Dix recommandations pour une meilleure cyber-vigilance dans l’industrie manufacturière

Hors-cadre
Par · 30/04/2021

Source: Agoria

Voici quelques mois, Agoria, en collaboration avec le Sirris, l’Université de Gand et la Haute Ecole Howest (Flandre occidentale), a mené une enquête auprès de 77 entreprises manufacturières belges, de différentes tailles – depuis la PME jusqu’à des sociétés de plus de 500 personnes (mais majoritairement flamandes) -, afin de déterminer dans quelle mesure elles étaient conscientes et armées contre les risques de cyber-sécurité.

Ces derniers, évidemment, ne font que décupler à mesure où les entreprises de production – tous secteurs confondus – s’équipent en nouvelles solutions connectées vers l’extérieur. Comme le précise l’étude, le passage à l’“industrie 4.0” implique non seulement davantage d’informatisation et d’automatisation de processus mais aussi le recours à des technologies visant l’opérationnel (solutions SCADA, IoT, systèmes de contrôle…), l’ajout de (micro-)dispositifs connectés d’un genre nouveau, de robots (physiques, hybrides ou virtuels)… Autant de points de pénétration potentiels et de maillons faibles que ne peuvent qu’exploiter les hackers de tous poils.

Un bilan interpelant

Les conclusions de l’étude ne sont guère encourageantes en termes de robustesse ou de degré de préparation, voire simplement d’information et de sensibilisation, des sociétés manufacturières belges.

– 93% des entreprises interrogées estiment que leur stratégie de cybersécurité est insuffisante
58% a été victime d’un incident (brèche de sécurité) touchant leurs solutions et systèmes opérationnels
– 61% pointent du doigt des systèmes opérationnels vieillis, pas nécessairement mis à jour, comme étant les principales sources de failles potentielles, voire même comme étant incapables, vu leur ancienneté et l’impossibilité de les “moderniser”, de faire face aux cyber-risques et menaces
– 31% des personnes interrogées n’ont pas la moindre idée de l’âge (approximatif) des automates programmables (PLC) qui sont utilisés – plus d’un tiers des sociétés ayant participé à l’étude utilisent des PLC de plus de 10 ans, et près de la moitié de ces sociétés ne procèdent que rarement voire jamais à des mises à jour

Source: Agoria

– autres chiffres intéressants, ceux que révèlent le tableau ci-contre (l’ancienneté du système d’exploitation)

– 48% des personnes interrogées déclarent ne pas disposer, en interne, des connaissances nécessaires pour faire face à une cyber-attaque.

Au-delà de ces chiffres, l’étude a relevé une série de faiblesses et de carences. A commencer par le manque de prise de conscience des risques encourus et l’absence d’une politique dédiée en la matière. 

Autre problème: l’approche est morcelée dans la mesure où aucune vision globale des enjeux, des risques et des solutions à mettre en oeuvre ne jette un pont entre univers informatiques et opérationnels.

“De nombreuses entreprises manufacturières partent du principe que rien ne peut leur advenir. Et si une cyber-attaque devait se produire, elles sont sûres de pouvoir la détecter rapidement.” Alors même qu’en analysant plus en détail leur situation, l’étude met en lumière qu’elles n’ont pas mis en oeuvre les pratiques minimales pour effectuer les contrôles nécessaires et que les formations du personnel (et des responsables) sont largement absentes.

Dix conseils

Suite à cette étude, les quatre partenaires ont élaboré un livre blanc reprenant dix recommandations pour une approche plus vertueuse et efficace de la problématique: 

– déployer une culture positive d’apprentissage de la sécurité, à tous les niveaux de la société, en commençant par las niveaux hiérarchiques supérieurs, afin de garantir une (cyber-)sécurité et une continuité opérationnelle qui soient basées sur une réflexion systémique
– accentuer la visibilité centralisée de toutes les ressources et actifs qui doivent être protégés, en recourant ) des solutions d’identification et de gestion de ressources

Source: Agoria

– élaborer une politique de cyber-sécurité IT/OT (technologies informatiques, technologies opérationnelles) intégrée, qui s’appuie à la fois sur une évaluation et une gestion consciencieuse des risques
– pratiquer la segmentation réseau
– procéder à une évaluation et à une gestion permanente et pertinente des vulnérabilités par le biais d’une gestion des risques et des vulnérabilités
– mettre en oeuvre les outils et solutions nécessaires pour détecter des anomalies, à différents niveaux, et pour y apporter des réponses efficaces (si possible en temps réel)
– investir dans des solutions et des plans de gestion des réponses d’incidents, afin de garantir la continuité opérationnelle
– implémenter une politique de droits d’accès bien pensée
– inclure la cyber-sécurité comme paramètre de toute politique d’achat
– tester, documenter, améliorer et auditeur votre politique de sécurité IT/OT et envisager un trajet de certification.

Ces dix recommandations sont détaillées et explicitées dans le livre blanc “Recommandations for better cybersecurity in the Belgian manufacturing Industry” qui peut être téléchargé via ce lien.