliers révèlent des équipes dynamiques et mettent en lumière des problèmes communs de cybersécurité entre les deux directions, nécessitant des solutions. D'autres questions de cybersécurité émergent ensuite progressivement.
Sensibiliser les managements des sites de production
Dès que la Direction des Systèmes d'Information (DSI) et les équipes industrielles s'accordent sur l'importance de la cybersécurité industrielle, la question du financement se pose. Habituellement, on sollicite les directions des usines pour financer ces projets de cybersécurité. Cependant, j'ai souvent constaté que leur réponse est négative.
L'argument financier, souvent très pertinent dans un contexte de marges réduites, doit être abordé avec tact et expérience plutôt que par autorité. Les directions des usines, en place depuis de nombreuses années, voire des décennies, sont peu enclines à accepter des impositions de la part de nouveaux arrivants dans l'organisation.
Ce qui a fonctionné pour moi, c'est de rencontrer personnellement les équipes de direction, de comprendre leurs métiers et les défis quotidiens auxquels ils sont confrontés, puis d'aborder avec eux la question de la cybersécurité. Lorsque je suis sur site, j'aime poser des questions comme :
Combien de temps pouvez-vous fonctionner sans Internet, sans connexion au monde extérieur ?
Combien de temps votre production peut-elle tenir sans votre baie informatique ?
Et au bout de combien de temps cela affectera t-il vos résultats financiers ?
Très souvent, la réponse se compte en heures. Cela aide à rendre les sujets cybersécurités plus concrets pour eux.
Trouver un site pilote
Le déploiement de la cybersécurité dans le secteur industriel s'avère souvent très complexe. Les systèmes en place peuvent être si anciens que même un simple redémarrage peut poser problème. De plus, les équipes locales s'inquiètent souvent énormément à l'idée de modifications de l'architecture réseau locale ou du déploiement d'agents de sécurité sur les postes de travail.
Je pense que pour bien commencer, c’est important de trouver un site pilote, où le management et les équipes informatiques/maintenance locales sont prêtes à essayer de nouvelles solutions. Cela facilite le déploiement. D’ailleurs dans cette phase, c’est aussi un moyen de s’assurer que nous allons ensemble trouver des solutions pour chaque problème opérationnel qui va se poser.
Le concept du site pilote est intéressant car il permet de rapidement déployer des premières mesures de sécurité concrètes à l’échelle de l’organisation, et ce en quelques semaines. C’est aussi l’occasion de pouvoir montrer aux autres sites de production des éléments concrets et donner envie aux autres sites de déployer de la cybersécurité industrielle, sans être trop en retard dans l’organisation.
Vous avez des sujets Cybersécurités ? Discutons en sur LinkedIn