Au cours des cinq dernières années, les industriels ont été largement sensibilisés aux risques de cyber-attaques et nombre d’entre eux ont bien compris l’intérêt d’initier une démarche de cybersécurité. Avec l’entrée dans l’industrie connectée, l’investissement de tous – des constructeurs de machines comme des industriels – demeure plus que jamais nécessaire pour créer un cercle vertueux de la cybersécurité.
Stuxnet, le virus découvert en 2010, développé par les États-Unis et Israël pour nuire au programme nucléaire iranien, aura eu un effet collatéral dont il faut se féliciter : les industriels ont, depuis, pris conscience de l’importance de la cybersécurité et, désormais sensibilisés, ils suivent les recommandations de l’administration qui fait autorité sur le sujet : l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Certains constructeurs ont déjà fait des pas de géant pour sécuriser leurs nouveaux produits et leurs gammes existantes.
Toutefois, en dépit des progrès réalisés par des entreprises travaillant dans des domaines sensibles comme l’énergie ou les transports, la cybersécurité doit encore être promue au sein des directions pour qu’elle soit intégrée dès la phase de consultation pour les projets industriels, et en R&D dans les process de développement des produits.
Car sécuriser les machines est insuffisant. Les constructeurs, en partenariat avec leurs clients, doivent mettre en place une démarche pour créer un cercle vertueux de la cybersécurité. Ce cercle se construit par étapes successives, de l’identification des risques à la formation des opérateurs, en passant par la conception de systèmes de sécurité et la mise en œuvre de dispositifs de protection, avec la réalisation de tests opérationnels. Parce que les stratégies d’attaque évoluent, il faut aussi que les systèmes de sécurité soient mis à jour et améliorés en permanence, et qu’un plan de maintien en conditions de sécurité soit mis en place.
Comment les constructeurs agissent-ils ?
Pour les équipements en service chez les clients, les fabricants adoptent une démarche qui vise à durcir leurs systèmes : identification de failles de sécurité et rédaction de programmes permettant de mettre à jour les systèmes d’exploitation des automates et des systèmes de contrôle commande pour corriger les failles connues.
Pour les automatismes assez anciens dont les failles ne peuvent être sécurisées, ils publient des guides de préconisations pour prévenir des risques et sensibiliser le personnel des entreprises sur les bonnes pratiques à adopter. S’agissant de ses nouvelles gammes, Schneider Electric intègre la cybersécurité dès la conception des équipements. C’est le cas par exemple des automates Modicon M580.
Pour accompagner les utilisateurs dans la démarche de sécurisation de leurs systèmes industriels, Schneider Electric a créé pour la France une cellule NEC – Network Engineering and Cybersecurity – composée d’experts en réseau industriels et cybersécurité.
Découvrez l’automate programmable Modicon M580 ePAC.
Ajouter un commentaire