Cyberattaques : l’industrie (elle aussi) est concernée

Si le mot « cyberattaque » évoque un monde virtuel, les machineries industrielles ne sont aujourd’hui plus à l’abri de ces assauts malveillants. Qu’est-ce qui rend ces installations vulnérables? Quelle démarche adopter pour les protéger des cyberrisques? Quels sont les impacts de cette réalité sur la profession d’ingénieur? Une experte nous donne des éléments de réponse.

Une menace d’un genre nouveau pour l’industrie

À l’ère de l’industrie 4.0, plus besoin d’être sur site pour faire fonctionner une chaîne de production. Désormais connectées directement aux systèmes d’information, les machines peuvent être gérées à distance. Grâce à cette convergence des technologies opérationnelles (TO) et des technologies de l’information (TI), les entreprises ont renforcé leurs capacités d’automatisation et de contrôle.

Mais la modernisation a son revers « Aujourd’hui, ces connexions peuvent permettre à une personne mal intentionnée d’atteindre, et parfois de compromettre, les systèmes informatiques des opérations, particulièrement si les capacités de cybersécurité de l’entreprise manquent de maturité », explique Neila Zerguini, Ing., MSc, directrice principale en cybersécurité chez Deloitte Canada.

La série d’attaques dirigées contre des centrales électriques en Ukraine en 2015, puis 2016, en est une illustration « Des hackers ont pris le contrôle de ces installations, rappelle cette spécialiste. Ces pirates ont clairement démontré qu’ils avaient une bonne compréhension de l’infrastructure et les accès pour perturber leurs activités ».

Neila Zerguini, Ing., MSc, directrice en cybersécurité, Deloitte Canada

L’adaptation des installations québécoises aux cyberrisques

Qu’en est-il de nos entreprises manufacturières? Sont-elles prêtes à affronter des cyberattaques de ce type? Selon Mme Zerguini, les premières industries à entamer ce virage sont celles qui possèdent des infrastructures critiques pour le bon fonctionnement de la société (l’énergie, l’eau et le transport, par exemple), ou dont le mauvais fonctionnement présente un risque pour la sécurité physique du public (comme le secteur de la chimie).

Les grandes entreprises commencent tout juste à créer des postes pour gérer cette convergence TI/TO, et son volet de gestion des cyberrisques. Mais la situation reste complexe pour les PME « Elles n’ont souvent pas les ressources en place pour mener cette transformation, qui demande du temps et une expertise croisée », souligne-t-elle, tout en insistant sur la rareté des experts en cybersécurité sur le marché.

Cybersécurité des TO : les conditions d’une démarche réussie

Dans ce contexte, que peuvent faire les entreprises pour se protéger?

L’une des clés consiste à améliorer la sensibilisation des équipes opérationnelles pour obtenir leur soutien « Dans les organigrammes des entreprises, les équipes d’opération sont coupées des équipes TI et de sécurité, et les informations qu’elles reçoivent sur les enjeux de cybersécurité sont souvent inadaptées à leur culture et au langage des ingénieurs et opérateurs », remarque Mme Zerguini.

Pour faciliter cette communication transversale, les entreprises s’appliqueront notamment à redéfinir les cyberrisques du point de vue des TO. Cela signifie qu’ils seront analysés en fonction de leurs impacts sur la sécurité physique — ou sûreté —, la fiabilité et la productivité (SRP1) des systèmes d’opération, ce qui diffère de la perspective TI usuelle axée sur les risques en matière de confidentialité, d’intégrité et disponibilité (CIA2) des systèmes d’information.

La direction doit aussi mettre la cybersécurité des TO à l’agenda « Avec les grandes transformations numériques des dernières années, beaucoup d’entreprises ont concentré leurs budgets informatiques sur l’amélioration de l’expérience client, les outils de collaboration, et la réduction du risque de cybersécurité des TI, laissant parfois de côté celle des opérations », poursuit-elle. Certains de leurs ingénieurs et techniciens, qui ont les mains dans les systèmes, travaillent peut-être déjà à la cybersécurité sur le terrain, et requièrent des ressources financières et du soutien pour réaliser ce chantier majeur.

Selon Mme Zerguini, seule une reconnaissance des besoins par le leadership permettra aux industries d’accroitre la visibilité sur leurs systèmes TO et de se doter d’outils, de processus de contrôle et du personnel appropriés.

Une nouvelle donne pour la profession d’ingénieur

La cybersécurité des TO est un nouveau champ d’expertise que l’ingénieur a l’opportunité d’explorer.

Sans pour autant y consacrer sa carrière, il doit intégrer cette réalité dans ses propres façons de faire, regarder dans quelle mesure son environnement peut être exposé, et compter parmi ceux qui proposent des solutions « La question n’est pas de faire de la cybersécurité en soi, mais bien de faire son travail d’ingénieur de manière sécuritaire, en gardant à l’esprit les enjeux grandissants de la cybersécurité », conseille Mme Zerguini. Elle dresse d’ailleurs un parallèle avec les mesures d’hygiène « C’est le même raisonnement : une personne en porte la responsabilité dans l’entreprise, mais dans les faits, c’est l’affaire de tous ! », conclut-elle.

 

1. En anglais : Safety, Reliability, Productivity.

2. En anglais : Confidentiality, Integrity, Availability.

 

Photo de couverture Christina Wocintechchat via unsplash.

 

Revenir au dossier [RDG] Cyberprotection des Technologies Opérationnelles

Abonnez-vous à nos infolettres pour ne rien manquer