"On ne peut pas faire ce projet pour des raisons de cybersécurité"... Cette antienne bien connue fait malheureusement trop souvent office de prétexte pour les directions réticentes à franchir le cap de la transformation numérique de leur outil industriel. Une posture de repli qui, si elle peut se comprendre, n'en demeure pas moins contre-productive à l'heure du tout connecté.
Il est vrai que les menaces de cyber-attaques ou de failles de sécurité sont critiques et ne doivent pas être prises à la légère dans l'industrie, secteur particulièrement sensible et critique pour les économies nationales. Rien que l'année dernière, le rançongiciel de type Lockbit 3.0 a ainsi contraint plusieurs usines à arrêter leur production pendant plusieurs jours, avec des conséquences économiques désastreuses.En 2022, on estime que les cyberattaques ont coûté près de 10 milliards d'euros aux industriels français, de l'équipementier automobile aux aciéries en passant par l'agroalimentaire.
Pour autant, avec une gestion pragmatique et raisonnée des risques, la cybersécurité ne doit plus être un frein mais bien un facilitateur de l'adoption des nouvelles technologies dans l'usine. Le mythe selon lequel "le cloud serait trop dangereux" commence d'ailleurs à être sérieusement remis en cause par les professionnels du secteur.
Les statistiques le prouvent : les data centers des grands fournisseurs comme Microsoft, Amazon ou Google sont statistiquement bien moins souvent la cible de piratages réussis que des infrastructures plus traditionnelles et vieillissantes comme celles des hôpitaux ou des collectivités territoriales.
Au lieu de se retrancher derrière ce faux-nez sécuritaire, les industriels auraient tout intérêt à prendre le problème à bras-le-corps. Cela passe d'abord par une juste appréciation de la criticité des données pour ajuster le niveau de protection en conséquence, sans tomber dans la sinistrose ambiante.
Protéger au plus haut niveau la recette secrète du Coca-Cola, d'accord. Mais il serait contre-productif de multiplier les verrous pour des indicateurs de performance industrielle somme toute anodins.
Il faut ensuite accepter que la principale faille de sécurité dans les entreprises se situe presque toujours "entre la chaise et le clavier", c'est-à-dire au niveau des utilisateurs, souvent peu formés aux bons gestes et réflexes pour contrer les menaces.
On ne le répètera jamais assez : plutôt que d'ériger des barrières partout, les industriels ont tout intérêt à former massivement l'ensemble de leurs collaborateurs, des opérateurs aux équipes de direction, pour les sensibiliser aux risques numériques.
Au même titre que le rôle d’un bon juriste est d’identifier les risques et de proposer des solutions de contournement, celui de l’IT doit être de conseiller le Business pour sécuriser les solutions résolvant son problème,... pas de lui demander de vivre avec.
La cybersécurité est désormais l’affaire de tous. Dans certaines organisations, le directeur d’usine est responsable de ce sujet et dispose des ressources pour répondre à ces enjeux.
La criticité des données et processus doivent être correctement évaluée et la sécurité, souvent rigidifiante pour le sous-jacent concerné, adaptée.
Dans un monde hyper-connecté, se couper de l'extérieur relève en effet de l'hérésie en termes d'exposition aux risques. Seule une stratégie nuancée et pragmatique de gestion des risques cyber, combinée à des plans de formation massifs, permettra de déployer en toute sérénité les nouveaux outils de l'industrie 4.0. Vouloir tout verrouiller est illusoire dans des organisations où fourmillent des ingénieurs dont l’ADN est de résoudre les problèmes. Le shadow IT est le symptome d’une insatisfaction des utilisateurs et est de plus en plus simple à mettre en place grâce à l'avènement du Saas et des outils “no code”. Pensez vous vraiment qu’aucun salarié n’a utilisé Chatgpt sur les données de votre entreprise? Il est essentiel d’accompagner les métiers pour résoudre leurs problèmes de façon raisonnablement sécurisée.
Sécurisez au bon niveau, ni trop, ni trop peu.