La cybersécurité à l’ère de l’IIoT

L’arrivée de l’Internet des objets (Iot) a été accueilli à bras ouverts par la population et n’est pas passée inaperçue du côté de l’industrie (IIoT¹). Mais une plus grande connectivité des systèmes n’apporte pas que des avantages. La majorité des chefs de direction canadiens (90 %, par rapport à 75 % l'an dernier²), déclarent que la complexité croissante des cybermenaces est le principal facteur d'impact sur l'élaboration de leur stratégie de cybersécurité.

À grand pouvoir, grande responsabilité

Le mariage entre les technologies informationnelles (IT) et opérationnelles (OT) n’est pas si simple pour le génie. Dans certains environnements de travail, les équipes d’OT ne connaissent pas la cybersécurité tandis que celles d’IT ne connaissent pas les procédés opérationnels. 

Ceci ouvre la porte à une vulnérabilité des systèmes qui n’existait pas avant l’avènement de l’IIoT. Une meilleure communication entre ces deux équipes est primordiale afin de briser l’effet de silo et donner une vue globale de tous les systèmes.

D’autres risques entrent en ligne de compte tels que : le vol de données, la mauvaise utilisation de matériels amovibles, de « patch » ou d’applications, la segmentation limitée des réseaux, le sans-fil et le dernier mais non le moindre, l’accès à distance non-autorisé, le « hacking ». Sachant que les systèmes SCADA³ sont souvent utilisés en distribution (eau, électricité, gaz, etc.) le facteur de risque s’agrandit pour englober la population entière.

Par une attaque bien ciblée, on pourrait priver d’eau potable l’île de Montréal ou saboter un gazoduc sans que l’organisation ne le détecte. Cette possibilité est peut-être minime, mais tout de même présente de là l’importance d’intégrer des processus de cybersécurité en béton aux systèmes.

Pour une plus grande tranquillité d’esprit

Ces procédés se déclinent sur plusieurs niveaux tant à l’administratif qu’à l’opérationnel. Du côté administratif, les organisations doivent améliorer leur gouvernance en alignant plusieurs départements sur l’objectif de sécurité et en recrutant de nouveaux professionnels formés pour l’IIoT. Elles doivent aussi se doter de nouveaux programmes et plateformes intégrant l’IT et l’OT ainsi que la gestion des risques. De plus, elles doivent sensibiliser leur personnel à la cybersécurité puisque plusieurs facteurs de risque proviennent de celui-ci.

Sur le plan opérationnel, elles doivent créer une plus grande segmentation des réseaux et une hiérarchisation de ces derniers afin qu’un réseau secondaire n’interfère pas avec un prioritaire, on ne voudrait pas créer un décalage dans la lecture des données de capteurs d’un réseau de distribution parce que ce dernier partage un routeur avec un autre système. Elles doivent aussi implanter une routine de tests des dits réseaux dont des tests de pénétration ainsi qu’améliorer la visibilité des éléments connectés dans le but de détecter plus rapidement tout élément étranger qui viendrait s’y greffer subrepticement.

Un nouveau jour se lève

Pour terminer, toutes ces nouvelles mesures représentent autant de nouvelles opportunités pour le monde du génie. Tant sur le plan de la cybersécurité que par l’IIoT elle-même, de nouveaux métiers sont créés et le besoin de professionnels formés spécifiquement pour cette nouvelle réalité ira en s’accentuant de façon exponentielle dans un avenir prochain. C’est donc au génie de s’assurer que la révolution numérique continue de se développer vers un avenir lumineux.

Références :

¹IIOT : l’Internet industriel des objets (IIoT) se focalise sur les besoins des professionnels et des entreprises. Le bénéfice retiré doit être tangible et mesurable par des indicateurs concrets VS l’Internet des objets (IoT) qui vise à répondre aux besoins du grand public en connectant des objets de "la vie quotidienne" à des capteurs domotiques ou portatifs, des applications mobiles et des assistants vocaux pour améliorer le confort des utilisateurs ou leur faire gagner du temps.

²L'incertitude économique et le manque de compétences essentielles préoccupent particulièrement les chefs de direction canadiens, PwC. 25 février 2020

³SCADA : un système de contrôle et d'acquisition de données en temps réel, de l'anglais : Supervisory Control And Data Acquisition.