Les entreprises qui gèrent des usines connectées reconnaissent tous - ou presque - que la cybersécurité est une composante essentielle de leurs opérations. Mais, selon un rapport publié la semaine dernière par Capgemini, un grand nombre d’entre eux ne sont pas préparés à faire face au nombre croissant de cybermenaces qui pèsent sur leurs usines. Le rapport, basé sur une enquête réalisée auprès de 950 entreprises à l'échelle mondiale, constate que 80 % d'entre elles s'accordent à dire que la cybersécurité est une composante essentielle du fonctionnement d'une usine intelligente et que, si plus de la moitié (51 %) reconnaissent que le nombre de cyberattaques va probablement augmenter au cours des 12 prochains mois, leur niveau actuel de préparation est faible.
De nombreux dirigeants interrogés dans le cadre de cette enquête affirment qu'ils ne seront pas en mesure de répondre efficacement aux cyberattaques dans leurs usines intelligentes et leurs sites de production. Qui plus est, beaucoup d'entreprises disent que leurs analystes en cybersécurité sont dépassés par la très grande diversité des dispositifs OT exploitant les technologies opérationnelles et des dispositifs de l'Internet industriel des objets (IIoT) qu'ils doivent surveiller pour détecter et prévenir les tentatives d'intrusion. « Compte tenu de la récente augmentation exponentielle du nombre d'appareils connectés au sein des usines intelligentes, ce problème ne fera que s'amplifier, d'autant que le nombre de connexions IIoT devrait atteindre 37 milliards d'ici à 2025 », indique encore le rapport.
L'industrie lourde, la plus exposée au risque
Capgemini rapporte que les cyberattaques contre les usines 4.0 semblent à la fois résister à la pandémie et à la récession, puisque 73 % des entreprises ayant subi une cyberattaque en ont été affectées pendant les 12 derniers mois. Les usines connectées des grandes industries ont été les plus touchées par les cyberattaques (58 %), suivies par celles des entreprises pharmaceutiques et de la santé (44 %). « La chaîne de montage des industries lourdes est tellement robuste - les systèmes d'exploitation et les logiciels sont plus complexes, plus de correctifs sont appliqués régulièrement - que le profil de risque est beaucoup plus critique dans l'industrie lourde », a expliqué Dave Cronin, vice-président de la stratégie de cybersécurité de Capgemini Americas. Quant au secteur pharmaceutique, « il a conscience des problèmes, mais il est beaucoup plus réticent à dépenser, parce qu’aucune loi ou exigence de conformité ne l'oblige à le faire », a ajouté M. Cronin.
Plus bas, dans la hiérarchie des cibles, on trouve les usines des secteurs de l'automobile (36 %) et de l'aérospatiale et de la défense (33 %). L'une des raisons pour lesquelles la sécurité des usines 4.0 est meilleure dans l'industrie automobile que dans d'autres secteurs verticaux, c’est qu'elle est en place depuis plus longtemps. « Ils ont pris une longueur d'avance sur ce sujet il y a cinq ou dix ans », a expliqué M. Cronin. De plus, « avec toute la recherche et le développement consacrés à la conduite automatisée et autonome, l'impact sur la sécurité a été compris et les entreprises ont été plus proactives dans leur stratégie de cybersécurité. Ils sont conscients du préjudice de réputation qu'ils pourraient subir en cas d'erreur », a-t-il ajouté.
Pénurie de compétences et IT fantôme, deux autres défis pour la sécurité
Plus d'un quart des entreprises touchées par les cyberattaques (27 %) disent que la compromission de dispositifs IIoT non sécurisés, détournés pour mener des campagnes DDoS, a augmenté de 20 % depuis 2019. Dans le même ordre d'idées, près de trois entreprises sur dix (28 %) ont constaté que le nombre d’employés ou de fournisseurs utilisant des appareils infectés pour installer ou patcher des machines d'usines intelligentes avait augmenté de 20 %. Le rapport identifie également certains défis essentiels pour faire décoller les initiatives de cybersécurité dans les usines intelligentes. Par exemple, le déficit de main-d'œuvre qualifiée est un problème. Plus de la moitié des entreprises interrogées (57 %) estiment que la pénurie de talents en cybersécurité dans les usines intelligentes est beaucoup plus grave que celle des talents en cybersécurité informatique.
L'informatique fantôme (shadow IT) est un autre défi mentionné par les exploitants d'usines connectées. Capgemini rapporte que plus de 75 % des entreprises interrogées sont préoccupées par l'utilisation régulière de processus spécifiques non-standardisés pour réparer ou mettre à jour les systèmes OT et IIoT. En outre, plus de la moitié des entreprises (51 %) affirment que les cybermenaces dont sont victimes ces usines proviennent principalement des réseaux des partenaires et des fournisseurs. « Malgré le niveau élevé d'impréparation, il y a lieu d'être optimiste », a néanmoins déclaré M. Cronin. « Tout n'est pas aussi sombre », a-t-il tempéré. « Certaines entreprises prennent des mesures appropriées. Cependant, à mesure que ces usines sont remaniées et réaménagées, celles qui n'adoptent pas une approche proactive et partent du principe que tout va bien se passer s’exposent à des problèmes supplémentaires ».