L'industrie 4.0, une perspective d'évolution pour les 200 000 entreprises industrielles de France, mais aussi un passif à reprendre. C'est en tout cas le message principal qui se dégageait d'une table ronde organisée lors des Assises de la sécurité, qui se tenaient à Monaco du 11 au 13 octobre. « Sur les nouvelles lignes de production, nous appliquons une politique de cyber by design, consistant à déployer d'emblée les principes clefs de sécurisation, dit Sabri Khemissa, le responsable de la cybersécurité industrielle du groupe minier Imerys. Sur l'existant en revanche, la mise à niveau va demander du temps, via par exemple une fenêtre d'une semaine par an sur laquelle il est possible d'intervenir sur la production. Il faut accepter de gérer un plan de sécurité à deux vitesses. » Car, dans l'industrie, la continuité de la production demeure l'alpha et l'oméga. « Dans l'intervalle, il faut procéder avec une approche par les risques et amener des technologies permettant une défense en profondeur, en attendant que le modèle de sécurité que nous avons défini puisse être déployé partout », juge Bertrand Aït-Touati, directeur du programme cybersécurité industrielle du groupe Suez.

Pour ce faire, encore faut-il être en mesure de déployer, dans le bon rythme, un cadre de sécurité homogène dans un paysage qui, lui, ne l'est pas du tout. « Les patrons d'usine ont tendance à vouloir aller vite dans le déploiement de l'Industrie 4.0 pour tenir leurs objectifs. Donc à se tourner vers des fournisseurs qui arrivent avec des solutions clefs en mains, mais avec un faible niveau de maturité sur la cybersécurité, relève Sabri Khemissa. Cette prolifération d'initiatives non coordonnées a tendance à fragiliser la sécurité des usines. » Pour Thierry Manciot, le responsable de la cybersécurité du réseau, du manufacturing et de la supply-chain de Sanofi, cette prolifération d'initiatives peut être retournée en avantage : « La cybersécurité peut être un levier pour amener les usines à intégrer leurs initiatives dans une approche plus cohérente. » Et de donner l'exemple d'une usine pionnière dans la transformation numérique, mais pas au niveau attendu en matière de cybersécurité. « Le comité des risques lui a indiqué qu'elle ne pouvait pas accélérer sur ses projets innovants sans déployer les fondamentaux de cybersécurité d'abord », reprend le responsable. « L'industrie 4.0 est une opportunité de ramener de la gouvernance sur ce qui, de toute façon, existait déjà, de faire en sorte que les sites soient moins démunis face aux enjeux de cybersécurité », abonde Bertrand Aït-Touati.

Comprendre les spécificités d'un nouveau périmètre

Pour ce faire, la cybersécurité a besoin d'abord d'être crédible vis-à-vis de la production et de déployer un modèle opérationnel s'intégrant aux contraintes industrielles. « Nous faisons face à de très nombreux systèmes différents, ceux pilotant la production évidemment, mais aussi tout l'écosystème environnant comme les systèmes de gestion de l'énergie ou ceux présents dans les laboratoires. Il faut commencer par comprendre cet environnement pour être crédible », remarque Sabri Khemissa. Un prérequis que relaye Thierry Manciot (Sanofi), pour qui, « la maîtrise des actifs et de leur niveau de protection est fondamental pour les équipes en charge de la cybersécurité. Sans elle, le déploiement du modèle de sécurité court à la catastrophe. »


De gauche à droite, Thierry Manciot, de Sanofi, Sabri Khemissa, d'Imerys, et Bertrand Aït-Touati, de Suez. (Photo : R.F.)

Si définir la cible et la manière de l'atteindre, avec des objectifs clairs, définis année après année comme chez Sanofi, est indispensable, il faut également établir une relation de confiance avec les équipes de production sur le fonctionnement au quotidien. « La cybersécurité a besoin d'une ambition affirmée, mais aussi d'un operating model convenant aux exigences du terrain. Sinon, la sensibilisation ne prendra pas et la remédiation des vulnérabilités existantes n'aura pas lieu », tranche Bertrand Aït-Touati (Suez). Cela peut passer, par exemple, par un dialogue avec les patrons d'usine sur le déploiement des correctifs de sécurité sur des systèmes qualifiés, comme c'est le cas chez Sanofi. « C'est aussi un contrat entre les directions des usines et la cybersécurité. Si elles s'engagent à travailler dans le sens que nous pointons, nous devons nous engager à être présents au moindre problème », indique Thierry Manciot.

Le bon équilibre entre équipes centrales et locales

Ce contrat dessine aussi un nouvel équilibre dans les responsabilités. « Les lignes bougent, confirme le responsable de Sanofi. Les équipes IT vont de plus en plus opérer des équipements industriels. Il faut donc adapter les processus à cette réalité. Notre modèle d'usine du futur s'accompagne ainsi d'un modèle opérationnel mixte articulant l'échelon global et l'échelon local. » Ce qui signifie également qu'il faut identifier des compétences sur le terrain. « Au début du programme (de sécurisation des actifs industriels, NDLR), la première question qui s'est posée était : qui va s'occuper des technologies déployées ? Nous avions besoin de compétences dans les équipes IT intégrées aux divisions industrielles, surtout pour la partie run. Le programme a permis de mettre ce point en lumière et de nous renforcer sur ce sujet », décrit le directeur du programme cybersécurité industrielle du groupe Suez.

Selon ce dernier, il existe, dans ces équipes locales, « des viviers de compétences intéressées par la cyber ». Le déploiement d'un programme de sécurisation des actifs industriels serait donc une opportunité d'intégrer la cybersécurité dans les équipes sur site. A condition de pérenniser le dispositif, selon Sabri Khemissa (Imerys) : « la problématique, c'est de trouver les sachants et, ensuite, de définir de vraies positions en charge du sujet, pas simplement des rôles. » Et ce dernier de souligner également le besoin d'intégrer au modèle opérationnel de cybersécurité les partenaires, qui opèrent de plus en plus de systèmes. « Dans l'industrie, le pouvoir des fournisseurs est énorme, souligne de son côté Thierry Manciot. Nous avons intégré, avec l'appui des métiers, 15 exigences cyber dans tous nos appels d'offres. »