Lors de la rentrée de CyberWal by Digital Wallonia, MCG a remis au centre du jeu, le sujet de l’industrie 4.0 et 5.0 et comment le monde industriel doit être à même de faire face aux cybermenaces.
À l'occasion de la rentrée de CyberWal by Digital Wallonia qui s’est déroulée à Technifutur à Seraing ce jeudi 26 janvier, Grégorio Matias, CEO de MCG et expert en cybersécurité est intervenu sur la thématique du cyber et du monde industriel. Un enjeu capital dans lequel nous sommes spécialisés, notamment avec l'initiative Cyber4industry que nous co-pilotons avec AgiNTech.
L’occasion pour nous de remettre au centre du jeu, le sujet de l’industrie 4.0 et 5.0 et comment le monde industriel doit être à même de faire face aux cybermenaces, et ceci grâce à l'initiative conjointe Cyber4Industry dans laquelle MCG est partie prenante.
L'accroissement de notre monde et de nos sociétés évolue sans cesse, conduit par les Nouvelles Technologies (Cloud, Intelligence Artificielle…), a un impact sur tous les secteurs, et notamment celui de l’industrie.
L’industrie 5.0, ou comment mettre en collaboration les humains et les robots à des fins de production, est déjà là. Le challenge aujourd’hui pour les entreprises industrielles est de connecter le pôle production (OT) au pôle informatique (IT), le tout de manière cyber-sécurisée, ce qui est déjà l’objectif de l’industrie 4.0.
Car si un des défis du monde informatique d’aujourd’hui est de faire face aux cybermenaces toujours plus importantes et nombreuses, c’est aussi maintenant celui du monde industriel. Il a souvent été courant de penser, de manière erronée, que le monde de l’industrie, moins informatisé pouvait passer à travers les mailles du cyber. C’est faux, bien entendu. Ces deux mondes sont entièrement interconnectés et interdépendants et principalement aussi en matière de sécurité informatique.
Pour répondre à ces défis OT / IT, MCG et AgiNTech se sont associés pour fonder Cyber4Industry. Pour rappel, le but de l’initiative est d'assurer la protection continue des lignes de production avec des solutions de cyber-sécurité adaptées aux différents environnements.
En tant qu’industriel ou preneur de décisions dans ces domaines ou dans l’IT et la cybersécurité, il est important d’être bien informé et de bien connaître les enjeux. Voici 5 conseils de base à mettre en place pour éviter de laisser votre industrie entièrement cyber-“insécurisée”.
Dès la fin du 18e siècle, le monde industriel a été rythmé par de nombreuses et profondes révolutions. De l’invention de la machine à charbon aux nouvelles technologies, les industriels ont dû de nombreuses fois se réinventer pour faire face aux défis. Parmi ces révolutions, nous pouvons épingler le concept d’Industrie 4.0 … certains parlent même d’industrie du futur.
Cependant, 10 ans après que ce concept ait été lancé en pâture, voilà qu’un nouveau concept fait son apparition : l’« industrie 5.0 ».
Cette 5e « révolution » industrielle est celle censée mettre en collaboration humains et robots.
Elle met en avant l’interaction entre créativité humaine et intelligence artificielle, avec un objectif supplémentaire en toile de fond : l’impact sociétal.
Pour plus de détails, nous vous renvoyons vers quelques sources intéressantes à ce sujet (https://iotindustriel.com/autres/systemes-industriels/lindustrie-5-0-cest-quoi/, https://www.spectraltms.com/blog/industrie-5.0, https://www.greenwin.be/fr/page/industrie5-0).
Le secteur industriel vit cependant à un tout autre rythme. Dans certains domaines hyper-compétitifs (pensons par exemple à la fabrication automobile), ces concepts sont intégrés très rapidement. Mais dans d’autres secteurs plus lourds (pensons à la sidérurgie) l’intégration se fait avec un certain décalage.
Dans tous les cas, on ne change pas une ligne de production comme on change un serveur informatique. Cela prend du temps et coûte de l’argent.
Ce contexte étant défini, venons-en à notre thématique : la cyber « in-sécurité » industrielle. Il est évident qu’un concept sous-jacent était déjà indispensable à la notion d’industrie 4.0 : la « fusion » entre l’IT et OT (OT : Operational Technology [toutes les technologies qui permettent de réaliser la production]).
