Des défis de sécurité spécifiques aux systèmes de contrôle industriel, à la convergence IT/OT

27 Nov 2024

Convergence IT/OT : le défi crucial de la cybersécurité industrielle

À l’occasion de de la première édition de Lyon Cyber Expo, Thierry Rouquet, VP – Digital League, Franck Bonnard, Consultant Connectivité et Cybersécurité des environnements convergés IT-OT – NXO – Adira, Hicham Ben Hassi, CEO & CTO – AlgoSecure, Ludovic Benhamou, Security Engineer – Tenable et Jean-Christophe Marpeau, Ingénieur conseil chez Cap’tronic ont abordé la question cruciale de la convergence IT/OT, un enjeu stratégique pour sécuriser les infrastructures industrielles dans un contexte de digitalisation et de réglementations renforcées.

La digitalisation de l’industrie, moteur de compétitivité et d’innovation, expose également les infrastructures à des risques accrus de cybersécurité. Alors que des normes comme l’IEC 62443 et des directives telles que NIS2 imposent des obligations croissantes, la convergence IT/OT (technologies de l’information et technologies opérationnelles) s’impose comme un impératif stratégique pour les entreprises industrielles.

Pour Thierry Rouquet, ancien entrepreneur en cybersécurité et vice-président de Digital League, « Le prix à payer pour la digitalisation industrielle, c’est l’augmentation de la surface d’attaque. Les enjeux de la cybersécurité dans l’industrie ne se limitent pas à protéger les données, mais concernent aussi la continuité de la production et la sûreté des personnes. »

Une réalité complexe, entre héritage et modernisation

L’intégration de l’IT dans l’OT soulève des défis spécifiques, liés notamment à l’obsolescence des systèmes industriels. Ludovic Benhamou, ingénieur chez Tenable, souligne : « Les équipements industriels n’ont pas été conçus pour la cybersécurité. Leur connectivité récente les rend visibles et vulnérables, ce qui nécessite une approche totalement différente de celle de l’IT classique. »

Cette spécificité se manifeste également dans les cycles de vie des équipements. Hicham Benassine, directeur technique d’AlgoSecure, donne un exemple parlant : « Lors d’un audit sur une plateforme pétrolière, il était impératif de garantir un état de sécurité en 2023, sachant que la plateforme resterait en service pendant 30 ans sans mise à jour. » Mais au-delà des aspects techniques, c’est aussi une question de cultures et de compétences.

 Franck Bonnard, consultant chez NXO, insiste : « L’IT et l’OT sont deux mondes qui se sont longtemps ignorés. Il est crucial de créer des équipes mixtes où chacun peut apporter sa vision et son expertise. »

 

Les bonnes pratiques pour réussir la convergence IT/OT

Si les défis sont nombreux, les solutions passent par une approche progressive et pragmatique :

  • Commencer par une analyse des risques : Identifier les systèmes critiques pour allouer les ressources là où elles sont le plus nécessaires.
  • Acquérir une visibilité complète des équipements : Comprendre qui est connecté, quelles vulnérabilités existent, et comment elles peuvent être exploitées.
  • Adopter des standards éprouvés comme l’IEC 62443 : Cette norme propose une méthodologie claire pour segmenter les réseaux et limiter les impacts en cas d’attaque.

Franck Bonnard propose une approche par « petites victoires » : « Démarrez avec des projets accessibles, comme l’accès distant sécurisé ou la segmentation basique des réseaux. Ces succès initiaux renforceront la collaboration entre IT et OT, ouvrant la voie à des initiatives plus ambitieuses. »

 

Un enjeu humain et organisationnel

Au cœur de cette convergence, les opérateurs de terrain jouent un rôle central. Leur sensibilisation et leur formation sont essentielles pour éviter des erreurs humaines coûteuses, comme le rappelle Franck Bonnard avec humour : « Lors d’un audit, nous avons trouvé un opérateur rechargeant son téléphone sur une station critique. Ce genre de pratiques peut ruiner tous les efforts de sécurisation. »

La clé du succès réside également dans le soutien des dirigeants. Impliquer la direction générale dans l’analyse des risques, leur présenter des scénarios concrets et quantifier les impacts potentiels sont des leviers puissants pour mobiliser les ressources nécessaires.

Un impératif stratégique face aux échéances réglementaires

Avec la directive NIS2, le Cyber Resilience Act (2027) et les nouvelles obligations en matière de réglementation machine, les industriels n’ont plus le choix : ils doivent agir dès maintenant. Pour Thierry Rouquet : « Les entreprises doivent adopter une approche progressive. Attendre pourrait coûter bien plus cher en cas d’attaque ou de mise en non-conformité. »

En conclusion, la convergence IT/OT ne se résume pas à une simple question technique. C’est un enjeu global, mêlant cybersécurité, continuité opérationnelle et adaptation culturelle. Face à des menaces croissantes et un cadre réglementaire de plus en plus strict, réussir cette convergence est une priorité incontournable pour l’industrie de demain.

Accéder au replay de la conférence

Lyon Cyber Expo, le 19 septembre 2024, Salle Fourvière – Synopsis

Pendant longtemps, les risques cyber dans le monde industriel ont semblé ne concerner que les secteurs sensibles, comme ceux de l’énergie ou du nucléaire. Mais un certain nombre de cyberattaques ont démontré le contraire : peu importe la nature des réseaux opérationnels et de leurs champs d’application, ceux-ci peuvent à tout moment se retrouver exposés à des actes de malveillance informatique. A fortiori depuis que les systèmes industriels connectés (OT) font partie intégrante du système d’information (SI) global de l’entreprise, dont ils augmentent la surface d’attaque. Ils sont au cœur de la fameuse “convergence IT/OT”. Dans le contexte de l’automatisation industrielle et de toutes les contraintes associées, quelles sont les solutions qu’il est possible de déployer, et avec quelles étapes, notamment dans le cadre de la norme IEC 62443, standard incontournable de la cybersécurité industrielle ?

 

Crédit photo : Freepik