Sans cette intégration (fusion étant peut-être un mot trop fort, quoique ?), impossible de parler d’industrie 4.0, 5.0…
L’IT et l’OT n’ont pas les mêmes objectifs, ni le même vocabulaire. Pour l’IT on parle de :
Alors que du côté OT, il est question de :
On le comprend donc très vite, ces deux univers ne parlent pas la même langue. Il est indispensable de mettre en place un traducteur, de bâtir des ponts, et de mettre en place des escadrilles d’experts capables de communiquer ensemble et atteindre ensemble un objectif de sécurité optimale.
C’est vrai que l’OT avait vécu une vie paisible, souvent loin des tracas de sécurité informatique de l’IT. Et voilà que les sociétés sont poussées dans le dos pour connecter tous les éléments de la partie production au réseau IP… et donc à l’IT (exemple concret : mettre en place un capteur envoyant des mesures vers une solution dans le Cloud).
Le problème : les architectures réseau et les pratiques habituelles du côté de l’OT ne sont absolument pas en phase avec les dangers des « cyber menaces » qui pèsent lourdement du côté IT.
Si on ajoute à cela une incompréhension de langage entre les équipes OT et IT, nous avons tous les ingrédients d’une bombe à retardement.
Les décideurs industriels ont donc clairement la responsabilité de mettre en priorité ces enjeux OT/IT et d’adapter leurs lignes de production.
2010 a cependant marqué un tournant avec l’arrivée du malware Stuxnet. Celui-ci a eu pour objectif (atteint, d’ailleurs) de détruire les centrifugeuses d’uranium du programme d’enrichissement nucléaire iranien. « Simplement » en les faisant tourner plus vite que prévu. Le monde s’est alors réveillé… mais a bien vite oublié.
Bien d’autres exemples d’incidents Cyber touchant des sociétés industrielles existent, et ils sont nombreux. Sans entrer dans le détail, citons-en juste 2 qui ont touché plus particulièrement la Belgique : l’équipementier aéronautique situé à Zaventem ASCO en 2019 (production mondiale du groupe à l’arrêt) et Picanol, spécialiste international des métiers à tisser situé à Ypres, victime en 2020 d’un gigantesque arrêt de production dû à un ransomware.
Inutile de préciser que ces incidents ont eu des répercussions extrêmement dommageables pour les différents acteurs.
Agoria avait réalisé en 2021 une étude sur la « cybersécurité industrielle » assez éclairante à ce sujet (Agoria, La Sécurité Industrielle dans l’industrie manufacturière, Avril 2021). Cette étude révélait quelques chiffres clés intéressants :
En résumé, la majorité des entreprises sondées via l’étude Agoria n’étaient pas prêtes à affronter les menaces cyber qui pouvaient leur arriver. Le chemin est donc encore (très) long…
Côté positif, depuis lors, le secteur s’est doté d’un standard IEC 62443 … qui à lui seul fait frémir les plus téméraires des industriels !
Bien que LA solution miracle et unique n’existe pas face à la diversité des cas de figure de chaque environnement, nous pouvons quand même formuler 5 recommandations essentielles :
C’est donc bien la mise en place d’un ensemble cohérent et structuré de bonnes pratiques, de mesures fiables et professionnelles, le tout implémenté par des experts et professionnels au fait des dernières évolutions et technologies du marché qui feront la différence, et protégeront véritablement nos industriels, et donc indirectement aussi le territoire.
MCG (Matias Consulting Group) possède aujourd’hui plus de 16 ans d’expérience dans la sécurisation de réseaux industriels.
Pour aller de l’avant et répondre aux énormes besoins du marché, nous nous sommes associés avec la société d’engineering en automation AgiNTech au sein de « Cyber4Industry ». Nous pouvons grâce à cet outil apporter une réponse appropriée, sécurisée et pérenne aux besoins de sécurisation de l’OT.
Votre industrie et vos lignes de productions sont-elles assez sécurisées pour faire face aux cybermenaces d’aujourd’hui ? Parlez-en à un de nos experts !
Évaluons ensemble votre CyberSécurité